.
Passando despercebidos no dia do Clownstrike na semana passada, dois membros da equipe hacktivista do Cyber Army of Russia Reborn (CARR) são as últimas adições à lista de sanções dos EUA.
Yuliya Vladimirovna Pankratova e Denis Olegovich Degtyarenko, nomeados pelo governo dos EUA como líder e agressor-chefe do CARR, respectivamente, foram designados por seus supostos papéis em ataques à infraestrutura nacional crítica dos EUA.
Apesar de grande parte do trabalho do CARR desde sua criação em 2022 girar em torno do que o Departamento do Tesouro dos EUA descreve como “ataques DDoS de baixo impacto e pouco sofisticados na Ucrânia”, o grupo foi responsabilizado por vários ataques a instalações de água dos EUA e da Europa no início deste ano.
Em janeiro, a CARR assumiu a responsabilidade por ataques a interfaces homem-máquina (HMIs) que controlam sistemas de OT nos EUA e na Polônia por meio de seu canal no Telegram. Instalações de abastecimento de água, hidrelétricas, águas residuais e energia foram afetadas pela manipulação remota de controles, o que também levou ao transbordamento de tanques de armazenamento de água em Abernathy e Muleshoe, Texas. Dezenas de milhares de galões de água foram perdidos, disseram autoridades.
O CARR também é considerado responsável por um ataque ao sistema SCADA de uma empresa de energia dos EUA, que lhe deu o controle de armas e bombas conectadas a tanques, disse o Tesouro.
“Apesar da CARR ter brevemente obtido o controle desses sistemas de controle industrial, casos de grandes danos às vítimas foram evitados até agora devido à falta de sofisticação técnica da CARR”, diz o anúncio.
Especificamente, isso é alegado como sendo trabalho de Degtyarenko, um cidadão russo que também desenvolveu materiais de treinamento para comprometer sistemas SCADA.
A Mandiant atribuiu anteriormente esses ataques ao Sandworm – uma unidade cibernética ofensiva dentro do braço de inteligência militar da Rússia, GRU. Um relatório da gigante da infosec em abril disse que o CARR era apenas uma das muitas contas do Telegram que o Sandworm usava para divulgar seus ataques, mas os EUA não fizeram explicitamente esses links ao anunciar a designação de Pankratova e Degtyarenko.
Como costuma acontecer ao sancionar criminosos cibernéticos russos, torna-se ilegal fazer negócios com a dupla, embora prender os indivíduos seja improvável, pois a Rússia nunca entregaria seus ativos no ciberespaço a um adversário.
“Os esforços do CARR e de seus membros para atingir nossa infraestrutura crítica representam uma ameaça inaceitável aos nossos cidadãos e comunidades, com consequências potencialmente perigosas”, disse Brian E Nelson, subsecretário do Tesouro para Terrorismo e Inteligência Financeira.
“Os Estados Unidos tomaram e continuarão a tomar medidas, usando toda a nossa gama de ferramentas, para responsabilizar esses e outros indivíduos por suas atividades cibernéticas maliciosas.”
Embora os EUA possam nunca colocar as mãos na dupla CARR, eles permanecerão nas listas de observação dos aliados para sempre, o que significa que prisões futuras não podem ser descartadas.
Mesmo os mais prolíficos e bem-sucedidos cibercriminosos na Rússia às vezes baixam a guarda. Por exemplo, Mikhail Vasiliev, um ex-afiliado da LockBit de 34 anos, com dupla nacionalidade do Canadá e da Rússia, foi preso em 2022 após entrar no Canadá em uma viagem – longe da proteção do Kremlin.
No início deste ano, ele foi condenado a quatro anos de prisão por crimes de ransomware e, na semana passada, se declarou culpado de outras acusações feitas a ele em Nova Jersey.
Ao lado de Vasiliev estava o colega afiliado da LockBit, Ruslan Magomedovich Astamirov. O jovem de 21 anos admitiu duas acusações relacionadas a abuso de computador e fraude eletrônica, e enfrenta uma sentença máxima de 25 anos. As datas das sentenças para ambos os criminosos ainda não foram definidas.
“Entre 2021 e 2023, Vasiliev… implantou o LockBit contra pelo menos 12 vítimas, incluindo empresas em Nova Jersey, Michigan, Reino Unido e Suíça”, disse o Departamento de Justiça. “Ele também implantou o LockBit contra uma instituição educacional na Inglaterra e uma escola na Suíça. Por meio desses ataques, Vasiliev causou pelo menos US$ 500.000 em danos e perdas às suas vítimas.”
“Os réus cometeram ataques de ransomware contra vítimas nos Estados Unidos e ao redor do mundo por meio do LockBit, que foi um dos grupos de ransomware mais destrutivos do mundo”, disse a principal procuradora-geral adjunta Nicole M Argentieri, chefe da Divisão Criminal do Departamento de Justiça.
“Mas, graças ao trabalho da Computer Crime and Intellectual Property Section, juntamente com seus parceiros nacionais e internacionais, a LockBit não reivindica mais esse título. As condenações de hoje representam outro marco importante no esforço contínuo da Criminal Division para interromper e desmantelar grupos de ransomware, proteger vítimas e levar os cibercriminosos à justiça.”
“Dois membros da afiliada da LockBit se declarando culpados por seus crimes em um tribunal federal dos EUA ilustram que podemos detê-los e levá-los à justiça”, disse James E Dennehy, agente especial encarregado do FBI Newark. “Esses atores maliciosos acreditam que podem operar com impunidade – e não temem ser pegos porque estão em um país onde se sentem seguros e protegidos. O FBI Newark e nossos parceiros de aplicação da lei ao redor do mundo têm a tecnologia e a inteligência para ir atrás desses criminosos – independentemente de onde eles se escondam.” ®
.
