Tecnologia e Ciência

Ragnar Locker: grupo de hackers que atacou EDP e TAP permanece um mistério. E provavelmente vai continuar assim

Logotipo do grupo de cibercriminosos Ragnar Locker

Atuam como uma empresa e até fazem estudos de mercado, mas são um grupo de cibercriminosos especializado em atacar entidades com dinheiro para pagar resgates. Sabe-se que têm comandos no código-fonte que travam automaticamente ataques em países da antiga União Soviética, mas quase permanecem envoltos em mistério. Afinal, quem é o grupo de cibercriminosos que atacou a EDP e a TAP?

19 setembro 2022 20:56

Para quê ter 250 dólares quando se pode chegar aos 10 ou 20 milhões? A questão é colocada por Vítor Ventura, investigador de cibersegurança da Cisco Talos, mas muito antes disso já havia sido trabalhada pelo grupo Maze, que se dedicava a bloquear computadores e bases de dados e a pedir resgates em troca, como ditam as duras regras do ransomware. Depois de encontrar resposta para a questão inicial, o grupo passou a dedicar-se a ataques a grandes empresas, por volta de 2019. Pouco depois, já em 2020, dissolveu-se – mas o momento de viragem estava feito. Numa ligação ainda por clarificar, surge uma página na Dark Web que associa o Maze a outros grupos de ransomware – e é nessa página que consta a primeira referência aos Ragnar Locker, enquanto grupo especializado em ataques a grandes empresas – como a EDP e a TAP, que figuram entre as vítimas conhecidas em Portugal.

“Não se apanha uma TAP por acaso. Houve mesmo uma intenção de ir atrás de uma empresa como a TAP”, garante Vítor Ventura.

Provavelmente, a análise de Vítor Ventura também se poderá aplicar ao ataque que os Ragnar Locker lançaram, em junho de 2020, contra a EDP. Nessa altura, só a arquitetura da rede elétrica impediu que parte do país ficasse às escuras após a infeção e o bloqueio de computadores e repositórios de dados e um pedido de 10 milhões de euros de resgate. A EDP sempre rejeitou ter pago o resgate – e a conta que os Ragnar Locker disponibilizaram para pagamento de resgates em bitcoins atesta que não recebeu qualquer transação desde a criação. O que pode ser uma prova de que a EDP realmente não pagou qualquer resgate.

Nem todos os casos serão assim. E há quem admita que algumas empresas propõem pagamentos de resgates por vias alternativas àquelas que são propostas pelos cibercriminosos, precisamente para evitar as constrangedoras provas de colaboração com os criminosos.

“Há sempre grupos de ransomware a aparecer, porque há empresas que pagam os resgates. Mas não deviam pagar. Esse dinheiro deveria ser aplicado em proteções e cópias de segurança dos dados”, sugere David Russo, diretor de Tecnologias da empresa de cibersegurança CyberS3c.

FBI contra dois anos de mistério

A EDP tornou-se numa das primeiras vítimas do grupo Ragnar Locker – mas o mistério sobre o grupo nunca se dissipou nos dois anos seguintes.

“A certa altura, achou-se que o Maze tinha-se transformado num cartel, mas a verdade é que desapareceu pouco depois. Claro que nada disso impede que os cabecilhas tenham continuado a atividade noutros grupos. No caso do Ragnar Locker, sempre foi um grupo discreto, ao contrário, por exemplo, dos Lockbit, que fazem mais estardalhaço. Os Ragnar Locker fazem ataques, divulgam os dados das vítimas consoante recebam ou não dinheiro e depois seguem discretamente para outros alvos”, descreve Vítor Ventura.

