Sequestro de dados, milhões de euros e bónus. O rosto do império do cibercrime russo

Até há pouco tempo conhecido pelos pseudónimos Stern ou Ben, Kovalev liderava a organização conhecida também por vários nomes, como Wizard Spider, Trickbot e Condi. O grupo utilizava diversos programas para perpetrar ataques informáticos de ransomware, em que os dados das vítimas são roubados até que se obtenha um pagamento.

Uma operação de nome "Endgame" (fim do jogo) desmantelou, no último mês, parte da infraestrutura usada nos ataques. As autoridades derrubaram 300 servidores em todo o Mundo, neutralizaram 650 domínios de sites e emitiram mandados de captura contra 20 pessoas. O aparato policial contínuo, com participação de forças da Alemanha, Canadá, Dinamarca, Estados Unidos, França, Países Baixos e Reino Unido, permitiu apreender 3,5 milhões de euros em criptomoedas, somando já 21,2 milhões desde o iníciod a operação.

Segundo o Gabinete da Polícia Criminal Federal alemã, Kovalev era o fundador e principal responsável pelo Wizard Spider, grupo criado em 2016 e que, “por vezes, era constituído por mais de 100 membros e operava de forma organizada, hierárquica e orientada para o projeto e para o lucro”. “As vítimas incluem hospitais, instituições públicas, empresas, agências governamentais e indivíduos privados. Só na Alemanha, o grupo causou prejuízos de, pelo menos, 6,8 milhões de euros”, acrescentou.

As autoridades germânicas divulgaram fotografias do suspeito. Assumem ainda que o homem de 36 anos estará na Rússia, apesar de o paradeiro específico ser desconhecido.

A carreira de hacker de Kovalev é antiga. Segundo o Departamento de Investigação Federal (FBI, na sigla em inglês) dos Estados Unidos, o russo é acusado de ter acedido a contas de vítimas em três bancos norte-americanos, em 2009 e 2010. O hacker e outros sob o seu comando terão feito transferências para contas bancárias criadas com o propósito de receber os fundos roubados.

Alguns trabalhadores não sabiam de atividade ilegal

Antes da identidade de Vitaly Kovalev ser revelada, informações sobre a organização criminosa já eram conhecidas devido à fuga de dados relativos a trocas de mensagens. A divulgação, em 2022, foi perpetrada por um alegado infiltrado no grupo que se opôs ao apoio da invasão russa à Ucrânia.

Poucos dias após o início da guerra, em fevereiro de 2022, o Ministério da Defesa ucraniano foi alvo de um ataque de negação de serviço, quando há uma sobrecarga de pedidos simultâneos para aceder a servidores ou sites. “[A organização] tem sido utilizada tanto para fraudes financeiras como para lançar ataques em apoio dos interesses do Estado russo. É um bom exemplo de como uma infraestrutura criminosa pode ser utilizada tanto para ganho económico como para perseguir objetivos geopolíticos”, afirmou Adam Meyers, diretor de operações contra ameaças da tecnológica norte-americana CrowdStrike, citado pelo jornal espanhol “El País”.

Os documentos analisados pela empresa de cibersegurança Check Point Research (CPR) revelam que o grupo operava como uma empresa tecnológica, com hierarquia e diversos setores, como recursos humanos, codificadores e equipa de negociação. Esta última recebia comissões de 0,5% a 1% de acordo com o valor pago pelo resgate dos dados roubados. Alguns tinham salários pagos em Bitcoin e, por ser uma operação ilegal, os trabalhadores poderiam ser multados no caso de um desempenho abaixo do esperado.

Os funcionários ingressavam através de sites de recrutamento ou através de e-mails diretos, uma vez que os criminosos usavam o sistema de tais sites para conseguir currículos, contactando os programadores diretamente. O sigilo era justificado com o argumento de que a empresa supostamente trabalharia na realização de ataques informáticos simulados autorizados pelos clientes. Segundo a CPR, um trabalhador não sabia o que o programa Trickbot fazia e porque os colegas mantinham as identidades anónimas. Como resposta, ouviu que lidava com um sistema de análise de publicidade.