Faz sete anos que passeio entre fontes, grupos, fóruns, painéis e sites cibercriminosos para entender esse mundo. Se a velha escola do jornalismo dependia muitas vezes do vazamento de informações ou de documentos sensíveis para um furo de reportagem — e por documentos eu quero dizer papéis físicos —, agora os leaks e os dumps que chegam às centenas nas mãos de jornalistas são os novos motores da revelação de algo que impacta negativamente a sociedade ou que destranca uma informação relevante ao público. O modus operandi é o mesmo: mudam os meios.
O seu banco não cuidou de seus dados como deveria, aquela loja de ecommerce deixou acessarem os dados de seu cartão de crédito, um governo se provou amador na cibersegurança e teve um ministério atacado afetando a população. Todas as notícias que envolveram temas como esses ou similares possuem o mesmo fator em comum, que é a assinatura.
A assinatura é o fator comum de praticamente todos os ataques cibernéticos
Veja: investimento em cibersegurança é importante, mas o cibercrime é, no final das contas, um crime. E praticamente ninguém está 100% preparado para sofrer um crime, não existe uma bala de prata.
Por isso, a assinatura é o fator comum de praticamente todos os ataques cibernéticos realizados. Quem fez? Por que fez? Qual o objetivo? Às vezes, a resposta verdadeira é a mais simples que existe: o reconhecimento.
Lapsus
Um recorte simples
Podemos dividir o cibercrime em três grupos no Brasil. O primeiro grupo envolve jovens com idade entre 11 e 18 anos que buscam testar habilidades cibernéticas realizando pequenas intervenções e 'golpes' online. Deface e XSS são duas práticas bem comuns nesse grupo.
O deface é quando um site tem sua aparência alterada por um atacante, como uma pichação. O XSS é uma vulnerabilidade em sistema que permite a injeção de script por invasores.
O segundo grupo também se enquadra como cibercrime, mas seus agentes não possuem uma habilidade ímpar com códigos, nem tenta almejar algo além disso. Normalmente, é composto por homens mais velhos que realizam golpes como phishing, painéis para roubo de cartão de crédito, desvios de cartão pelos Correios, golpes na OLX e Mercado Livre etc.
Obviamente, ainda existem as centrais do crime e quadrilhas que podem ser encaradas como um verdadeiro squad empresarial, mas isso é papo para outra hora.
De modo simples e resumido, são três grupos de cibercriminosos
Por último, existe o terceiro grupo. Aqui se encontra uma galera mais difícil de ter contato: black hats, desenvolvedores de painéis para roubos diversos, criadores ou manipuladores de malware etc.
Tudo isso funciona como uma “hierarquia de habilidades” dentro do crime. O terceiro grupo é praticamente inacessível, o segundo grupo quer distância da mídia e pratica tanto assédio quanto ameaças à imprensa quando seu trabalho é “melado”.
Já o primeiro grupo, na maioria das vezes, não tem qualquer ganho financeiro e costuma ser o que mais entra em contato com a imprensa para divulgar suas descobertas — é preciso notar que estou falando de cibercrime, não estou aqui notando o contato de hackers éticos e pesquisadores de segurança.
É nesse primeiro grupo, por incrível que pareça para você, que se enquadra o Lapsus Group, responsável pelo ataque cibernético ao Ministério da Saúde e ao suposto ataque à operadora Claro.
Eu precisava te entregar esse contexto antes de continuarmos nossa conversa.
Acesso ao AWS
Ações do Lapsus
A história por trás do incidente cibernético no Ministério da Saúde se mostrou uma das narrativas mais cinzas de incidentes que já cobri. Praticamente, o governo não fez questão de detalhar o que aconteceu de fato, nem o impacto gerado em sua totalidade. Menos ainda os passos que seriam tomados.
O que temos até o momento são informações repassadas pelo próprio grupo Lapsus, que reivindicou o ataque — e mesmo por eles, as informações são confusas e afirmações anteriores acabaram sendo modificadas por eles mesmos.
O que sabemos e supomos: o grupo cibercriminoso Lapsus conseguiu uma credencial que estava pública do Amazon Web Services (AWS) utilizado pela Saúde e conseguiu acesso de administrador ao sistema.
Para facilitar o entendimento se esse não é o seu mundo: o AWS é uma plataforma de serviços em nuvem. Basicamente, o cérebro do Ministério estava armazenado nessa nuvem.
Os sistemas de saúde do Brasil continuam capengas e vivemos um apagão de dados oficiais
Dessa maneira, o grupo teria apagado dados e pediu um resgate para disponibilizá-los novamente. Vale lembrar ainda que o Lapsus fez um deface no site do Ministério da Saúde — inicialmente, foi encarado como DNS hijacking, mas até agora não há uma informação concreta sobre isso.
Outro ponto. A equipe afirmou que teria feito um ransomware no Ministério e na operadora Claro, e isso levantou muitas suspeitas porque nunca houve malware para criptografar arquivos nessa história. Mas o ransomware não se limita ao “vírus” presente (segundo o Lapsus) e, dobrando a expressão, ela foi empregada mesmo assim.
