Desmantelada rede responsável por vírus que desviou mais de 35 milhões de euros

Maioria das vítimas estão nos EUA e no Reino Unido. Um dos responsáveis pela botnet já foi detido mas outros continuam por interceptar.

Num dos casos citados, 2000 computadores foram infectados com vírus
Foto
Num dos casos citados, 2000 computadores foram infectados com vírus Kacper Pempel/Reuters

O Departamento de Justiça norte-americano anunciou nesta terça-feira que foi desmantelada uma rede responsável pelo desvio de dez milhões de dólares nos Estados Unidos e de 20 milhões de libras no Reino Unido, num total aproximado de 35,7 milhões de euros. Através de uma botnet conhecida como Bugat, Dridex ou Cridex, foram roubados dados pessoais e bancários de computadores infectados.

Numa nota divulgada no seu site, o Departamento de Justiça adianta que o cidadão moldavo Andrey Ghinkul, também conhecido como Andrei Ghincul e Smilex, de 30 anos, considerado um dos administradores da botnet – com a qual vários computadores ligados em rede correm um vírus automaticamente – é suspeito de nove crimes, incluindo conspiração criminosa, acesso ilegal a computadores com o objectivo de fraude, danos informáticos, fraude online ou fraude bancária. Andrey Ghinkul foi detido em Agosto último no Chipre. Actualmente os Estados Unidos estão a tentar a sua extradição para ser julgado.

Segundo as autoridades norte-americanas, a operação conjunta entre as autoridades norte-americanas e europeias, incluindo o FBI e a Europol, conseguiu desmantelar “uma das ameaças mais perniciosas no mundo”, sendo que muitos dos envolvidos não foram ainda interceptados.

Através da botnet Deidex, Ghinkul e outros elementos da rede não identificados utilizaram um método de fraude onde e-mails aparentemente normais foram distribuídos pelos computadores das vítimas numa tentativa de obter dados pessoais e financeiros, um processo conhecido como phishing. Durante o processo de infecção do vírus, sistemas antivírus ou outras formas de protecção dos computadores foram desarmados e deixaram os equipamentos vulneráveis. Estima-se que perto de 125 mil computadores tenham sido atacados, sendo que, em média, eram enviados 350 mil e-mails com spam por dia.

O Departamento de Justiça norte-americano explica que Ghinkul e outros co-autores do ataque utilizaram o vírus para roubar dados bancários e com essas informações iniciaram transferências fraudulentas de vários milhões das contas bancárias das vítimas para contas de money mules, que receberam o dinheiro, retiveram uma parte e encaminharam o resto para as contas de outros membros da conspiração.

Num dos processos de fraude, o grupo responsável pela botnet conseguiu realizar uma transferência no valor de 2,1 milhões de dólares da conta de uma empresa de exploração de petróleo e gás nos Estados Unidos para uma outra conta em Minsk, na Bielorrúsia, através de informações obtidas pelo método de phishing do e-mail de um funcionário da empresa. À semelhança deste caso, a maioria dos desvios tiveram como destino contas bancárias no Leste europeu. Os ataques remontam a 2011 mas não é claro desde quando começaram a ser cometidos.

Segundo o FBI, os prejuízos provocados nos Estados Unidos foram estimados em pelo menos dez milhões de dólares (cerca de 8,8 milhões de euros). A Europol indica, por sua vez, que o mesmo esquema provocou perdas de 20 milhões de libras (26,9 milhões de euros) em contas no Reino Unido.

“Enquanto o uso de antigos trojans como o Zeus, Citadel ou Spyeye estão em declínio devido à perda de apoio – seja voluntário ou o resultado do reforço das leis, uma nova geração de vírus surgiram. Dridex é um deles e está a tornar-se mais proeminente nas investigações dada a sensibilidade dos dados recolhidos, aumento do grau de sofisticação e subida do número de casos”, sublinha a Europol numa nota divulgada esta quarta-feira.

A botnet responsável por estes casos está actualmente sob o controlo de uma organização chamada Shadowserver Foundation, um grupo de hackers profissionais pouco conhecido que se voluntariam para tornar a Internet segura.

As autoridades admitem que o desmantelamento da rede foi um obstáculo significativo aos ataques mas não ao vírus em si. Segundo a Proofpoint, uma empresa de cibersegurança que fornece serviços que tornam os e-mails das companhias mais seguros, indicou à CNN que o processo de fraude não terminou. “Ainda não acabou. Nem sequer está perto de acabar”, assegurou um dos investigadores da Proofpoint.

Kevin Epstein afirma que o “Dridex regressou com um objectivo de vingança”. “Se vende drogas e alguém lhe tira o seu distribuidor, isso tira as drogas das ruas?”, questiona.

FBI e Europol recordam os utilizadores das versões online bancárias que é necessário estar atento e não abrir documentos em e-mails ou accionar links se estes não estão previstos ou se são pouco claros quanto à sua origem.