Pesquisadores revelam identidade de desenvolvedor de ferramenta maliciosa usada contra organizações russas

Pesquisadores afirmam ter descoberto a identidade do desenvolvedor por trás de uma ferramenta maliciosa de acesso remoto utilizada para atacar organizações russas. Conhecido como Burns, o hacker tem estado ativo em fóruns da darknet desde 2010, conhecido por criar versões maliciosas de ferramentas de administração remota, como TeamViewer e RMS (Remote Utilities). A empresa russa de segurança cibernética F.A.C.C.T. identificou a ferramenta como BurnsRAT.

Segundo a F.A.C.C.T., o desenvolvedor é Andriy R., um ucraniano de 38 anos da cidade de Ternopil. A atribuição não pôde ser verificada devido à visibilidade limitada das empresas cibernéticas ocidentais dentro das redes russas, após a invasão da Ucrânia pela Rússia.

Burns é supostamente um "cliente/parceiro" de outro criminoso cibernético, VasyGrek, que tem atacado empresas russas desde 2016. VasyGrek tem utilizado o BurnsRAT por pelo menos cinco anos. A F.A.C.C.T., um desdobramento da empresa de segurança cibernética Group-IB, com sede em Cingapura, identificou contas do Telegram e perfis em fóruns da darknet ligados aos dois criminosos.

Além do BurnsRAT, VasyGrek empregou ferramentas como MetaStealer, WarzoneRAT e RedLine para roubar informações de empresas russas, utilizando e-mails com "temas financeiros" como isca. O último ataque de VasyGrek a uma vítima não identificada na Rússia foi detectado em maio de 2024.

O aluguel do BurnsRAT custa US$ 1.200 por mês, permitindo aos operadores gerenciar, carregar e excluir arquivos, bloquear o teclado e a tela da vítima, além de desligar ou reiniciar o computador.

Os pesquisadores da F.A.C.C.T. informaram que, por razões éticas, não divulgarão os dados pessoais de Burns, mas todas as informações coletadas foram repassadas às autoridades competentes. A polícia cibernética ucraniana não quis comentar as descobertas da F.A.C.C.T.

Via - TRM