Uma atividade incomum está se formando nos fóruns russos de crimes cibernéticos nos quais hackers foram observados se comunicando com agentes de ameaças chineses para colaboração.
Pesquisadores de segurança da Flashpoint, uma empresa de inteligência de ameaças, notaram um aumento significativo nas atividades de agentes de ameaças que falam mandarim em um fórum de hackers russo chamado RAMP e em várias comunidades da Dark Web.
Os agentes de ameaças chineses foram encorajados a compartilhar várias dicas, participar de discussões e colaborar em ataques cibernéticos.
A Flashpoint notificou ainda que os russos abriram portas para vários cibercriminosos que falam inglês e mandarim em domínios que antes eram restritos apenas a eles.
O relatório do Flashpoint mencionou ainda:
“Em outubro, os administradores do Ramp fizeram alterações na interface do fórum para torná-lo mais acessível a agentes de ameaças que falam chinês e inglês",
Atores de ameaças chineses presentes em fóruns de hackers russos
Os painéis de hackers russos agora também estão disponíveis nos idiomas mandarim e inglês, além do russo. Além disso, os membros do fórum agora são frequentemente abordados em inglês pelos administradores.
Comentários e conteúdo em inglês estão se tornando mais famosos entre os cibercriminosos russos. Membros e administradores de alto nível do fórum tentam interagir com os membros que falam chinês usando o idioma chinês gerado por máquina.
Os pesquisadores identificaram ainda cerca de 30 atores de ameaças chineses no fórum. Eles sugerem que uma probabilidade significativa de os russos fazerem isso é tentar estabelecer uma aliança com hackers chineses para lançar vários ataques cibernéticos, possivelmente contra americanos, suscetibilidades comerciais ou cibercriminosos a bordo para operações de Ransomware-as-a-Service (RaaS).
Foi notificado que esta ação foi iniciada por Kajit, que é o administrador da RAMP, que alegou que visitou a China recentemente e sabia falar mandarim.
No entanto, a colaboração dos atores de ameaças russos e chineses não se limita apenas ao RAMP. Uma colaboração semelhante foi observada no “fórum XSS” da Flashpoint.
Nova pesquisa da Flashpoint explicou:
“Na captura de tela abaixo, o usuário do XSS “hoffman” cumprimenta dois membros do fórum que se revelaram chineses”
“O agente da ameaça pergunta se eles podem fornecer informações sobre ransomware e comprar vários tipos de vulnerabilidades do sistema. A linguagem parece ser o chinês traduzido por máquina.”
Fonte: Flashpoint
No mês anterior, ‘Orange' ou ‘boriselcin', que é administrador do RAMP e também administra um site chamado Groove, chamou os cibercriminosos para atingir os Estados Unidos em um post.
Depois que a postagem recebeu cobertura da mídia, o administrador declarou que era uma operação falsa e foi postada apenas para manipular a segurança e a mídia.
Os agentes de ameaças russos não são os únicos que desejam atacar os EUA para ataques cibernéticos. Anteriormente, os hackers iranianos também tinham como alvo organizações americanas com Ransomware.
Os pesquisadores de segurança cibernética da Intel 471 e da McAfee mencionaram que o agente da ameaça estava apenas tentando encobri-lo, já que o ataque RaaS não foi conforme o projetado.
Um post recente da operação de ransomware Conti na RAMP mencionou a necessidade de contratar associados e comprar o caminho inicial para as redes. A gangue menciona que eles preferem trabalhar apenas com cibercriminosos russos, mas estão prontos para abrir uma exceção para os agentes de ameaças chineses.
Este anúncio está em russo, pois trabalhamos apenas com falantes de russo. MAS, por respeito ao administrador, abriremos uma exceção para usuários de língua sino e até traduziremos esta mensagem em chinês (você pode até duplicá-la em mandarim e canotonês!)”- Operação do ransomware Conti.
Fonte: BleepingComputer
A partir disso, parece que o fórum de hackers RAMP está incentivando os usuários que falam mandarim em ataques.