Um cidadão russo foi condenado a dois anos de prisão nos Estados Unidos por operar uma botnet utilizada em ataques de ransomware contra empresas americanas, reforçando a atuação crescente de grupos hackers especializados na venda de acesso inicial para campanhas cibercriminosas. A sentença foi anunciada pelo Departamento de Justiça dos EUA (DoJ), que também determinou o pagamento de uma multa de US$ 100 mil.

O condenado, identificado como Ilya Angelov, de 40 anos, atuava sob os pseudônimos “milan” e “okart” e foi apontado como um dos responsáveis pela operação do grupo hacker TA551, ativo entre 2017 e 2021. Esse grupo ficou conhecido por construir uma extensa rede de computadores comprometidos — conhecida como botnet — a partir da disseminação de arquivos maliciosos enviados por campanhas massivas de spam.

A estratégia era clara: infectar máquinas, manter acesso persistente e, posteriormente, vender esse acesso para outros grupos hackers. Esse modelo de negócio, conhecido como Initial Access Broker (IAB), tornou-se uma peça-chave no ecossistema do cibercrime moderno, permitindo que diferentes grupos se especializem em etapas distintas dos ataques.

De acordo com as investigações, o TA551 desenvolveu ferramentas próprias para distribuição de e-mails maliciosos e aprimorou seus malwares para driblar soluções de segurança. Um dos principais recursos utilizados era um backdoor que permitia a instalação de cargas maliciosas adicionais nas máquinas infectadas, ampliando o potencial de exploração.

O impacto dessas operações foi significativo. Entre agosto de 2018 e dezembro de 2019, o grupo forneceu acesso à sua botnet para operadores do ransomware BitPaymer, que conseguiram comprometer pelo menos 72 empresas nos Estados Unidos. O resultado foi um prejuízo superior a US$ 14 milhões em pagamentos de resgate.

Além disso, o grupo também manteve parcerias com operadores do malware IcedID, que pagaram mais de US$ 1 milhão pelo acesso à infraestrutura comprometida. Essa colaboração permitiu a continuidade de ataques mesmo após a interrupção de outras operações criminosas, demonstrando a resiliência e adaptação desses grupos hackers.

A cadeia de ataque frequentemente começava com campanhas de phishing contendo arquivos protegidos por senha. Ao abrir esses arquivos, as vítimas eram induzidas a executar documentos do Microsoft Word com macros habilitadas, que instalavam o malware MOUSEISLAND. Esse código malicioso funcionava como um downloader, responsável por trazer uma segunda carga chamada PHOTOLOADER, que por sua vez instalava o trojan bancário IcedID — frequentemente utilizado como porta de entrada para ataques de ransomware.

O TA551 também colaborou com outros grupos relevantes do cenário cibercriminoso. Em 2021, por exemplo, foi identificado o uso de sua infraestrutura para distribuir o ransomware Conti, em parceria com operadores do trojan TrickBot. No mesmo período, grupos como Lockean passaram a utilizar seus serviços após a derrubada da botnet Emotet por autoridades internacionais.

As autoridades destacam que, apesar da crescente sofisticação das técnicas utilizadas, o objetivo permanece o mesmo: lucro financeiro por meio da extorsão digital. O caso também evidencia a importância da cooperação internacional no combate ao cibercrime, especialmente diante da atuação global desses grupos.

Em paralelo, outro cidadão russo, Aleksei Volkov, foi condenado a quase sete anos de prisão por atuar como corretor de acesso inicial em ataques de ransomware Yanluowang, reforçando a relevância desse modelo criminoso no cenário atual.