Já imaginou uma empresa de segurança cibernética invadindo a infraestrutura de um grupo de ransomware e entregando informações sigilosas às autoridades? Parece ficção científica, mas aconteceu! Neste artigo, vamos explorar um caso surpreendente que mostra uma nova abordagem no combate ao cibercrime.
Uma empresa de segurança, vamos chamá-la de “Resecurity”, descobriu uma vulnerabilidade no site de vazamento de dados (DLS) de um grupo de ransomware conhecido como “BlackLock”. A Resecurity aproveitou essa brecha para obter informações cruciais sobre as operações do grupo.
Explorando a Brecha da Resecurity
A vulnerabilidade encontrada era uma “configuração incorreta” no site do BlackLock, baseado na rede Tor. Isso permitiu que a Resecurity acessasse endereços IP na internet convencional, ligados à infraestrutura de hospedagem do grupo.
Após encontrar os endereços IP, a equipe de segurança explorou uma vulnerabilidade de inclusão de arquivo local (LFI). Isso lhes permitiu acessar dados do servidor, como arquivos de configuração e, o mais importante, credenciais.
A Resecurity investiu tempo na quebra de senhas, assumindo o controle da infraestrutura do BlackLock. Entre os dados obtidos, um histórico de comandos digitados pelo principal operador do grupo, conhecido como “$$$”. Estes incluíam credenciais copiadas e coladas – um grande erro de segurança operacional para o grupo.
Dados, Vitimização e Alertas
O grupo BlackLock dependia bastante de uma plataforma de compartilhamento de arquivos popular, que vamos chamar de “Mega”. O grupo usava o Mega para exfiltrar dados das vítimas.
A Resecurity descobriu oito contas de e-mail usadas pelo grupo para acessar o Mega e ferramentas para transferir dados. Em alguns casos, o cliente Mega era instalado nas máquinas das vítimas para tornar a exfiltração de dados menos suspeita.
A Resecurity conseguiu alertar algumas vítimas antes do vazamento de dados previsto pelo grupo, dando tempo para que elas se preparassem e mitigassem potenciais danos.
Origem do BlackLock e Conexões com Outros Grupos
Todas as evidências apontam para o BlackLock operando na Rússia ou na China. Isso se baseia em postagens em fóruns de cibercriminosos, regras internas do grupo e endereços IP associados às contas do Mega.
Um pesquisador da Resecurity se passou por um cibercriminoso em um chat online e conseguiu se registrar como afiliado do BlackLock. As comunicações ocorreram em russo.
A Resecurity identificou ligações entre o BlackLock e outros grupos de ransomware, como “El Dorado” e “Mamona”. A semelhança na lista de vítimas e códigos sugere uma forte conexão entre esses projetos. Outro grupo, “DragonForce”, também está envolvido, possivelmente por meio de uma operação de bandeira falsa.
Conclusão
Este caso demonstra como uma abordagem proativa, combinando habilidades de segurança cibernética com inteligência e colaboração com as autoridades, pode ser eficaz no combate ao ransomware. A Resecurity não apenas coletou informações valiosas, mas também alertou vítimas potenciais, minimizando os danos. O caso também destaca a importância da segurança operacional e a interconexão entre diferentes grupos de ransomware.
Compartilhe suas experiências e reflexões sobre este caso nos comentários!
Fonte: The Register
