.
Os cibercriminosos russos são quase intocáveis. Durante anos, hackers baseados no país lançaram ataques devastadores de ransomware contra hospitais, infraestruturas críticas e empresas, causando perdas de bilhões de dólares. Mas estão fora do alcance das autoridades ocidentais e são largamente ignorados pelas autoridades russas. Quando a polícia coloca os servidores e sites dos criminosos off-line, eles geralmente voltam a hackear em semanas.
Agora, os investigadores estão cada vez mais acrescentando uma nova dimensão ao seu manual de disrupção: mexer com as mentes dos cibercriminosos. Para ser franco, eles estão trollando os hackers.
Nos últimos meses, as autoridades ocidentais recorreram a medidas psicológicas como uma forma adicional de desacelerar os hackers russos e atingir o cerne do vasto ecossistema do crime cibernético. Essas operações psicológicas nascentes incluem esforços para minar a confiança limitada que os criminosos têm uns nos outros, criando divisões sutis entre os frágeis egos dos hackers e enviando aos infratores mensagens personalizadas mostrando que estão sendo vigiados.
“Nunca chegaremos ao cerne dessas gangues do crime organizado, mas se pudermos minimizar o impacto que elas têm, reduzindo sua capacidade de expansão, então isso será uma coisa boa”, diz Don Smith, vice-presidente de pesquisa de ameaças da empresa de segurança Secureworks. “Todas essas pequenas coisas, que por si só podem não ser um golpe mortal, todas acrescentam atrito”, diz ele. “Você pode procurar brechas, amplificá-las e criar mais discórdia e desconfiança, de modo que isso retarde o que os bandidos estão fazendo.”
Veja a Operação Cronos. Em fevereiro, uma operação global de aplicação da lei, liderada pela Agência Nacional do Crime (NCA) do Reino Unido, infiltrou-se no grupo de ransomware LockBit, que as autoridades dizem ter extorquido mais de 500 milhões de dólares às vítimas, e desligou os seus sistemas. Os investigadores da NCA redesenharam o site de vazamento do LockBit, onde publicava os dados roubados de suas vítimas, e usaram o site para publicar o funcionamento interno do LockBit.
Demonstrando o controle e os dados que possuíam, as autoridades publicaram imagens do sistema de administração da LockBit e de conversas internas. Os investigadores também publicaram os nomes de usuário e detalhes de login de 194 membros “afiliados” do LockBit. Isso foi ampliado em maio para incluir os sobrenomes dos membros.
A operação policial também provocou a revelação de “LockBitSupp”, o cérebro por trás do grupo, e disse que eles estavam “se envolvendo” com as autoridades policiais. O cidadão russo Dmitry Yuryevich Khoroshev foi acusado de administrar o LockBit em maio, após uma contagem regressiva de vários dias publicada no site apreendido do LockBit e gráficos ousados nomeando-o como o organizador do grupo.
“A LockBit se orgulhava de sua marca e de seu anonimato, valorizando essas coisas acima de qualquer outra coisa”, diz Paul Foster, diretor de liderança de ameaças da NCA. “Nossa operação quebrou esse anonimato e minou completamente a marca, afastando os cibercriminosos de usar seus serviços. .” A NCA afirma que considerou cuidadosamente a operação, com os seus esforços para reconstruir o site da LockBit levando o grupo a ser amplamente ridicularizado online e tornando a sua marca “tóxica” para os cibercriminosos que trabalharam com ele.
“Reconhecemos que uma interrupção técnica isolada não destruiria necessariamente o LockBit, portanto, nossa infiltração e controle adicionais, juntamente com prisões e sanções em parceria com nossos parceiros internacionais, aumentaram nosso impacto no LockBit e criaram uma plataforma para mais ações de aplicação da lei em o futuro”, diz Foster.
.
