Um hacker envolvido no ataque à cadeia de suprimentos que teve como alvo o provedor de serviços de TI Kaseya em julho de 2021 alegou que foi coagido pelo governo russo.
Yaroslav Vasinskyi, um ex-afiliado do sindicato de ransomware REvil conhecido como ‘Rabotnik’, cumpre uma sentença de mais de 13 anos na prisão federal dos EUA na Federal Correctional Institution, Danbury (FCI Danbury), Connecticut.
Em uma conversa de seis meses com Jon DiMaggio, estrategista-chefe de segurança da Analyst1 e autor da série ‘Ransomware Diaries’, onde ele investiga o ecossistema de ransomware, Vasinskyi revelou que tentou deixar o REvil várias vezes por razões “morais”, mas foi chantageado para preparar o ataque Kaseya antes de sair.
Vasinskyi afirmou que o REvil tem laços com o governo russo e que as pessoas que o chantagearam para continuar realizando ataques cibernéticos provavelmente eram de instituições governamentais ligadas ao Kremlin.
DiMaggio revelou suas descobertas durante uma palestra que deu ao lado do chefe de inteligência de ameaças da Trellix, John Fokker, no evento DEFCON 33 em Las Vegas em 9 de agosto.
A versão escrita completa de sua investigação foi publicada no Diários de Ransomware Volume 7 relatório em 9 de agosto.
Recrutamento de REvil, Crise Moral e Tentativa de Saída
Vasinskyi começou a trabalhar para o REvil no início de 2019, quando foi “recrutado” por um membro do grupo conhecido como ‘Lalartu’ depois de encontrar uma vulnerabilidade em um servidor ConnectWise que estava vinculado a cerca de 1000 PCs comprometidos com várias funções de comando e controle (C2).
Ele operou na Polônia, com algumas viagens à Ucrânia enquanto trabalhava com o REvil.
Durante suas conversas por e-mail e telefone com DiMaggio, Vasinskyi afirmou que tentou deixar o REvil em março de 2020 por acreditar que as mortes do pai dessa namorada e de sua avó foram sancionadas contra ele por realizar atividades de crimes cibernéticos.
Além disso, Vasinskyi disse a DiMaggio que “ficou inquieto” e sentiu arrependimentos morais após supostos ataques cibernéticos do REvil contra uma igreja batista e um hospital, este último supostamente levou à morte de um paciente.
Depois de perguntar ao chefão do REvil, um indivíduo usando o apelido UNKN, sobre essa suposta morte, Vasinskyi foi informado de que, embora não fosse uma consequência intencional, acabou com “boa publicidade” para a gangue de ransomware.
Embora uma investigação mais aprofundada de DiMaggio parecesse indicar que o ataque cibernético mortal contra um hospital provavelmente foi conduzido por Ryuk em vez de REvil, “a rejeição casual da morte humana como boa publicidade” enojou Vasinskyi”, escreveu o pesquisador de segurança.
“Isso confirmou o que ele já temia, que a operação que ele havia racionalizado como transacional havia evoluído para algo mais frio, mais distante e mais perigoso. De luto, exausto e zangado, Vasinskyi se afastou do REvil.
Vigilância e chantagem
No entanto, Vasinskyi disse que toda a sua vida estava sob vigilância de alguma instituição de alto nível.
Quando ele viajou para o aeroporto Boryspil de Kiev em janeiro de 2021, ele foi parado no controle de passaportes pela alfândega, revistado e levado para fora do aeroporto.
De acordo com Vasinskyi, ele estava sob pressão de alguém ligado à polícia ucraniana que tinha influência sobre ele.
Mais tarde, ele revelou que um desses contatos era um ex-oficial de inteligência poderoso e de alto escalão. A chantagem, afirmou Vasinskyi, foi politicamente motivada, não financeira.
A influência do manipulador se estendeu muito além da Ucrânia, sugerindo profundos laços de inteligência internacional ou uma extensa rede de corrupção transfronteiriça.
“O pior medo de Vasinskyi foi confirmado. Seus ‘velhos amigos’ alavancaram seu alcance e poder para criar seus problemas legais em Kiev, e agora eles os estavam usando para controlá-lo”, escreveu DiMaggio.
O que eles queriam, disse Vasinskyi, era que ele continuasse trabalhando com o REvil. Se ele se recusasse, eles supostamente ameaçaram garantir que ele fosse para a cadeia, fosse torturado e até mesmo fizesse mal à namorada e aos familiares.
