Repressões a sindicatos de cibercriminosos entram numa nova fase

Agora que as agências de aplicação da lei estão a demonstrar a capacidade de derrubar a infraestrutura que os sindicatos de cibercriminosos estão a utilizar para lançar ataques, parece que a batalha interminável para garantir a cibersegurança está a entrar numa nova fase.

O Federal Bureau of Investigations (FBI) nos EUA, juntamente com outras agências internacionais de aplicação da lei, apreenderam duas dúzias de servidores e nove domínios pertencentes a um grupo de ransomware chamado Dispossessor, também conhecido como Radar, que após a queda de outro grupo cibercriminoso Lockbit no início deste ano, se tornou mais ativo desde que surgiu no ano passado.

Na verdade, Dispossessor foi creditado por atacar pelo menos 43 organizações em todo o mundo antes de as autoridades derrubarem três servidores nos Estados Unidos e no Reino Unido e mais 18 na Alemanha. Além disso, apreenderam oito domínios criminosos baseados nos EUA e outro na Alemanha.

A interrupção da operação Dispossessor é a apreensão de infraestruturas e domínios que se tornaram cada vez mais agressivos ao longo do último ano. Mais notável entre esses esforços foi o desmantelamento do LockBit, mas outros grupos como Hive e BlackCat/ALPHV foram igualmente interrompidos.

Alguns desses gangues de cibercriminosos, no entanto, conseguiram restabelecer operações enquanto outros fecharam, mas foram essencialmente substituídos por outro sindicato. O Dispossessor, por exemplo, ganhou destaque após a queda do LockBit. Anteriormente, o grupo simplesmente anunciava a disponibilidade de dados que tinham sido anteriormente vazados por grupos de ransomware como LockBit, Hunters International, Cl0p e 8base.

O próximo problema que os responsáveis pela aplicação da lei enfrentarão agora é que, assim que os sindicatos de cibercriminosos compreenderem plenamente até que ponto as agências de aplicação da lei podem perturbar as suas operações, garantirão que têm acesso a infraestrutura adicional e domínios disponíveis em modo de espera. O tempo necessário para reiniciar as suas operações continuará, assim, a diminuir. Teoricamente, os responsáveis pela aplicação da lei poderão identificar essa infraestrutura de reserva antes de ser ativada, mas garantir que toda ela seja desativada será um desafio significativo. Independentemente da quantidade dessa infraestrutura que seja desativada, os sindicatos de cibercriminosos continuarão a tornar-se mais resilientes adotando muitas das mesmas melhores práticas que as equipas modernas de TI utilizam para garantir a disponibilidade das aplicações.

Nada disso significa que não se deva fazer um esforço para perturbar as operações dos sindicatos de cibercriminosos, mas o foco deve permanecer na identificação e eventual detenção dos autores desses crimes. Perturbar a infraestrutura de TI é aproximadamente o equivalente digital aos agentes da lei dos anos 1920 invadindo um armazém cheio de bebidas alcoólicas ilegais que são depois despejadas nos esgotos. Se ninguém for detido, os gangsters simplesmente mudarão para outro armazém.

Entretanto, as equipas de cibersegurança não devem assumir que a desativação da infraestrutura pertencente a grandes gangues de cibercriminosos é mais do que um alívio momentâneo. É claro que há muitos atores maliciosos dispostos a preencher qualquer vazio que seja criado. Afinal, a única diferença real é que, quanto mais recente for o sindicato, menos organizado tende a ser em comparação com sindicatos mais estabelecidos que, para melhor ou para pior, evoluíram para organizações de serviços profissionais com quem é mais fácil negociar.