Hacker Iraniano confessa envolvimento em ataque com Ransomware Robbinhood e técnica BYOVD, causando prejuízo de US$ 19 milhões a Baltimore

Um hacker iraniano, identificado como Sina Gholinejad, de 37 anos, confessou sua participação em um esquema internacional de ransomware e extorsão que utilizou a variante Robbinhood para atacar organizações nos Estados Unidos, incluindo a cidade de Baltimore, em Maryland. Gholinejad, também conhecido como Sina Ghaaf, foi preso em janeiro deste ano na Carolina do Norte e se declarou culpado por uma acusação de fraude e abuso de computador e outra de conspiração para cometer fraude eletrônica. Ele pode enfrentar até 30 anos de prisão, com a sentença marcada para agosto de 2025. O ataque, que se estendeu de janeiro de 2019 a março de 2024, causou prejuízos significativos, totalizando dezenas de milhões de dólares, e interrompeu serviços essenciais em várias cidades americanas.

O Departamento de Justiça dos Estados Unidos (DoJ) informou que os ataques liderados por Gholinejad e seus cúmplices comprometeram redes de computadores de diversas organizações, criptografando arquivos com o ransomware Robbinhood e exigindo pagamentos de resgate em Bitcoin. A cidade de Baltimore foi uma das mais afetadas, sofrendo perdas superiores a US$ 19 milhões devido aos danos causados à sua infraestrutura digital. O ataque interrompeu serviços críticos, como o processamento online de impostos prediais, contas de água, multas de estacionamento e outras funções geradoras de receita, impactando a administração municipal por vários meses. A cidade de Greenville, na Carolina do Norte, também foi alvo, enfrentando disrupções significativas em suas operações.

Documentos judiciais revelam que Gholinejad e seus parceiros invadiram e mantiveram acesso não autorizado às redes das vítimas durante mais de cinco anos, copiando informações sensíveis para servidores privados virtuais sob seu controle antes de implantar o ransomware. Para ocultar suas atividades e identidades, os hackers utilizaram redes privadas virtuais (VPNs) e servidores dedicados, além de técnicas avançadas de lavagem de dinheiro, como serviços de mixagem de criptomoedas e a prática de "chain-hopping", que consiste em transferir ativos entre diferentes tipos de criptomoedas. Essas estratégias dificultaram o rastreamento dos lucros ilícitos obtidos com os resgates.

O grupo por trás do Robbinhood também se destacou pelo uso de táticas sofisticadas, como ataques do tipo "bring your own vulnerable driver" (BYOVD), explorando um driver vulnerável da Gigabyte (gdrv.sys) para escalar privilégios e desativar softwares de segurança nas máquinas comprometidas. Essa técnica permitiu que os invasores operassem de forma mais furtiva, aumentando o impacto de seus ataques. "O crime cibernético não é uma ofensa sem vítimas – é um ataque direto às nossas comunidades, como vimos neste caso. Gholinejad e seus cúmplices orquestraram um esquema de ransomware que interrompeu vidas, negócios e governos locais, resultando em perdas de dezenas de milhões de dólares para vítimas e instituições desprevenidas", declarou Daniel P. Bubar, procurador interino do Distrito Leste da Carolina do Norte.

O caso sublinha a crescente ameaça de ataques de ransomware contra infraestruturas críticas e a necessidade de medidas robustas de cibersegurança para proteger sistemas governamentais e empresariais. A confissão de Gholinejad representa um avanço na luta contra o crime cibernético internacional, mas também serve como um alerta para a persistência de hackers que utilizam ferramentas avançadas e táticas de ocultação para maximizar seus lucros e minimizar os riscos de detecção.

Via - THN