A esfera dos hackers abriga uma variedade considerável de ameaças, e apenas ao compreendermos suas motivações, métodos e estratégias teremos a capacidade de nos proteger eficazmente.
Quais são, então, os grupos de hackers mais notórios em atividade atualmente? Quem são seus alvos? E por quais razões?
O Que Constitui um Grupo de Hackers?
Em geral, os grupos de hackers são organizações descentralizadas, formadas por indivíduos talentosos, porém audaciosos, que exploram vulnerabilidades de segurança em sistemas ou redes de computadores. Seu objetivo é realizar ataques de negação de serviço distribuídos (DDoS), instalar programas maliciosos, também conhecidos como malware, ou extrair informações confidenciais. Embora as motivações dos hackers para perpetrar esses ataques sejam diversas, geralmente envolvem ganhos financeiros, espionagem, ideologias pessoais ou simplesmente diversão.
Esses grupos são compostos principalmente por hackers com funções específicas, tais como os “chapéus brancos” ou hackers éticos, os “chapéus pretos” ou hackers maliciosos, e os hackers de “chapéu cinza”, que combinam características éticas e antiéticas.
Esses grupos são reconhecidos por sua engenhosidade, utilizando táticas e técnicas sofisticadas, como explorações de dia zero, táticas de phishing e engenharia social, a fim de atingir seus objetivos. Seus alvos incluem entidades governamentais, empresas, instituições financeiras e infraestruturas críticas, evidenciando a necessidade de medidas de segurança cibernética mais avançadas.
Estar atento às suas táticas complexas pode nos auxiliar a fortalecer nossas defesas, proteger dados confidenciais e garantir um ambiente digital mais seguro para todos. Portanto, vamos conhecer alguns dos grupos de hackers que se destacaram no cenário em constante mutação da segurança cibernética.
1. Grupo Lázaro
Em janeiro de 2023, a Al Jazeera divulgou que esse grupo de hackers havia furtado cerca de 100 milhões de dólares em criptomoeda da Harmony, trazendo novamente a Coreia do Norte para o foco da segurança cibernética. No entanto, essa não foi sua primeira ação. O Grupo Lázaro possui um histórico notório, que inclui ataques à Sony e a disseminação do vírus WannaCry, um dos ataques de malware mais conhecidos de todos os tempos.
Seu êxito reside em sua persistência e incessante busca por metas de alto risco. Desde seus ataques DDoS iniciais contra o governo sul-coreano até a infiltração em bancos em âmbito global e o furto de milhões, as explorações audaciosas do Grupo Lázaro continuam a ser manchete. O infame ataque à Sony Pictures em 2014 lhes rendeu notoriedade internacional, expondo dados confidenciais, comunicações ultrassecretas e filmes inéditos antes de seus lançamentos. Contudo, o Grupo Lázaro atualmente prefere focar em criptomoedas.
Embora suas táticas e alvos continuem a se modificar, uma questão persiste: sua identidade. O Grupo Lázaro recebe financiamento do governo norte-coreano ou é uma organização internacional de hackers mercenários?
2. BlackBasta
Este grupo de ransomware surgiu no início de 2022 com uma operação criminosa de ransomware como serviço (RaaS), deixando um rastro de vítimas corporativas e centenas de vítimas confirmadas em apenas alguns meses. A Bleeping Computer noticiou que uma gigante da tecnologia suíça chamada ABB foi atingida por ransomware, e informações confidenciais acabaram nas mãos desses criminosos virtuais. O BlackBasta é conhecido por sua precisão em ataques planejados.
O BlackBasta tem como alvo organizações nos EUA, Canadá, Reino Unido, Austrália, Nova Zelândia e Japão. Há especulações sobre as origens do grupo, sugerindo que eles surgiram das cinzas do extinto grupo de ameaças russo Conti.
Devido às similaridades no desenvolvimento de malware, sites de vazamento e métodos de comunicação para negociação e pagamento, é razoável concluir que o BlackBasta tem alguma ligação com o Conti.
