Read, hack, repeat

Europol e FBI derrubam botnet Emotet e ransomware NetWalker

Guilherme Petry

Autoridades policiais e judiciais de todo o mundo interromperam “um dos botnets mais importantes da última década”, o Emotet, informou a Europol, na quarta-feira (27). Segundo a polícia europeia, o controle da infraestrutura da rede de computadores de vítimas do Emotet já está sob responsabilidade dos investigadores.

De acordo com a Europol, o Emotet é uma das redes de cibercrime mais profissionais e duradouras que já existiu. Foi descoberto pela primeira vez em 2014, disseminando trojans bancários e com o tempo, evoluiu para uma solução cibercriminosa completa e profissional.

“A infraestrutura Emotet atuou essencialmente como um abridor de portas principal para sistemas de computador em uma escala global. Depois que esse acesso não autorizado era estabelecido, eles eram vendidos para outros grupos criminosos de alto nível para que implementassem outras atividades ilícitas, como roubo de dados e extorsão por meio de ransomware”, explica a Europol.

Nesta mesma quarta-feira (27), o Departamento de Justiça dos Estados Unidos (DOJ) anunciou que interrompeu a ação e disseminação do ransomware NetWalker. Segundo o departamento, o NetWalker infectou e extorquiu diversas empresas, governos, hospitais, policiais, serviços de emergência, escolas, faculdades e universidades. No entanto, o seu foco, pelo menos durante a pandemia do novo coronavírus (COVID-19), era o setor de saúde.

Nicholas McQuaid, procurador-geral do DOJ, conta que essa ação é um contra ataque à crescente ameaça de ransomware e pede que as vítimas de ransomware procurem à polícia imediatamente. “As vítimas de ransomware devem saber que comparecer à polícia o mais rápido possível após um ataque pode levar a resultados significativos”, explica.

Emotet

Como explica a Europol, o Emotet se camuflava em documentos do Microsoft Word, espalhados via e-mail e utilizava uma variedade de iscas diferentes para seduzir vítimas a clicar no documento e rodar o malware. “No passado, as campanhas de e-mail do Emotet também eram apresentadas como faturas, avisos de envio e informações sobre a COVID-19”, escreve a corporação.

Depois de infectar as vítimas, os cibercriminosos responsáveis pelo Emotet alugavam o acesso ao computador da vítima para outros cibercriminosos, para que esses instalassem mais malwares e roubassem os dados que quisessem, um verdadeiro serviço do cibercrime.

“Esse tipo de ataque é chamado de operação de 'carregador', e o Emotet é considerado um dos maiores participantes do mundo do crime cibernético, já que outros operadores de malware como TrickBot e Ryuk se beneficiaram disso”, escreve a corporação.

A operação fechou centenas de servidores do Emotet espalhados pelo mundo. Cada um desses servidores possuía uma função diferente na gestão dos computadores das vítimas. Segundo a Europol, os servidores, junto com máquinas de vítimas infectadas estão sendo analisadas na investigação.

Essa operação é uma ação conjunta de polícias e autoridades da Holanda, Alemanha, Estados Unidos, Reino Unido, França, Lituânia, Canadá e Ucrânia, com a atividade internacional coordenada pela Europol e Eurojust.

Infográfico sobre o Emotet, publicado junto com o comunicado da Europol.
Infográfico sobre o Emotet, publicado junto com o comunicado da Europol.

NetWalker

De acordo com o DOJ, o site oficial do ransomware NetWalker, acessível pelo navegador Tor, foi derrubado nesta semana. Os cibercriminosos, utilizavam o site para anunciar novos ataques, vazar dados de vítimas que não pagavam pelo resgate, além de se comunicar com clientes e vítimas. O site agora exibe a clássica imagem do FBI, quando derruba sites ilegais.

Mensagem deixada pelo FBI no lugar do site do NetWalker. Foto: Departamento de Justiça dos EUA.
Mensagem deixada pelo FBI no lugar do site do NetWalker. Foto: Departamento de Justiça dos EUA.

A operação, coordenada pelo FBI, conseguiu recuperar aproximadamente US$ 454 mil em criptomoedas, além de desativar um recurso de comunicação das vítimas com os responsáveis pelo ransomware. Um cidadão canadense foi preso acusado de ter obtido, pelo menos, mais de US$ 27 milhões, como pagamento de resgate de dados de ataques de ransomware que participou.

Segundo Maria Lopez, procuradora do DOJ, essa foi uma ação delicada e embora seja difícil de identificar esquemas sofisticados como esse, ninguém consegue ser 100% anônimo na internet. “Embora esses indivíduos acreditem que operam anonimamente no espaço digital, temos a habilidade e tenacidade para identificar e processar esses atores em toda a extensão da lei e apreender seus rendimentos criminais”, garante a procuradora.

O NetWalker, assim como o botnet Emotet, funcionava como um serviço, nesse caso um “ransomware-as-a-service”. Ou seja, os responsáveis por desenvolver, atualizar e aplicar o ransomware, alugavam a sua ferramenta para outros cibercriminosos interessados em aplicar ataques de ransomware. Depois que a vítima pagava pelo resgate, os desenvolvedores e os clientes dividiam os “lucros”.

Nesta semana, a polícia da Bulgária também derrubou um recurso de comunicação, disponível na dark web, utilizado pelos cibercriminosos do NetWalker para se comunicar com suas vítimas e clientes.


Fontes: Europol; Departamento de Justiça dos EUA.

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.