O grupo de ransomware Radar/Dispossessor foi desmantelado pelas autoridades, depois de ataques a dezenas ou centenas de empresas, a quem conseguiu recolher dados sensíveis que usava para pressionar as organizações a pagarem resgates. O pedido de pagamento era feito sob ameaça de as empresas ficarem sem acesso a informação crítica, ou para garantir que esta não seria destruída ou divulgada publicamente.

A operação de desmantelamento foi anunciada por autoridades alemãs e americanas, países onde os servidores e domínios de internet ligados ao grupo foram desativados, algo que também aconteceu já no Reino Unido. Nos Estados Unidos terão sido desativados três servidores. No Reino Unido outros três e na Alemanha 18.

Liderada por alguém conhecido na internet como Brain, o grupo estava operacional desde agosto do ano passado e tinha como principais alvos pequenas e médias empresas norte-americanas, mas os dados agora divulgados mostram que esse foco se foi expandindo e organizações em várias partes do mundo foram alvo de tentativa de ataque.

Repossessed
Repossessed créditos: FBI

As investigações que conduziram ao desmantelamento da organização revelaram ataques a 43 empresas num leque tão diversos de países como a Alemanha, Argentina, Austrália, Bélgica, Brasil, Honduras, Índia, Canadá, Croácia, Peru, Polónia, Estados Unidos ou Emirados Árabes Unidos. As empresas em questão também são de setores variados, que vão desde a saúde aos transportes.

As autoridades acreditam que muitas das vítimas das atividades do grupo no último ano não são ainda conhecidas e admite por isso que a contagem final seja muito superior àquilo que foi possível apurar até agora.

No âmbito das operações policiais realizadas foram detidos 12 suspeitos de origem alemã, ucraniana, russa, sérvia, lituana e dos Emirados Árabes Unidos. As investigações prosseguem e as autoridades admitem novas detenções nas próximas semanas.

O FBI, que coordenou a operação, explica que o grupo começava por identificar sistemas e computadores vulneráveis, que usassem passwords fracas e não tivessem ainda sistemas de dupla autenticação. Quando o grupo conseguia entrar nos sistemas encriptava a informação recolhida, para que a organização deixasse de lhe ter acesso e partilhava instruções com a empresa sobre os passos a seguir para pagar o resgate que supostamente resolveria o problema.

Nos últimos meses vários grupos criminosos online de relevo internacional têm sido desativados. Em fevereiro, foi a máquina do Lockbit, conhecido como maior grupo global, que parou. No mês passado, as autoridades tiveram outra vitória ao conseguir chegar ao coração do DigitalStress, a maior plataforma global de venda de serviços para ataques de DDoS.