Atores de ameaça ‘corsário’ emergem do pântano do crime cibernético

Os ‘corsários’ não são necessariamente patrocinados pelo estado, mas têm alguma forma de proteção governamental enquanto promovem sua própria agenda criminosa com motivação financeira, de acordo com o Cisco Talos.

Um novo tipo de cibercriminoso está surgindo em um cenário de ciberameaças que historicamente tem sido dominado por agentes de ameaças patrocinados pelo estado ou por criminosos com motivação financeira que são perseguidos e processados ​​por policiais.

Chamados de “corsários” por pesquisadores da Cisco Talos Intelligence, esses grupos predominantemente de ransomware não são especificamente patrocinados e dirigidos por um governo – como grupos APT como o Lazarus da Coreia do Norte e o Fancy Bear da Rússia . No entanto, eles têm algum tipo de proteção de governos globais enquanto eles próprios permanecem motivados financeiramente e agem de acordo com suas próprias agendas.

“Esse tipo de proteção estatal não oficial freqüentemente se manifesta como falta de ação policial, mesmo quando solicitada por canais normais por outros países”, de acordo com um post no blog Cisco Talos Intelligence publicado na quarta-feira. “O estado protetor não recebe benefício direto desses grupos, mas está protegido de suas atividades, que freqüentemente visam os adversários geopolíticos do estado protetor.”

De fato, embora os grupos cibercriminosos privados não sejam especificamente patrocinados pelo estado, eles podem realizar atividades do estado protetor de qualquer maneira devido à pressão para se envolver em ações específicas ou almejar entidades específicas, de acordo com o post.

Três camadas de ransomware

Os corsários se enquadram na terceira camada de grupos de crimes cibernéticos, abaixo daqueles especificamente patrocinados por governos no topo, comumente conhecidos como APTs e que recebem orientação explícita e apoio financeiro de um estado-nação.

Abaixo desses atores de primeira linha estão aqueles que se acredita estarem trabalhando para os Estados-nação, mas não ativamente patrocinados por eles, como o Gamaredon da Ucrânia e o Promethium, também conhecido como Piedade Forte , disseram os pesquisadores.

No caso de Gamaredon, embora eles não façam parte do aparato tradicional da inteligência russa, acredita-se que “grande parte da inteligência que coletam em suas operações é passada para os interesses russos”, escreveram os pesquisadores.

“Neste caso, temos uma ameaça relacionada ao estado que não é um elemento do estado patrocinador, mas recebe apoio ativo e orientação desse patrocinador estadual”, escreveram eles.

Quem são os corsários?

Na terceira camada estão os corsários, com um exemplo notório sendo o grupo de ransomware DarkSide com sede na Rússia, talvez mais conhecido por seu recente ataque ao Oleoduto Colonial nos Estados Unidos, que interrompeu gravemente o fornecimento de petróleo e gás no Leste e interceptou o grupo um pagamento de $ 5 milhões . DarkSide não é patrocinado especificamente pela Rússia, mas verifica o teclado de uma vítima potencial para evitar usuários que usam a linguagem cirílica, de acordo com Cisco Talos.

Outro corsário é o grupo de ransomware Lockbit , cujo operador disse aos pesquisadores do Cisco Talos que o grupo não teria como alvo a Rússia ou quaisquer países aliados da Rússia, proporcionando-lhes alguma proteção do governo de Putin.

“Esses grupos privados estão se tornando cada vez mais prevalentes e provavelmente mudarão significativamente o cenário de ameaças nos próximos anos”, escreveram os pesquisadores.

O que torna um corsário?

Além do benefício, direto ou indireto, da proteção estatal do país ao qual é afiliado, o Cisco Talos citou vários outros critérios para identificar um “cibercriminoso” privado.

Outra é que o país ao qual o grupo está afiliado não coopera com os serviços de polícia ou inteligência estrangeiros, nem oferece extradição para criminosos estrangeiros de volta ao seu país de origem.

Os corsários também tendem a ter uma “vitimologia da caça grossa”, segundo os pesquisadores, com alvos como grandes empresas ou organizações governamentais. Este é claramente o caso do DarkSide, que além do ataque de pipeline disruptivo, também tem como alvo a Toshiba .

Essa nova geração de cibercriminosos também é um grupo bastante sofisticado, com afiliados e terceiros envolvidos em ajudá-lo a fazer seu trabalho sujo, observaram os pesquisadores. Por último, as atividades dos corsários têm o “potencial de perturbação social”, o que foi claramente evidenciado no ataque Colonial Pipeline de DarkSide.

Fonte: https://threatpost.com/