Desenvolvedores não sabiam, mas atuavam no cibercrime

Depois de passarem pela seleção, realizada pelo departamento de recursos humanos, e serem informados sobre os benefícios oferecidos pela companhia (como bônus, plano de carreira e escolha de funcionário do mês), muitos profissionais do Grupo Conti trabalhavam na empresa russa como se ela fosse uma companhia qualquer. Só que não era.

Leia mais:

• Golpe promete dinheiro para quem usar o ChatGPT

• Itália está sob ‘maciço ataque ransomware’, diz agência nacional

A Conti era, na verdade, uma plataforma de ransomware como serviço (ransomware-as-a-service – RaaS): interessados podiam alugar sua infraestrutura para fazer ataques. Entre as vítimas da corporação estão o sistema de saúde da Irlanda e outras infraestruturas críticas.

Há um ano, um hacker ucraniano expôs a operação em retaliação a um post pró-Rússia publicado por um dos líderes da organização depois que o país invadiu a Ucrânia. Os documentos internos revelados incluem logs de bate-papo e outros dados, como os códigos-fonte do ransomware Conti (provavelmente o item mais importante) e do malware TrickBot, um descriptografador e os painéis administrativos dos criminosos.

Analistas avaliaram o material e descobriram que o Grupo Conti operava como uma empresa legítima de alta tecnologia. O material tem dados sobre o tamanho da empresa, sua liderança e seus negócios.

O fato de a organização ter um departamento de recursos humanos indica o grau de profissionalismo da operação. Se não tivesse escolhido o lado russo no conflito contra a Ucrânia — iniciado em 24 de fevereiro de 2022 —, a Conti poderia ter mantido sua operação de forma silenciosa.

Enquanto a empresa parecia legítima, há evidências de que a maioria dos empregados não sabia que trabalhava para o cibercrime. Quando descobriam, muitos deixavam a companhia — e, apesar de alguns provavelmente não se importarem, a rotatividade era alta.

A organização foi identificada pela polícia federal americana (Federal Bureau of Investigation – FBI) como um dos grupos de ransomware mais produtivos de 2021. Surgida em 2020, se tornou uma das maiores organizações de ransomware do mundo. Shmuel Gihon, pesquisador da Cyberint, estima que seus integrantes ganharam, coletivamente, US$ 2,7 bilhões em criptomoedas em dois anos.

O Internet Crime Report 2021 do FBI classifica o ransomware da Conti entre as três principais variantes cujo alvo foi a infraestrutura crítica dos EUA em 2021. Segundo o levantamento do órgão, os principais setores buscados pela Conti eram manufatura crítica, instalações comerciais e alimentos e agricultura. “Eles são o grupo mais bem-sucedido até o momento”, diz Gihon.

A companhia tinha até uma equipe de pesquisa e desenvolvimento e outra de desenvolvimento de negócios. Enquanto uma das funções do setor de recursos humanos era fazer a integração dos trabalhadores à empresa, o departamento de finanças tinha a lavagem de dinheiro como uma de suas atribuições.

Como o Grupo tinha escritórios físicos na Rússia, especula-se sobre relações com o governo local. “Supomos que uma organização tão grande, com escritórios físicos e enormes receitas, não seria capaz de atuar na Rússia sem aprovação total, ou alguma cooperação, dos serviços de inteligência”, diz Lotem Finkelstein, diretor de inteligência de ameaças da Check Point Software Technologies, em entrevista à CNBC. Em outras oportunidades, a Rússia negou participação em ataques cibercriminosos.

Comissões de resgates

A organização tinha negociadores, que recebiam comissões de 0,5% a 1% dos resgates pagos. Além disso, os trabalhadores da equipe participavam de programa de indicação de funcionários — que garantia bônus a quem recrutasse profissionais que permanecessem pelo menos um mês na empresa — e participavam da competição de funcionário do mês, com prêmio de meio salário.

Ao se dirigir aos empregados, os gestores se referiam ao trabalho na Conti como uma oportunidade única, com salário alto, tarefas interessantes e plano de carreira. No dia a dia, entretanto, havia ameaças de desligamento se mensagens não fossem respondidas em até três horas e trabalho em fins de semana e feriados.

Aqueles que não tinham bom desempenho, cometiam erros que levavam a perdas ou faltavam sem motivo eram multados, segundo a Check Point Research — o dinheiro obtido com as multas ia para o fundo do funcionário do mês. As identidades eram mascaradas: Stern (chefão), Buza (gerente técnico), Target (responsável pelas operações do escritório), Bentley (líder técnico), Mango (gerente geral) e Veron (referência para operações com o Emotet), também conhecido como Mors, eram algumas delas.

Entre os documentos expostos, o material de treinamento da Conti se destaca: os processos são muito bem documentados, já que frequentemente era preciso instruir novos contratados. Para analistas, o conteúdo pode ser útil para equipes de segurança de outras companhias saberem como a Conti treinava seus ciberatacantes.

