“O problema criminal russo não vai a lugar nenhum. Na verdade, agora provavelmente está mais próximo dos serviços de segurança do que nunca”, afirma John Hultquist, analista-chefe do Google Cloud para Mandiant Intelligence. “Na verdade, eles estão realizando ataques e fazendo coisas que beneficiam os serviços de segurança, por isso os serviços de segurança têm todo o interesse em protegê-los.”
Os analistas concluíram repetidamente que os cibercriminosos que trabalham na Rússia têm ligações com o Kremlin. E essas conexões têm ficar cada vez mais claro. Quando o Reino Unido e os EUA sancionaram os membros do Trickbot e do Conti em fevereiro, ambos os países disseram que os membros estavam associados aos “serviços de inteligência russos”. Acrescentaram que era “provável” que algumas das suas ações fossem dirigidas pelo governo russo e que os criminosos escolhessem pelo menos algumas das suas vítimas com base em “alvos previamente conduzidos pelos serviços de inteligência russos”.
Os registros de bate-papo incluídos nos dados do Trickleaks oferecem uma visão rara sobre a natureza dessas conexões. Em 2021, dois supostos membros do Trickbot, Alla Witte e Vladimir Dunaev, compareceram aos tribunais dos EUA carregado com crimes cibernéticos. Em novembro de 2021, de acordo com a análise de Nisos, os chats do Trickleaks mostram que os membros estavam preocupados com sua segurança e entraram em pânico quando suas próprias carteiras de criptomoedas não estavam mais acessíveis. Mas alguém usando o nome Silver – supostamente um membro sênior do Trickbot – ofereceu garantias. Embora o Ministério dos Assuntos Internos russo estivesse “contra” eles, disseram, as agências de inteligência eram “a nosso favor ou neutras”. Eles acrescentaram: “O chefe tem as conexões certas”.
No mesmo mês, o responsável por Manuel, que está ligado a Galochkin, disse acreditar que o líder do Trickbot, Stern, estava envolvido em crimes cibernéticos “desde 2000”, de acordo com a análise da Nisos. Outro membro, conhecido como Angelo, respondeu que Stern era “o elo entre nós e os cargos/chefe de departamento do FSB”. Os vazamentos anteriores de Conti também indicaram algumas ligações com os serviços de inteligência e segurança da Rússia.
Negócios, como sempre
Apesar de um esforço global concertado para interromper a atividade cibercriminosa russa através de sanções e acusações, gangues como o Trickbot continuam a prosperar. “Mudou menos do que parece”, diz Ole Villadsen, analista sênior do grupo de segurança X-Force da IBM. Ele observa que muitos membros do Trickbot e do Conti ainda estão ativos, continuam a se comunicar entre si e usam infraestrutura compartilhada para lançar ataques. As facções do grupo “continuam a colaborar nos bastidores”, diz Villadsen.
Burns Koven, da Chainalysis, diz que a empresa vê os mesmos relacionamentos de longa data refletidos em seus dados de carteira de criptomoedas. “Desde a diáspora Conti, ainda podemos ver a interconectividade financeira entre a velha guarda”, diz ela. “Ainda existem algumas relações simbióticas.”
Dissuadir o crime cibernético é difícil em diferentes jurisdições e sob uma série de condições geopolíticas. Mas mesmo com influência limitada na Rússia – onde há poucas hipóteses de as autoridades ocidentais prenderem indivíduos e muito menos extraditá-los – os esforços para nomear e envergonhar os cibercriminosos podem ter um impacto. Holden, o pesquisador de longa data do Trickbot, diz que os membros do Trickbot tiveram reações mistas ao serem desmascarados. “Alguns deles se aposentaram, alguns deles mudaram seus apelidos – alguns deles basicamente não se importaram porque a comunidade não foi impactada significativamente”, diz Holden. Mas, acrescenta, expor as identidades das pessoas pode significar que elas “serão indesejáveis” nas suas comunidades.
Vasovic, CEO da Cybernite Intelligence, diz que quando a conta Trickleaks começou a ser postada no Twitter, ele também publicou fotos de Galochkin para expor sua identidade. Junto com outros pesquisadores de segurança cibernética chamando criminosos de ransomware, Vasovic recebeu ameaças de violência e assédio online após suas revelações. E-mails e mensagens de chat privadas que ele compartilhou com a WIRED parecem mostrar uma pessoa desconhecida, que alegou trabalhar para vários grupos de crimes cibernéticos não identificados, ameaçando não apenas Vasovic, mas também sua família.
“Eles tentam causar medo. E se funcionar, funciona. E se não acontecer, não acontece”, diz Vasovic. Na verdade, quem fez as ameaças alegou a Vasovic que já tinha sido indiciado e não podia mais levar a mulher e a filha de férias ao estrangeiro. A pessoa também afirmou que a certa altura foi interrogado por investigadores russos durante duas horas especificamente sobre o Trickbot, antes de ser libertado. No entanto, a pessoa ainda parecia sentir-se segura de que poderia ameaçar Vasovic de dentro das fronteiras da Rússia com impunidade. “Ninguém será enviado para a América”, gabavam-se. “Não há risco aqui.”