3. LockBit
O LockBit, um implacável grupo de RaaS, está orquestrando sua série de crimes cibernéticos desde o final de 2019. Eles operam sob um modelo de divisão de lucros, comercializando seus serviços de ransomware para outros criminosos virtuais. As conquistas do grupo ecoam em fóruns de hackers como Exploit e RAMP, onde eles se orgulham de suas habilidades.
Ademais, o LockBit possui um site de vazamento de ransomware dedicado, onde eles divulgam informações de suas vítimas em russo e inglês. Contudo, eles afirmam ter base na Holanda, não demonstrando nenhuma motivação política. Eles são o grupo de ransomware mais ativo atualmente.
Tudo começou em setembro de 2019 com o ransomware ABCD, usando a extensão de arquivo “.abcd virus” em seus primeiros ataques. Em janeiro de 2020, o LockBit se transformou em uma família RaaS, adotando seu nome atual e iniciando uma nova fase de pirataria digital.
4. Lapsus$
Este notório grupo de hackers se tornou conhecido com um ataque ousado de ransomware ao Ministério da Saúde do Brasil em dezembro de 2021 (conforme relatado por ZDNet), comprometendo os dados de vacinação contra a COVID-19 de milhões de pessoas. Desde então, esse grupo tem atacado empresas de tecnologia de renome mundial – Samsung, Microsoft e Nvidia, entre outras. Eles chegaram a interromper alguns serviços cruciais da gigante dos jogos, Ubisoft. Além disso, eles são considerados os principais suspeitos no ataque de 2022 à EA Games.
No entanto, a identidade desses hackers permanece um mistério: algumas informações indicam que um adolescente inglês pode ser o mentor por trás disso, enquanto outros mencionam uma conexão com o Brasil. Embora a The Verge informe que a polícia de Londres efetuou sete prisões relacionadas ao Lapsus$ (todos adolescentes), o grupo continua ativo, mantendo autoridades e empresas em estado de alerta.
5. O Lorde das Trevas
O Dark Overlord (TDO) é conhecido por extorquir alvos de alto perfil e ameaçar divulgar documentos confidenciais, a menos que altos resgates sejam pagos. Eles primeiramente chamaram a atenção do público ao vender registros médicos roubados em mercados da dark web e, posteriormente, voltaram-se para a Netflix, Disney e IMDb.
Em uma reviravolta chocante, relatada pela CNBC, o grupo abandonou o hacking e a extorsão para iniciar ataques de cunho terrorista no distrito escolar de Columbia Falls, enviando mensagens ameaçadoras a alunos e pais, exigindo pagamento para evitar que as crianças fossem prejudicadas. Esses ataques provocaram pânico geral, levando ao fechamento de mais de 30 escolas e mantendo mais de 15.000 alunos em casa por uma semana. No entanto, isso não foi tudo: TDO anunciou o ataque “9/11 Papers”, ameaçando divulgar documentos ultrassecretos, a menos que um grande resgate em Bitcoin fosse pago.
Embora um dos principais membros do TDO tenha sido capturado e condenado à prisão, as origens e identidades verdadeiras do grupo permanecem desconhecidas.
6. Clop
Visando empresas grandes e estabelecidas, principalmente nos setores financeiro, de saúde e varejo, o Clop surgiu em 2019, explorando vulnerabilidades de rede e phishing para obter acesso a uma rede e, em seguida, movendo-se lateralmente para infectar o máximo de sistemas possível. Eles roubam dados e exigem resgates em troca.
Algumas de suas vítimas incluem a Software AG, uma empresa de software alemã; a Universidade da Califórnia em São Francisco (UCSF), uma renomada instituição de pesquisa médica; e usuários do Accellion File Transfer Appliance (FTA).
As táticas rápidas e sofisticadas do Clop continuam a representar uma ameaça significativa para empresas em todo o mundo, ressaltando a necessidade de medidas robustas de segurança cibernética.