De volta à Polônia, onde Vasinskyi estava baseado, a vigilância continuou e seus “manipuladores”, como ele chamava as pessoas que o pressionavam, estavam por toda parte que ele ia.
Kaseya, um alvo estratégico
De acordo com Vasinskyi, seus “manipuladores” escolheram a Kaseya como seu próximo alvo “especificamente pelo acesso em cascata que seu software fornecia, vendo uma oportunidade deidade para infligir o máximo de danos por meio dos recursos de distribuição de software da empresa para milhares de clientes downstream”, escreveu DiMaggio.
Vasinskyi admitiu a DiMaggio que ele mesmo preparou totalmente o ataque, desde o acesso inicial até o teste da carga útil final. No entanto, ele não queria lançá-lo sozinho e entregou a fase de entrega da carga útil ao REvil.
Ele também tentou várias maneiras de mostrar que não executou o ataque sozinho, incluindo:
- Enviando uma carta ao FBI antes do ataque
- Usar viva-voz durante as conversas com a equipe de liderança do REvil para que os investigadores que potencialmente o vigiavam pudessem ouvir as conversas
- Mostrando seu rosto para câmeras de CFTV enquanto deixava a Polônia para a Ucrânia no dia em que o ataque foi executado
No entanto, nenhuma dessas evidências foi usada em defesa de Vasinskyi e ele acabou se declarando culpado.
UNKN, a persona por trás da qual alguém estava administrando o REvil, desapareceu após o ataque Kaseya, que comprometeu mais de 1500 empresas em 17 países e forçou escolas, farmácias e redes inteiras de supermercados a ficarem offline.
Kaseya: Operação de três níveis com manipuladores em nível estadual
Embora o ataque Kaseya tenha sido atribuído ao REvil e um resgate de US$ 70 milhões tenha sido exigido, o relato de Vasinskyi sugere que o verdadeiro papel da gangue de ransomware era estritamente como um empreiteiro técnico, não um comandante operacional.
De acordo com Vasinskyi na reportagem de DiMaggio, o REvil foi responsável apenas pela compilação como um arquivo .exe, nada mais, nada menos.
“Eles forneceram a arma, mas seus manipuladores deram a ordem e puxaram o gatilho. Este testemunho estabelece uma estrutura operacional de três níveis, separando o papel do REvil como provedor de ransomware do de Vasinskyi como líder técnico encarregado de preparar o ataque e um terceiro, seus manipuladores em nível estadual, como a equipe de execução”, explicou DiMaggio.
“Não era para ser sobre extorsão. Tratava-se de disrupção: sistemas downstream incapacitantes, coleta de inteligência e acesso à infraestrutura crítica”, acrescentou o pesquisador.
Além disso, Vasinskyi afirmou que, embora o REvil tivesse conexões com as autoridades do governo russo, seus próprios manipuladores eram mais poderosos – operando em um nível que nem mesmo o grupo de ransomware conseguia alcançar.
Isso sugeriu que seus problemas resultavam não apenas de laços com cibercriminosos, mas de envolvimento com figuras de alto escalão cuja influência eclipsou até mesmo a dos associados ligados ao governo de REvil.
Uma teoria em fóruns russos de crimes cibernéticos sugeriu que a UNKN poderia ter sido Aleksandr Ermakov, um ex-policial russo preso em julho de 2021 logo após o desaparecimento da UNKN. No entanto, Vasinskyi contestou isso, confirmando que Ermakov fazia parte do REvil, mas não o único associado à UNKN.
Ele acredita que duas pessoas controlavam a conta da UNKN: Ermakov, que recebia ordens, e outra que as dava. O verdadeiro líder, insistiu Vasinskyi, permaneceu “desconhecido”.
Durante sua palestra no DEFCON, DiMaggio, do Analyst1, destacou que, embora os cibercriminosos tendam a mentir muito, Vasinskiy parecia nunca ter mentido sobre as coisas em que o pesquisador o testou.
“Neste ponto, ele não tinha muito a perder. Não havia realmente uma razão para ele mentir para mim. Ele foi condenado a 13 anos e sete meses de prisão, tem US$ 16 milhões em restituição para pagar e não tem chance de liberdade condicional”, conclui DiMaggio.
Créditos das fotos:Felix Mizioznikov / mundissima / Shutterstock.com