Mensagem que o grupo Ragnar Locker deixou na Dark Web aquando do ataque à EDP, que encaminhava para uma ligação para uma carteira de bitcoins que nunca chegou a ser usada

Mensagem que o grupo Ragnar Locker deixou na Dark Web aquando do ataque à EDP, que encaminhava para uma ligação para uma carteira de bitcoins que nunca chegou a ser usada

dr

Na Dark Web, a página dos Ragnar Locker confirma que há nomes de peso entre as vítimas da alegada discrição do grupo especializado em ransomware. Uma empresa que gere um oleoduto na Grécia com a marca DEFSA, a empresa de decoração Jonathan Adler, a fabricante de aviões Dassault Falcon Jet, ou a Nothern Data Systems figuram entre os atacados – mas a maioria das vítimas não é conhecida fora das fronteiras de origem. E o pior ainda pode estar para vir: de acordo com um relatório publicado em março pelos policiais do FBI, nos EUA, os Ragnar Locker têm em mãos dados de 52 entidades de 10 sectores ligados a infraestruturas que suportam as atividades do dia-a-dia.

Tirando os relatórios do FBI, não há muitos mais dados sobre o grupo de ransomware que tenham sido revelados pelas autoridades – nem sequer pelas polícias portuguesas que se encontram a investigar os ataques contra a TAP ou a EDP.

“Não são propriamente um grupo de amadores. Só com uma boa organização se consegue capacidade para produzir ransomware (para infetar computadores), desenvolver algoritmos de cifra (que mantêm computadores bloqueados) e ainda gerir carteiras de criptopmoedas (para receber os resgates das vítimas). São coisas que exigem muitas pessoas e uma divisão de tarefas. Mas a verdade é que o grupo continua a existir… e esse pode ser um sinal de que tem havido investimento em novas técnicas que evitam as proteções dos diferentes sistemas”, explica David Russo.

Ligações a Leste?

Quem segue de perto as movimentações no lado oculto da Internet admite que o grupo possa contar com membros de diferentes nacionalidades. E o boletim que o FBI publicou em março, de algum modo, aponta para uma nova pista. Uma análise aos códigos-fonte do ransomware usado pelos Ragnar Locker revela que há instruções automatizadas para travar qualquer ataque contra computadores que se encontrem em países como o Azerbaijão, Arménia, Bielorrússia, Cazaquistão, Quirguistão, Tajiquistão, Rússia, Turquemenistão, Usbequistão, Ucrânia, e Geórgia.

“Não posso dizer que o grupo Ragnar Locker está na Rússia, mas também não posso pôr as mãos no fogo e dizer que não está”, refere Valter Santos, coordenador da Equipa de Investigação de Cibersegurança da Bitsight.

O facto de proteger automaticamente países da antiga União Soviética não chega para deduzir a proveniência dos ataques, mas serve de alerta para uma tendência: “Não há sinais de colaboração entre o Ragnar Locker e estes países [que surgem no código-fonte], mas, como dizia o presidente dos EUA, Joe Biden, há pouco tempo, é tão responsável quem lança estes ataques como os governos que permitem que sejam lançados”, acrescenta Vítor Ventura.

O profissional de cibersegurança da Cisco Talos compara as relações dos grupos de ransomware com alguns governos ao que se passava, no tempo das Descobertas, com os corsários que beneficiavam de proteção direta ou indireta de algumas jurisdições. A guerra na Ucrânia também poderia potenciar leituras políticas, mas Vítor Ventura descarta essa via: “Para o Ragnar Locker é um negócio; não há cá jogadas políticas, ainda que os ataques que levam a cabo possam produzir impacto nas empresas e na concorrência económica entre diferentes países”.

Dois anos podem não parecer muito para polícias e juízes, mas podem revelar-se o equivalente a uma eternidade na Internet, tendo em conta o número de ferramentas que permite gerir redes de computadores infetados que são comandados remotamente, sem que os legítimos proprietários o saibam, apenas com o objetivo de dissimular os vetores de ataque dos cibercriminosos. A própria lógica empresarial adotada por estes grupos de ransomware que chegam a empregar centenas de pessoas acaba por dificultar ainda mais a investigação.

“Depois de atacarem as vítimas, segue-se uma chantagem composta por três fatores: encriptação de dados das empresas e pedido de resgate para a devolução da informação; publicação dos dados caso não seja pago o resgate; e no final ainda pode haver um ataque de negação de serviço”, descreve Valter Santos.