Enquanto esse ponto ainda está em uma área cinza, seguiremos informando sobre esse tipo de incidente como "ransom", apenas — algo como "resgate" na tradução literal.
O Lapsus apareceu de fato na cena no dia 10 de dezembro com este ataque. O resto da história a gente sabe até hoje: os sistemas de saúde do Brasil continuam capengas e vivemos um apagão de dados oficiais. Se políticos aproveitaram o momento de instabilidade para manter os dados escondidos ou não contabilizados é outra teoria, outra história e, de novo, não é a conversa de agora.
SS7 da Claro
Vanitas Vanitatum
A mãe dos pecados capitais é a vaidade, dizem. O ego, a vaidade e ser reconhecido são fatores que pesam muito entre os participantes daquele primeiro grupo que já citei.
Ter o seu nick (apelido, vulgo) ou o nome da sua team (equipe) estampado nas matérias da imprensa faz bater um orgulho enorme nos cibercriminosos.
Entre 2015 e 2017, uma equipe começou a surgir em diversas notícias na internet com ações de ataques DDoS e alguns vazamentos de dados “públicos de políticos”. Esse grupo se chama CyberTeam e tinha como líder o nick Zambrius.
“Quem tem boca fala o que quer pra ter nome, pra ganhar atenção das muié e outros homens”
Em 2016, eu cheguei a noticiar algumas ações realizadas por eles. Porém, com o tempo, seus ataques não foram se provando e pior: a CyberTeam começou a reivindicar ataques que não foram feitos por eles — ou se aproveitar de problemas técnicos em empresas grandes e afirmar que eles foram os responsáveis.
A equipe virou chacota. Reivindicaram que uma queda no Google Search teria acontecido por causa de um ataque DDoS deles, mentira. Reivindicaram ataque e queda no WhatsApp, mentira.
Após alguns meses longe dos holofotes, a CyberTeam entrou em contato comigo ao longo de um ano por quatro vezes para afirmar que Zambrius, líder da equipe, teria praticado o suicídio. Mentira.
Zambrius foi preso em Portugal em 2020 por ter supostamente invadido ciberneticamente o Tribunal Superior Eleitoral do Brasil — note o supostamente. Além disso, autoridades acreditavam que ele possuía ligação com o “megavazamento de dados” alardeado no começo de 2021. Ação também, no mínimo, suspeita.
Em 2019, eu afirmei para uma fonte em conversa sobre a CyberTeam: “Zambrius sonha em ser preso, quer aparecer nas capas dos jornais”. Verdade, seu objetivo foi alcançado.
Prisão de Zambrius
Voltando ao Lapsus
Desde o dia 10 de dezembro de 2021, quando o Grupo Lapsus reivindicou o ataque ao Ministério da Saúde do Brasil, um canal foi aberto no Telegram para que os participantes da equipe informassem suas ações. Isso acontece até hoje.
Além disso, o canal é aberto para qualquer pessoa entrar e comentar. Por isso, é comum ter conversas com milhares de mensagens e assuntos dos mais variados possíveis: o canal do Lapsus virou um ponto de encontro.
O líder da equipe tem nick, é Alexander Pavlov, que ironicamente se apresenta com uma imagem de perfil de Kim Jong-un, Líder Supremo da Coreia do Norte.
Eu consegui receber algumas mensagens e informações mais detalhadas de Pavlov — que foram publicadas aqui no site ou no meu perfil do Twitter — por meio de um mediador que obteve a confiança do líder. Julio Queiros, leitor do TecMundo, foi o responsável por facilitar a nossa comunicação.
Alexander faz o tipo durão, não gosta de respostas longas ou elaboradas. Mas responde, e gosta da atenção empregada pela imprensa.
Negociações de ransomware acontecem na surdina e os operadores do malware são praticamente inacessíveis
Quando perguntado por que criar um canal no Telegram, respondeu que “fez principalmente pela diversão, para conseguir alguns apoiadores”. E por qual motivo permitir que milhares de pessoas tenham acesso irrestrito às publicações e possam conversar entre si, criando uma comunidade aberta para público e imprensa ficar de olho? “Porque eu posso”, foi a resposta.
Normalmente, negociações de ransomware acontecem na surdina e os operadores do malware são praticamente inacessíveis. Poucas empresas revelam quanto pagaram aos cibercriminosos; a JBS, por exemplo, pagou US$ 11 milhões.
No caso do Lapsus, houve muito alarde. O motivo? “Nós entendemos que de uma maneira reservada a probabilidade de pagamento seria menor”. Por isso, não poderia deixar de perguntar e perceber, depois, a incongruência de argumento:
- TecMundo: Então você acredita que a mídia divulgando o ataque de alguma maneira ajuda a colocar pressão para eles realizarem o pagamento?