7. Anonymous
Provavelmente o nome mais conhecido entre os hackers, o Anonymous é um grupo de hackers descentralizado que surgiu das profundezas dos fóruns anônimos do 4chan. De brincadeiras inocentes a hacktivismo, o Anonymous se tornou uma força contra a censura e a injustiça corporativa.
Famosos por suas máscaras de Guy Fawkes/V de Vingança, as raízes do grupo remontam a 2008, quando atacaram a Igreja da Cientologia em retaliação por suposta censura. Desde então, os alvos do Anonymous incluíram a RIAA, o FBI e até o ISIS (sim, o grupo terrorista). Embora promovam princípios como liberdade de informação e privacidade, seu caráter descentralizado suscita discussões sobre suas reais causas.
Apesar do Anonymous ter passado por um bom número de prisões, suas atividades continuam a ressurgir de tempos em tempos.
8. Dragonfly
Também conhecido como Berserk Bear, Crouching Yeti, DYMALLOY e Iron Liberty, o Dragonfly é um grupo de ciberespionagem que se acredita ser formado por hackers altamente qualificados do Serviço Federal de Segurança da Federação Russa (FSB). Em atividade desde 2010 (no mínimo), o Dragonfly tem histórico de atacar entidades de infraestrutura crítica na Europa e na América do Norte, bem como empresas de defesa e aviação e sistemas governamentais.
O modo de operação do grupo envolve campanhas sofisticadas de spear phishing e ataques de comprometimento direto. Embora não existam incidentes confirmados oficialmente relacionados à atividade do grupo, acredita-se que ele esteja ligado ao governo russo.
Os ataques DDoS do Dragonfly afetaram empresas distribuidoras de água e energia em diversos países, incluindo Alemanha, Ucrânia, Suíça, Turquia e Estados Unidos, resultando em blecautes que afetaram milhares de cidadãos.
9. Chaos Computer Club
Desde 1981, o Chaos Computer Club (CCC) tem lutado pela privacidade e segurança e, com aproximadamente 7.700 membros, eles têm um grande impacto. O CCC é a maior organização de hackers de chapéu branco da Europa.
Esses hackers colaboram em hackerspaces regionais chamados “Erfakreisen” e “Chaostreffs” menores. Eles também realizam uma conferência anual, chamada Chaos Communication Congress, e agitam o mundo da tecnologia com sua publicação intitulada “Die Datenschleuder”.
Quanto à sua missão principal, eles se dedicam ao hacktivismo, à liberdade de informação e à forte segurança de dados. Em 2022, eles invadiram os sistemas de identificação baseados em vídeo (Video-Ident), obtendo acesso aos registros de saúde privados de um indivíduo. Essa ação audaciosa visava expor possíveis riscos de segurança, destacando a necessidade de defesas mais sólidas em aplicativos confidenciais.
10. APT41, também conhecido como Dragão Duplo
O Dragão Duplo, um grupo suspeito de ter conexões com o Ministério de Segurança do Estado (MSS) chinês, representa uma ameaça aos adversários do governo chinês. A Trellix (anteriormente FireEye), uma empresa de segurança cibernética, acredita que esses dragões cibernéticos são apoiados pelo Partido Comunista Chinês (PCC).
Ao longo dos anos, o Dragão Duplo tem realizado atividades de espionagem enquanto busca secretamente ganhos pessoais – uma situação em que todos saem beneficiados. Eles têm como alvo setores como saúde, telecomunicações, tecnologia e o mundo dos jogos (desenvolvedores, distribuidores e editores). Parece que todos estão no radar.
É Apenas o Começo
É crucial lembrar que o cenário da guerra cibernética está em constante evolução, seja para melhor ou pior. Novos grupos surgirão, alguns cairão e outros poderão se reinventar. Contudo, uma coisa é certa: esta é uma perseguição incansável de gato e rato.