O especialista da BitSight também confirma a crescente veia empresarial dos grupos de ransomware. E recorda a revelação que surgiu após o desmantelamento do grupo de cibercriminosos conhecido por Conti, que se distribuía por três escritórios na Rússia, e estava arregimentado por departamentos de engenharia e vendas, bem como diferentes níveis hierárquicos que perseguiam objetivos mensais específicos – precisamente para poderem cumprir com os custos operacionais que alguns especialistas estimaram em 26 mil dólares mensais.

A 31 de agosto, os Ragnar Locker lançaram um ataque contra a TAP. Já a meados de setembro foram publicados os dados de 115 mil clientes e dados sensíveis de profissionais da transortadora - provavelmente em retaliação por não ter sido pago um resgate

A 31 de agosto, os Ragnar Locker lançaram um ataque contra a TAP. Já a meados de setembro foram publicados os dados de 115 mil clientes e dados sensíveis de profissionais da transortadora - provavelmente em retaliação por não ter sido pago um resgate

“Estes grupos fazem estudos de mercado e baseiam os pedidos de resgate consoante o volume de negócios dessas empresas. Claro que, neste momento, já preferem atacar o peixe mais graúdo”, refere Valter Santos.

Ransomware tem custos

Possivelmente, os Ragnar Locker também terão as suas contas para pagar. Até ao momento de viragem protagonizado pelo grupo Maze entre 2019 e 2020, os grupos de ransomware revelavam uma veia bastante democrática – e os ataques eram feitos a partir do envio de e-mails ou mensagens infetadas a um grande número de internautas, de vários países e estratos sociais. Mesmo que apenas 1% dos alvos clicassem em ligações ou ficheiros infetados de origem desconhecida, havia sempre a probabilidade acrescida de contar com um grande número de vítimas que eram encaminhadas para os departamentos de vendas, onde são tratadas como “clientes”, até pagarem o resgate.

Esta estratégia haveria de revelar uma fraqueza difícil de contornar: tem grandes custos operacionais e exige comunicação com pessoas dos vários continentes que tanto podem ter um pé-de-meia de milhares como apenas meia-dúzia de euros para pagar um resgate.

Os ataques à TAP e à EDP já foram feitos seguindo a abordagem de contornos empresariais. E há um pormenor nada despiciendo: “Portugal está a tornar-se um mercado mais atrativo, porque já tem empresas com capacidade financeira [para pagar um resgate], e não apresenta níveis de literacia tecnológica muito elevados”, considera Vítor Ventura.

Dos Lockbit, que são conhecidos por procurarem mais mediatismo, vem uma pista que também pode ajudar a compreender melhor o facto de a mira de alguns grupos de cibercriminosos ter passado por Portugal. Numa entrevista a um membro dos Lockbit, os especialistas da Cisco Talos ficaram a saber que, nos tempos que correm, os grupos de cibercrime preferem lançar ataques na Europa, em detrimento dos EUA.

A sofisticação das polícias americanas pode justificar a preferência, mas não é a única razão. A lei que obriga as empresas americanas a fazer a divulgação ao público quando são alvo de ataque acabou por reduzir parte do impacto da publicação dos dados nos EUA – mas há outro fator de monta: “o Regulamento Geral de Proteção de Dados [e as sanções que aplica às fugas de dados] acaba por funcionar como elemento de pressão [para as empresas pagarem o resgate]”, responde Vítor Ventura.

A encriptação e o profissionalismo prometem reduzir as taxas de sucesso das investigações que vierem a ser feitas. “Não digo que não venham a conseguir desmantelar grupos como os Ragnar Locker, mas para as polícias é um grande desafio”, analisa David Russo.

Tirando os casos em que um dos membros denuncia outros, só mesmo um erro crasso poderá levar à identificação e desmantelamento dos membros do Ragnar Locker, referem os especialistas. E, mesmo assim, há que aguardar que os suspeitos se encontrem em países com acordos de extradição. Curiosamente, tanto Valter Santos como Vítor Ventura acreditam que esta última eventualidade possa ocorrer no dia em que o dinheiro amealhado dê aos cibercriminosos a veleidade de passar férias num local com sol em abundância. Em qualquer dos casos, mais não resta do que esperar.