Cibercriminosos russos são praticamente intocáveis. Por anos, hackers baseados no país têm lançado ataques devastadores de ransomware contra hospitais, infraestruturas críticas e empresas, causando bilhões em perdas. Mas eles estão fora do alcance da aplicação da lei do Ocidente e são em grande parte ignorados pelas autoridades russas. Quando a polícia desativa os servidores e sites dos criminosos, eles muitas vezes estão hackeando novamente em questão de semanas.
Agora, os investigadores estão acrescentando uma nova dimensão ao seu manual de interrupção: mexer com a mente dos cibercriminosos. Para ser direto, eles estão trollando os hackers.
Nos últimos meses, autoridades da aplicação da lei ocidental recorreram a medidas psicológicas como uma maneira adicional de desacelerar os hackers russos e atacar o coração do amplo ecossistema de crimes cibernéticos. Essas operações psicológicas incluem esforços para erodir a confiança limitada que os criminosos têm uns nos outros, criar divisões sutis entre os frágeis egos dos hackers e enviar mensagens personalizadas mostrando que estão sendo vigiados.
“Jamais conseguiremos chegar à essência dessas gangues criminosas organizadas, mas se pudermos minimizar o impacto que têm reduzindo sua capacidade de expansão, então isso é uma coisa boa”, diz Don Smith, vice-presidente de pesquisa de ameaças da empresa de segurança Secureworks. “Todas essas coisas pequenas, que por si só não são necessariamente um golpe fatal, todas elas acrescentam fricção”, diz ele. “Você pode procurar rachaduras, amplificá-las e criar mais desacordo e desconfiança para retardar o que os bandidos estão fazendo.”
Um exemplo é a Operação Cronos. Em fevereiro, uma operação global da aplicação da lei, liderada pela Agência Nacional contra o Crime do Reino Unido (NCA), infiltrou o grupo de ransomware LockBit, que autoridades dizem ter extorquido mais de US$ 500 milhões de vítimas, e desativou seus sistemas. Investigadores da NCA redesenharam o site de vazamento do LockBit, onde a gangue publicava os dados roubados das vítimas, e usaram o site para publicar os mecanismos internos do LockBit.
Demonstrando o controle e os dados que tinham, as autoridades publicaram imagens do sistema administrativo do LockBit e conversas internas. Os investigadores também publicaram os nomes de usuário e detalhes de login de 194 membros “afiliados” do LockBit. Isso foi expandido em maio para incluir os sobrenomes dos membros.
A operação policial também provocou a revelação de “LockBitSupp”, o cérebro por trás do grupo, e disse que estavam “se comunicando” com a aplicação da lei. O russo Dmitry Yuryevich Khoroshev foi acusado de liderar o LockBit em maio, após um cronômetro de contagem regressiva ser publicado no site do LockBit apreendido e gráficos ousados nomeando-o como o organizador do grupo.
“O LockBit se orgulhava de sua marca e anonimato, valorizando essas coisas acima de tudo”, diz Paul Foster, diretor de liderança de ameaças da NCA. “Nossa operação destruiu esse anonimato e minou completamente a marca, afastando os cibercriminosos de usar seus serviços.” A NCA diz que considerou cuidadosamente a operação, com seus esforços para reconstruir o site do LockBit levando o grupo a ser amplamente ridicularizado online e tornando sua marca “tóxica” para os cibercriminosos que trabalharam com ele.
“Reconhecemos que uma interrupção técnica isolada não necessariamente destruiria o LockBit, portanto, nossa infiltração e controle adicionais, juntamente com as prisões e sanções em parceria com nossos parceiros internacionais, aumentaram nosso impacto sobre o LockBit e criaram uma plataforma para mais ações da aplicação da lei no futuro,” diz Foster.
