PUBLICIDADE
Topo

Gangue que atacou "SUS" da Irlanda faz parte do primeiro cartel de hackers

Rotunda Hospital foi afetado pelo ataque cibernético - Alexander P Kapp/Wikipedia
Rotunda Hospital foi afetado pelo ataque cibernético Imagem: Alexander P Kapp/Wikipedia

Mirthyani Bezerra

Colaboração para Tilt, em Dublin

20/05/2021 12h01

Uma gangue russa de cibercriminosos estaria por trás do ataque ransomware aos sistemas de informação do serviço público de saúde da Irlanda, o HSE Ireland, ocorrido na última sexta-feira, segundo autoridades irlandesas. O grupo, chamado de Wizard Spider (algo como aranha feiticeira, em tradução livre), é parte do primeiro cibercartel do mundo, conhecido como Ransom Cartel, formado por ao menos cinco gangues cibernéticas de língua russa.

Especialistas em cibersegurança afirmam que o ataque hacker sofrido pelo HSE envolveu um ransomware conhecido como Conti, criado pela gangue, e que tem sido observado em incidentes semelhantes desde o ano passado.

O cartel já seria o líder mundial de cibercrimes. As gangues que formam o Ransom Cartel (também conhecido como Maze Cartel) teriam unido forças em meados do ano passado. Seriam elas: Twister Spider, Wizard Spider, Viking Spider, gangue Lockbit, gangue SunCrypt.

Estrutura de empresa

As gangues que fazem parte do cartel se ajudariam em troca de uma parte dos resgates pagos após o sequestro dos dados dos sistemas. "Eles também alugam seus serviços e lucram com os ganhos", disse James Sullivan, diretor de pesquisa cibernética do Royal United Services Institute (Rusi) em Londres, em entrevista ao The Irish Times.

Segundo Sullivan, o grupo teria uma estrutura de empresa, com líder de equipe, administradores de rede, codificadores, mineradores de dados e especialistas financeiros — para lavar o dinheiro do resgate.

Agências de inteligência internacionais estimam que cerca de 80 pessoas atuem para o Wizard Spider, muitas delas sem saber que estão trabalhando para criminosos. O grupo estaria empregando programadores e hackers para trabalhar temporariamente e por meio período, para não gerar suspeitas.

Os cibercriminosos comercializam seus serviços de hackeamento em sites clandestinos, mas não os anunciam abertamente na darknet e só trabalham com criminosos conhecidos, por questões de segurança.

Direto da Rússia

De acordo com agências de inteligência internacionais, a base do grupo seria São Petersburgo, na Rússia. Existem rumores de que a Rússia toleraria a atuação do cibercartel desde que seus alvos estejam fora do país.

Segundo investigadores, o código que eles usam no ransomware seria programado para se desinstalar e travar em um sistema de idioma russo ou com endereço de IP nos antigos estados soviéticos.

A embaixada russa na Irlanda informou em nota que condena os ataques e está disposta a "examinar o assunto". Segundo a representação diplomática, o governo russo tem promovido iniciativas para fortalecer a cooperação internacional em questões de segurança da informação e enfrentar o cibercrime.

Os membros do grupo nunca foram identificados, mas agências de inteligência afirmam que eles nunca deixaram a Rússia por medo de serem presos ao sair do país. Além disso, é provável que pessoas de outros países, como a Ucrânia, também façam parte do cibercartel. Também acredita-se que seus membros nunca se encontraram pessoalmente e nem se conhecem, tudo seria feito na darknet.

Ataque sem precedentes

FBI, Interpol, Europol, Agência Nacional do Crime do Reino Unido e outras agências estariam investigando a atuação do Wizard Spider já há alguns anos, segundo reportagem da RTÉ, emissora pública da Irlanda. Há suspeitas de que eles estiveram envolvidos em ataques de um malware conhecido como 'Dyre', em 2014 e 2015.

Além de usarem o ransomware Conti, investigadores dizem que o grupo também invade sistemas usando o Ryuk, e que resgates têm sido pagos em contas de bitcoins ligadas ao Wizard Spider. Existem evidências de que o Wizard Spider seja a primeira gangue cibernética do mundo a ter malware de espionagem.

Segundo especialistas, isso pode significar que a gangue tem atacado por meio de vários métodos ao mesmo tempo, o que faz dela a maior e mais poderosa do chamado Ransom Cartel.

O Wizard Spider já teria atacado sistemas de saúde, mas nenhum desses incidentes teriam tido a dimensão do ocorrido na Irlanda. Segundo a imprensa irlandesa, os criminosos estão pedindo US$ 20 milhões (cerca de R$ 105 milhões) em bitcoins. A ministra da Justiça, Heather Humphreys, reiteirou hoje que o valor não será pago.

"O direcionamento deliberado em um sistema de saúde administrado pelo estado não tem paralelo em minha experiência", disse Ciaran Martin, ex-diretor do NCSC (Centro Nacional de Segurança Cibernética) britânico, em reportagem do The Irish Times.

Há quatro anos, o NHS (sistema público de saúde do Reino Unido) também foi vítima de um ataque pelo ransomware WannaCry, mas segundo o especialista, o sistema não teria sido o alvo original da invasão. O ataque teria sido acidental, durante um esforço da Coreia do Norte para roubar bancos asiáticos.