.
Opinião Os melhores programas policiais são excelentes em jogos mentais: quem está enganando quem, quem realmente ganha e que preço paga. Um toque de humor aumenta o drama e nos mantém presos. É bastante raro na vida real, muito menos no sombrio moedor de carne da segurança cibernética, mas às vezes acontece. Está acontecendo agora.
Tudo começou em 20 de fevereiro. A Operação Cronos, liderada pela Agência Nacional de Crimes do Reino Unido e pelo FBI dos EUA, foi organizada por agências de dez países com o objetivo de encerrar a gangue de ransomware mais bem-sucedida do mundo, a LockBit. E assim aconteceu, com mais de 30 servidores retirados, código-fonte, chaves de descriptografia, detalhes de afiliados, registros de bate-papo e outras coisas boas obtidas, e os usuários recebendo a tradicional mensagem “Game over” quando tentavam se conectar.
Só que não era a mensagem habitual. Juntamente com o material “este site foi apreendido pelas autoridades policiais”, as agências despenderam algum esforço na elaboração do que só pode ser descrito como um pedaço de trollagem arrogante. O site original tinha uma animação de carregamento dos logotipos das vítimas de destaque; esta foi substituída por uma das bandeiras do consórcio de agências que acabava de administrar os chutes. Imagens incorporadas de prova de comprometimento tinham nomes de arquivos engraçados. O melhor de tudo é que o cronômetro de contagem regressiva pelo qual o LockBit exibia quanto tempo as vítimas ainda tinham para pagar foi duplicado, só que desta vez em contagem regressiva para o desmascaramento do chefe do LockBit, LockBitSupp.
Os policiais usaram uma arma secreta – um senso de humor. O fato de eles terem um foi uma surpresa, mas o fato de eles usá-lo em uma queda foi algo sem precedentes. Por outro lado, o LockBit era um alvo sem precedentes.
Desde que apareceu em 2019, o LockBit se tornou a gangue de ransomware de maior sucesso, atingindo agências estatais e grandes empresas em todo o mundo e extraindo cerca de US$ 100 milhões. Isso é feito através da adoção de um modelo de operação notavelmente orientado para os negócios, contratando associados que fazem o hacking propriamente dito. A LockBit fornece as ferramentas e gerencia as negociações com as vítimas, em troca de uma redução de 20% na receita.
O marketing e a presença online da Lockbit não desonrariam muitas operações legítimas, com a pequena ressalva de que ela faz marketing para gangues criminosas e opera na dark web. Ele executou programas de recompensa por bugs em seus próprios sistemas e opsec. Promoveu a qualidade de seus produtos. Crucialmente, o que a LockBit não fez foi coletar o resgate – deixou isso para os afiliados. Prática padrão no mundo legal, mas um grande construtor de confiança no submundo do crime.
Portanto, faz sentido que, quando esta maior e mais profissional gangue criminosa foi derrubada, a tentação de colocar uma cereja no topo fosse irresistível. Faz ainda mais sentido no mundo altamente competitivo e movido pela reputação das gangues de ransomware. Já é ruim o suficiente sofrer a humilhação de ser propriedade pública, e muito pior levar uma torta de troll na cara ao mesmo tempo.
O perigo de trollar é que você parecerá ainda mais ridículo em troca, e é aqui que a trama começa a ficar seriamente envolvente. Essa contagem regressiva terminou não com a grande revelação, mas com uma lista de coisas sobre o LockBitSupp – eles dirigem um Mercedes em vez de um Lamborghini. Eles podem até viver na Rússia. Apenas algumas prisões foram feitas. Pior ainda, apenas cinco dias após a Operação Cronos, LockBit e LockBitSupp reapareceram online, com pacotes de dados de reféns que ganharam manchetes e LockBitSupp zombando dos federais sobre algo podre. Esperávamos isso, responderam o FBI e seus amigos, e além disso temos as chaves para ajudar milhares de vítimas. LockBitSupp havia dito que as chaves apreendidas não funcionariam, então tudo o que podemos fazer é esperar a próxima rodada para ver quem ganha.
Independentemente do que aconteça a seguir, todo o negócio ilustra algumas verdades desagradáveis. Os procedimentos de recuperação de desastres do LockBit parecem ser muito melhores do que os de muitas de suas vítimas. É minúsculo em comparação, mas cada organização pode ser vista como um aglomerado de unidades muito menores. Particionar a DR como um mapa altamente granular de recursos pode ser surpreendentemente eficiente, especialmente em termos de testabilidade e capacidade de resposta. Até que a infra-estrutura de TI fique totalmente reforçada contra ataques, o que acontecerá ao mesmo tempo que Elon Musk entra num mosteiro, assuma que se tornará uma vítima e construa em conformidade.
Em uma nota mais sombria, o LockBit é basicamente invulnerável e permanecerá assim enquanto for uma gangue criminosa em uma nação mafiosa. Quando você não consegue convencer os mafiosos por seus crimes e não consegue isolá-los de sua tecnologia, você vai atrás do dinheiro deles. Com as gangues de ransomware, todo esse dinheiro, até o último centavo, chega via criptomoeda.
Aqui, os hackers de que precisamos não estão em chapéus brancos ou atrás de mesas em agências de siglas – eles vivem nos reguladores financeiros do mundo livre. Você não pode bloquear o blockchain, mas pode regular cada ponto de interface da criptomoeda com o material real, nas bolsas e em outras instituições financeiras que traduzem dólares e euros em BTC.
Não se pode negociar futuros de cocaína nas bolsas de mercadorias porque é uma droga destrutiva que permite o crime. Por que tolerar o Bitcoin? Até que isso seja resolvido, o que quer que os policiais façam em relação ao ransomware, eles acabarão parecendo tolos. As pessoas erradas vencerão – e isso não tem graça. ®
.
