Aumenta pressão sobre grupo de hackers responsável por ciberataque nos EUA

Washington, 14 Mai 2021 (AFP) - O cerco parece estar se fechando para os hackers do Darkside, que estão por trás do ataque cibernético à companhia de oleodutos Colonial Pipeline, nos Estados Unidos: especialistas dizem que seus servidores foram desativados e suas mensagens removidas de um grande fórum cibercriminoso russo.

A empresa de cibersegurança Recorded Future disse nesta sexta-feira (14) que o hacker que exigiu um resgate da Colonial Pipeline admitiu que seu grupo DarkSide havia perdido o acesso a vários dos servidores usados para hospedar seu blog e para receber pagamentos.

Acessível pelo navegador TOR na 'darknet', a versão clandestina da internet, o site DarkSide não estava visível na manhã desta sexta.

"Algumas horas atrás, perdemos o acesso à parte pública de nossa infraestrutura, a saber: Blog. Servidor de pagamento. Servidores DoS", escreveu Darksupp, citado pela Recorded Future.

Os ataques de negação de serviço (DoS) têm como objetivo derrubar um site, sobrecarregando seu tráfego.

Darksupp também indicou que haviam sido removidos os fundos de criptomoedas, utilizados para pagar os resgates exigidos pelo grupo de hackers.

No entanto, um analista da Recorded Future acredita que isso pode ser um subterfúgio da DarkSide para fechar sua própria infraestrutura e, assim, evitar pagar seus associados.

Kimberly Goody, chefe de análises de crimes financeiros da Mandiant, uma subsidiária da gigante americana de cibersegurança FireEye, disse em um comunicado enviado à AFP que sua empresa "não pôde validar de forma independente as afirmações" sobre o desmantelamento do DarkSide.

"Algumas especulações de outros atores indicam que poderia ser um 'golpe de saída' ('exit scam')", acrescenta, em alusão a um esquema destinado a fingir um fechamento para ficar com a maior parte do botim.

- DarkSide é removido de fórum russo -Embora não haja nenhuma evidência de quem poderia ter forçado a desconexão dos servidores do DarkSide, a conta no Twitter da 780th Military Intelligence Brigade, uma brigada de operações ofensivas no ciberespaço do Exército dos Estados Unidos, retuitou nesta sexta o relatório da empresa de cibersegurança.

O DarkSide surgiu publicamente pela primeira vez em agosto de 2020 e se especializou no que ficou conhecido como "ramsonware" - programas que se infiltram na rede de uma vítima e criptografam dados em suas máquinas, bloqueando as operações. Depois, os cibercriminosos exigem o pagamento de um resgate para liberar os dados.

O FBI, polícia federal americana, identificou na segunda-feira o DarkSide como o grupo por trás do "ransomware" contra a Colonial Pipeline, que forçou a interrupção das operações da companhia.

No mesmo dia, o presidente dos EUA, Joe Biden, acusou hackers "com sede na Rússia" de realizar o ataque cibernético, sem afirmar que o governo russo estaria diretamente envolvido.

Biden disse na quinta-feira que está "em comunicação direta com Moscou sobre a necessidade dos países responsáveis tomarem medidas decisivas contra essas redes de 'ransomware'".

Recebido em audiência por um grupo parlamentar nesta sexta-feira, o general Paul M. Nakasone, diretor do comando conjunto encarregado da cibersegurança (USCYBERCOM) e da Agência de Segurança Nacional (NSA) dos Estados Unidos, assegurou que sua função era "apresentar uma série de oportunidades operacionais ou de planos de ação para avaliação do secretário de Estado ou do presidente".

Por outro lado, todas as publicações do DarkSide no fórum de cibercriminosos de língua russa XXS foram removidas, segundo investigadores da plataforma de proteção de riscos digitais Dark Shadows.

Ao contrário, os anúncios de recrutamento do grupo em outra plataforma popular de hackers em russo, a Exploit, ainda estavam ativos, mas não eram atualizados desde abril e não faziam referência ao ataque à Colonial Pipeline.

Segundo a Bloomberg e outros veículos de informação americanos, a empresa de oleodutos pagou um resgate de 5 milhões de dólares aos hackers.

Consultado pela AFP, um porta-voz da Colonial Pipeline se recusou a comentar as informações e indicou que há uma investigação em andamento.

O governo Biden também não quis fazer comentários, enfatizando que as empresas devem fortalecer a segurança de seus computadores.

Segundo o site Elliptic, que rastreia o uso criminoso de criptomoedas, a carteira em bitcoins da DarkSide recebeu 75 BTC (aproximadamente 4,4 milhões de dólares) em 8 de maio, dia seguinte ao ataque à Colonial Pipeline.

No total, o grupo recebeu o equivalente a US$ 17,5 milhões desde o começo de março, assegura o Elliptic.

O ataque aos sistemas informáticos da Colonial Pipeline, que transporta cerca de 45% do combustível do Golfo do México à costa leste dos Estados Unidos, obrigou o operador a encerrar o conjunto de suas operações.

Isto provocou reações de pânico de motoristas que temiam uma escassez de combustível e foram em massa aos postos de gasolina para abastecer.

A Colonial Pipeline afirmou, no entanto, na noite de quinta-feira ter recuperado o conjunto de seu sistema e começou a distribuir combustíveis.

pmh-dho/ad/mls/ic/mvv

Twitter