- Alexander Pavlov: Não, eu não acredito
Pavlov
Claro
Após o ataque ao Ministério da Saúde, o Lapsus divulgou na rede social Reddit que pagariam US$ 50 mil semanais para funcionários das operadoras Claro e Vivo por acesso ao sistema interno.
Alguns dias após a publicação, usuários da Claro começaram a encher as redes sociais de reclamações sobre instabilidades nos serviços. A operadora respondeu que não foi atacada e que os sistemas já estariam em plena operabilidade.
Então, veio a publicação do grupo no Telegram: “Informamos que a Claro, Embratel e NET sofreram uma grande violação de dados, no mês passado estivemos rodando para vários sistemas. Os sistemas que acessamos: Muitos AWS, 2x Gitlab, SVN, x5 vCenter (MCK, CPQCLOUD, EOS, ODIN), armazenamento Dell EMC, todas as caixas de entrada, Telecom / SS7, Vigia (interceptação policial), MTAWEB e WPP (gerenciamento de cliente), e muito mais”.
Eles supostamente receberam a ajuda e não tiveram que pagar pelo feito
O comunicado seguiu: “A quantidade total de dados aos quais tivemos acesso excede 10 PB ~ 10.000 TB, incluindo informações do cliente, infraestrutura de telecomunicações, documentos jurídicos, pedidos de escuta telefônica, código-fonte, e-mails. Nós chegaremos a um acordo, onde tal eu apago os dados em troca de uma pequena recompensa/taxa. Caso contrário, seremos forçados a compartilhar os dados com os olhos do público. Devo acrescentar que o vazamento de ordens jurídicas confidenciais e escutas telefônicas causaria grandes problemas de aplicação da lei”.
Pedimos provas do suposto ataque e recebemos diversos painéis internos da Claro, principalmente prints que mostravam acessos aos sistemas de controle.
Isso significa que o grupo teve sucesso ao pagar um funcionário interno? A resposta é mais incrível do que parece, porque eles supostamente receberam a ajuda e não tiveram que pagar pelo feito.
“Na verdade, eles trabalharam para mim gratuitamente. Eu não precisei fazer um pagamento”, disse Pavlov. Eu perguntei o motivo, mas Pavlov se limitou a dizer que as pessoas que o ajudaram se aproveitam do acesso para realizar outras ações: “Eles possuem um ‘projeto’ que fornece contas mais baratas para usuários Claro (o cliente paga apenas 50% da conta)”.
E a Claro fez algum pagamento sobre o ransom do Lapsus? A resposta foi que não.
Senha 12345678 da Saúde
Quem estaria por trás
Os autores que comandam o Lapsus são desconhecidos, apesar de um nick ter ficado bastante famoso: Alexander Pavlov, que também é chamado de "whitedoxbin".
De maneira óbvia, a identidade real dos líderes dessas equipes dificilmente é obtida, mas a especulação em torno de "whitedoxbin" indica que ele seria um garoto de 16 anos que mora no Reino Unido. Fotos do jovem já estariam sendo compartilhadas em grupos.
O rapaz era velho conhecido do cibercrime por vender serviços de botnet
A principal ligação feita é que "whitedoxbin" seria um dos administradores do Doxxbin, um serviço usado para revelar a identidade real por trás de nicks na internet. De acordo com uma fonte que entrou em contato comigo, o rapaz era velho conhecido do cibercrime por vender serviços de botnet pra DDoS em fórums.
É praticamente impossível confirmar as informações, mas possivelmente em breve poderemos atualizar nossa conversa.
Uma das imagens que "revelam" whitedoxbin
Nova modalidade deve crescer
Perguntei ao Alexander quanto o Grupo Lapsus ganhou até o momento. De acordo com ele, foram US$ 750 mil em cerca de 12 meses, algo como R$ 4,2 milhões na cotação atual da moeda. Obviamente, não há como confirmar essa informação.
Juntar as pontas nesse caso não é tão difícil: o Lapsus não é formado por cibercriminosos altamente capacitados, mas é um grupo que descobriu um modus operandi que deve definir uma nova tônica para o cibercrime daquele primeiro grupo citado na hierarquia.
O que nos falta para combater esses ataques cibernéticos?
O ransomware sem malware é um modo que deve começar a ser mais explorado agora por grupos de script-kiddies e pessoas que buscam um dinheiro fácil. Para tanto, basta conseguir acesso interno — e, como no caso do Lapsus, ainda existe muita credencial exposta na internet.
Uma questão que ainda bate na minha cabeça, faz alguns anos, é a seguinte: se o governo e as empresas brasileiras tivessem programas de bug bounty bem estabelecidos, o número de incidentes cibernéticos diminuiria?
Respostas para questões como “a maioria das empresas faz treinamento de cibersegurança adequado e recorrente para funcionários?” e “o governo emprega qualidade e investimento na área ciber?”, infelizmente, já sabemos.
Denúncias ao TecMundo
O TecMundo apoia o trabalho de hackers éticos, nossos canais de contato são:
Categorias
