.
Dizem que espiões apoiados pela China derrubaram sua própria botnet de 260.000 dispositivos depois que o FBI e seus amigos internacionais foram atrás deles.
O botnet era controlado pelo um tanto equivocadamente chamado Integrity Technology Group, uma empresa chinesa cujo presidente admitiu que por anos sua empresa “coletou inteligência e realizou reconhecimento para agências de segurança do governo chinês”, disse o diretor do FBI Christopher Wray na conferência de segurança de computadores Aspen Digital na quarta-feira. Os bots conectados à internet consistiam em PCs, servidores e gadgets da Internet das Coisas infectados com malware de controle remoto, e mais da metade deles estavam nos EUA.
Uma equipe comandada por Pequim, chamada Flax Typhoon, estava construindo a botnet baseada em Mirai desde 2021 e foi acusada de espionar redes taiwanesas pela Microsoft em 2023, embora essa alegação seja contestada.
Wray disse que Flax estava ultimamente mirando infraestrutura crítica, governo e acadêmicos dos EUA. A Cyber National Mission Force (CNMF) do FBI foi chamada, junto com a NSA.
Foi “todos a postos”, Wray relatou, e seus agentes assumiram o controle dos servidores de comando e controle da botnet – após obter autorização judicial para isso. A equipe chinesa lançou um ataque DDoS contra os americanos para interrompê-los e, em seguida, tentou mudar para sistemas de controle de backup para a botnet, mas foi frustrada novamente. Então, a China desistiu.
“Acreditamos que os bandidos finalmente perceberam que estavam enfrentando o FBI e nossos parceiros e, com essa percepção, eles basicamente incendiaram sua nova infraestrutura e abandonaram sua botnet”, disse Wray.
De acordo com um comunicado [PDF] emitido para coincidir com o discurso de Wray, a equipe do Flax Typhoon tinha um banco de dados SQL contendo detalhes de 1,2 milhão de registros em dispositivos comprometidos e sequestrados que eles já haviam usado ou estavam usando atualmente para a botnet.
Além disso, a botnet usou malware Mirai personalizado para explorar vulnerabilidades conhecidas em dispositivos conectados à internet para comandá-los, instalando uma carga útil que se comunicava com servidores de comando e controle via TLS na porta 443. Os investigadores encontraram mais de 80 subdomínios em w8510.com vinculados aos servidores de comando e controle até este mês, de acordo com o comunicado.
FBI promete grande economia de dinheiro em ransomware
Wray também elogiou os esforços de sua agência para derrotar gangues de ransomware sempre que possível e ajudar a negociar acordos para as vítimas se tudo mais falhar.
O FBI desenvolveu e compartilhou chaves de descriptografia para decodificar arquivos em máquinas infectadas após realizar engenharia reversa em vários binários de ransomware nos últimos dois anos, e ajudou quase 1.000 organizações ao redor do mundo a recuperar seus dados, economizando mais de US$ 800 milhões, disse ele — sem mencionar parte do tempo gasto na limpeza após um ataque.
Ele citou o caso da infecção por ransomware do Distrito Escolar Unificado de Los Angeles (LAUSD), onde o segundo maior sistema escolar dos Estados Unidos foi atingido no fim de semana do Dia do Trabalho em 2022. O FBI enviou uma equipe para lá em menos de uma hora, disse Wray, e colocou “sistemas prioritários” online novamente antes do fim do feriado prolongado.
Então Wray fez uma admissão surpreendente – o FBI ajudará a negociar com criminosos quando as vítimas escolherem pagar. Presumimos que isso acontecerá se uma organização extorquida estiver em uma situação particularmente sensível.
Ele citou um caso no verão passado, em que um centro de tratamento de câncer não identificado nos EUA foi afetado por um ransomware, deixando os pacientes sem os cuidados urgentes necessários para sobreviver.
“É difícil pensar em um caso em que os criminosos foram mais insensíveis ou em que voltar a ficar online rapidamente importou mais”, disse Wray. O centro chamou a equipe do FBI imediatamente e eles começaram a trabalhar, tentando decifrar os servidores infectados embaralhados da unidade de saúde.
“Além de especialistas técnicos, também enviamos negociadores de crise. Estávamos ajudando o centro a negociar o pagamento do resgate, baixando de $450.000 para $50.000”, ele contou.
“Usando a chave de descriptografia que os hackers forneceram, o centro conseguiu retomar as operações dias após o ataque. Naquele caso, não foi apenas uma economia de tempo trabalhar com o bureau, mas, de acordo com o centro de câncer, também foi uma salvação de vidas.”
A admissão de que o FBI está facilitando pagamentos é uma mudança na postura da agência. Ela costumava ser muito linha-dura sobre não pagar ciber-extorsionários, embora em 2019 tenha ajustado sua posição ligeiramente ao reconhecer que o pagamento era uma opção para algumas empresas. Agentes do FBI estarem diretamente envolvidos na negociação com lançadores de malware parece um novo passo.
Enquanto isso, a Casa Branca está tentando negociar um tratado internacional para proibir órgãos governamentais de pagar resgates cibernéticos, tendo sediado uma cúpula da Counter Ransomware Initiative (CRI) no ano passado para persuadir outros países a se inscreverem. ®
.