Trabalhadores enganados

Os empregados vinham tanto de empresas de recrutamento legítimas quanto do submundo do crime. Com o alto índice de rotatividade de profissionais na empresa, especialmente dos iniciantes, a agilidade para contratar era importante.

Nem todos os trabalhadores atuavam como especialistas em tecnologia da informação. Havia, por exemplo, funcionários de call center. “Alguns acreditavam trabalhar para uma empresa de publicidade, mas atuavam em um grupo de ransomware”, conta Finkelstein.

Os gerentes mentiam para os candidatos sobre a companhia. “A principal atividade da empresa é desenvolver software para pentesters”, ouviu um interessado em uma vaga. Pentesters são especialistas em segurança cibernética que simulam ataques contra redes de computadores de suas próprias empresas.

Nas mensagens expostas, Stern explica que os desenvolvedores trabalhavam em um módulo ou parte do software, em vez de todo o programa — isso evitava que desconfiassem da atuação da organização. Mesmo assim, havia opções em caso de eventuais descobertas. “Se eles descobrirem, oferecemos um aumento de salário para ficarem.”

O Grupo não anunciava vagas de emprego em sites. Em vez disso, buscava profissionais em bancos de currículos de empresas de recrutamento e entrava em contato com eles por e-mail. Um desses serviços é o headhunter.ru — apesar de o site não oferecer acesso a essas informações, a Conti as usava sem permissão.

Em conversa com um novato, Bentley disse que o trabalho não era difícil, mas monótono. “Fazer a mesma coisa todo dia”, explica. “Basicamente, é preciso executar arquivos e verificá-los de acordo com o algoritmo.” O trabalho incluía, ainda, comunicação com o codificador para receber arquivos e enviar relatórios, e com o criptografador para enviar o código testado. Se erros aparecessem durante o teste, era preciso enviar relatórios para o criptografador.

O teste do malware tinha de ser repetido a cada quatro horas para garantir que novas capacidades de detecção adicionadas ao Windows Defender não interferissem no código. “Você precisa trabalhar por oito horas antes das 20h/21h em Moscou”, completa.

Uma conversa entre Mango e Stern em julho de 2021 indica que, depois de anunciar vagas em fóruns cibercriminosos em russo com salário de US$ 2 mil, a Conti recebeu inúmeros comentários negativos. “Quando dizemos que quem traz resultados pode ganhar mais, eles dão exemplos de desenvolvedores que ganham salários de US$ 5 mil a US$ 10 mil”, explica.

O Grupo empregava dezenas de pessoas para testar, manter e expandir continuamente a infraestrutura de crime como serviço 24 horas por dia, sete dias por semana. Segundo Mango, em 18 de julho de 2021, havia 62 empregados na companhia — a maioria programadores e testadores iniciantes. A quantidade, entretanto, flutuava bastante: em diferentes ocasiões, a organização dispensou trabalhadores por medida de segurança. Em 30 de julho de 2021, eram 87 assalariados e, segundo Mango, mais contratações ocorreriam.

Mango destaca, ainda, que a Conti tem todas as oportunidades, mas precisa ser mais profissional. “Ou escrevemos bobagens em bate-papos ou não respondemos pacientes [vítimas] por meio dia”, escreveu ele em 27 de agosto de 2021. “Naturalmente, nossos afiliados ficam nervosos depois disso.”

Inquietação entre gestores

Antes mesmo da revelação das informações, já havia sinais de inquietação. Em meados de janeiro de 2022, Stern parou de enviar mensagens, assim como os pagamentos dos profissionais foram suspensos. Um pouco antes da exposição, uma mensagem interna demonstrava a preocupação. “Houve prisões… Não há chefe, não há clareza… Não há dinheiro também… Preciso pedir que todos vocês tirem 2 ou 3 meses de férias.”

O governo dos EUA chegou a oferecer uma recompensa de US$ 10 milhões para informações sobre os líderes da Conti. “Isso não significou que os integrantes passaram a fazer trabalho de caridade”, ironiza Maya Horowitz, vice-presidente de pesquisas da Check Point. Não é a primeira vez que o Grupo enfrenta contratempos. Eles já passaram, por exemplo, pelo desativamento temporário do Trickbot e até prisões de suspeitos de atuarem com o malware.

Especialistas acreditam que a Conti era a nova marca de outro ransomware, o Ryuk. Segundo o FBI, o Ryuk conseguiu mais de US$ 61 milhões em pagamentos de resgate apenas em seu primeiro ano de operação. Na comunicação interna da empresa, havia discussão de planos futuros: uma corretora de criptoativos no ecossistema do Grupo e uma rede social na dark web — um projeto que tinha pretensões comerciais. “Pela primeira vez, temos acesso a informações sobre o grupo que é conhecido como a face do ransomware”, aponta Finkelstein.