Desmantelada rede responsável por vírus que desviou mais de 35 milhões de euros
Maioria das vítimas estão nos EUA e no Reino Unido. Um dos responsáveis pela botnet já foi detido mas outros continuam por interceptar.
O Departamento de Justiça norte-americano anunciou nesta terça-feira que foi desmantelada uma rede responsável pelo desvio de dez milhões de dólares nos Estados Unidos e de 20 milhões de libras no Reino Unido, num total aproximado de 35,7 milhões de euros. Através de uma botnet conhecida como Bugat, Dridex ou Cridex, foram roubados dados pessoais e bancários de computadores infectados.
Numa nota divulgada no seu site, o Departamento de Justiça adianta que o cidadão moldavo Andrey Ghinkul, também conhecido como Andrei Ghincul e Smilex, de 30 anos, considerado um dos administradores da botnet – com a qual vários computadores ligados em rede correm um vírus automaticamente – é suspeito de nove crimes, incluindo conspiração criminosa, acesso ilegal a computadores com o objectivo de fraude, danos informáticos, fraude online ou fraude bancária. Andrey Ghinkul foi detido em Agosto último no Chipre. Actualmente os Estados Unidos estão a tentar a sua extradição para ser julgado.
Segundo as autoridades norte-americanas, a operação conjunta entre as autoridades norte-americanas e europeias, incluindo o FBI e a Europol, conseguiu desmantelar “uma das ameaças mais perniciosas no mundo”, sendo que muitos dos envolvidos não foram ainda interceptados.
Através da botnet Deidex, Ghinkul e outros elementos da rede não identificados utilizaram um método de fraude onde e-mails aparentemente normais foram distribuídos pelos computadores das vítimas numa tentativa de obter dados pessoais e financeiros, um processo conhecido como phishing. Durante o processo de infecção do vírus, sistemas antivírus ou outras formas de protecção dos computadores foram desarmados e deixaram os equipamentos vulneráveis. Estima-se que perto de 125 mil computadores tenham sido atacados, sendo que, em média, eram enviados 350 mil e-mails com spam por dia.
O Departamento de Justiça norte-americano explica que Ghinkul e outros co-autores do ataque utilizaram o vírus para roubar dados bancários e com essas informações iniciaram transferências fraudulentas de vários milhões das contas bancárias das vítimas para contas de money mules, que receberam o dinheiro, retiveram uma parte e encaminharam o resto para as contas de outros membros da conspiração.
Num dos processos de fraude, o grupo responsável pela botnet conseguiu realizar uma transferência no valor de 2,1 milhões de dólares da conta de uma empresa de exploração de petróleo e gás nos Estados Unidos para uma outra conta em Minsk, na Bielorrúsia, através de informações obtidas pelo método de phishing do e-mail de um funcionário da empresa. À semelhança deste caso, a maioria dos desvios tiveram como destino contas bancárias no Leste europeu. Os ataques remontam a 2011 mas não é claro desde quando começaram a ser cometidos.
Segundo o FBI, os prejuízos provocados nos Estados Unidos foram estimados em pelo menos dez milhões de dólares (cerca de 8,8 milhões de euros). A Europol indica, por sua vez, que o mesmo esquema provocou perdas de 20 milhões de libras (26,9 milhões de euros) em contas no Reino Unido.
“Enquanto o uso de antigos trojans como o Zeus, Citadel ou Spyeye estão em declínio devido à perda de apoio – seja voluntário ou o resultado do reforço das leis, uma nova geração de vírus surgiram. Dridex é um deles e está a tornar-se mais proeminente nas investigações dada a sensibilidade dos dados recolhidos, aumento do grau de sofisticação e subida do número de casos”, sublinha a Europol numa nota divulgada esta quarta-feira.
A botnet responsável por estes casos está actualmente sob o controlo de uma organização chamada Shadowserver Foundation, um grupo de hackers profissionais pouco conhecido que se voluntariam para tornar a Internet segura.
As autoridades admitem que o desmantelamento da rede foi um obstáculo significativo aos ataques mas não ao vírus em si. Segundo a Proofpoint, uma empresa de cibersegurança que fornece serviços que tornam os e-mails das companhias mais seguros, indicou à CNN que o processo de fraude não terminou. “Ainda não acabou. Nem sequer está perto de acabar”, assegurou um dos investigadores da Proofpoint.
Kevin Epstein afirma que o “Dridex regressou com um objectivo de vingança”. “Se vende drogas e alguém lhe tira o seu distribuidor, isso tira as drogas das ruas?”, questiona.
FBI e Europol recordam os utilizadores das versões online bancárias que é necessário estar atento e não abrir documentos em e-mails ou accionar links se estes não estão previstos ou se são pouco claros quanto à sua origem.