A principal notícia de cibersegurança nos Estados Unidos em agosto envolve o vazamento de 2,7 bilhões de números de segurança social, registro similar ao CPF. O grupo cibercriminoso que reivindicou o ataque é o USDoD, conhecido por também invadir diversas empresas ao redor do mundo. Agora, uma investigação aponta o possível líder do grupo: ele se chama Luan e seria brasileiro.
Um relatório minucioso da CrowdStrike recebido pelo TecMundo via fonte anônima revela que o provável líder do grupo USDoD é um homem de 33 anos chamado Luan B.G. que mora em Minas Gerais, no Brasil.
Todas as informações relacionadas ao cibercriminoso já foram entregues para as autoridades. Entre elas, foi possível identificar registro fiscal, endereços de email, domínios registrados, endereços IP, contas de mídias sociais, número telefônico e cidade. Informações mais precisas não foram reveladas ao TecMundo para não expor completamente a identidade do atacante.
“Expor a identidade de indivíduos num relatório de inteligência apresenta riscos. Apesar de seu envolvimento em atividades cibernéticas maliciosas, aspectos da vida privada desses indivíduos — como membros da família, fotos pessoais e outras informações pessoais — merecem ser protegidas, a menos que sejam relevantes para a investigação”, pontua a CrowdStrike.
Imagem de perfil em redes sociais antigas de Luan
O cibercriminoso USDoD
O grupo USDoD surgiu nos últimos meses com reivindicações de ataques sobre diferentes empresas e institutos.
Utilizador do fórum cibercriminoso Breach Forums, o grupo é conhecido por vazar bases de dados e informações de funcionários e clientes de empresas como: companhia aérea Airbus, Agência de Proteção Ambiental dos EUA, programa InfraGard do FBI, scrapping do LinkedIn e agência de avaliação de crédito TransUnion.
Além disso, o grupo afirmou que também teria acesso aos dados referentes às companhias norte-americanas de equipamentos militares Lockheed Martin e Raytheon.
O último ataque, que foi o mais veiculado, envolveu a empresa Jericho Inc (National Data Public), dos Estados Unidos. O incidente resultou no roubo de 2,9 bilhões de registros.
Totalizando 277 GB de dados, o pacote com as informações esteve à venda por US$ 3,5 milhões, o equivalente a R$ 19,7 milhões pela cotação do dia. Ele continha nomes completos, histórico de endereços de pelo menos três décadas e detalhes de pais, irmãos e outros parentes das pessoas inseridas na plataforma.
USDoD também ventilou a ideia de ter atacado a CrowdStrike e vazado dados confidenciais — na verdade, foram recolhidas informações que já eram entregues ao público e clientes da empresa.
Circulam rumores de que os ataques veiculados pelo grupo cibercriminoso USDoD usariam um software malicioso conhecido como ransomware. No caso, ransomware de outro grupo prolífico, o RansomMed.
Github do ator
Líder identificado
A investigação da CrowdStrike aponta que o líder do USDoD, Luan B.G., possui um histórico de hackativismo antigo, tendo início em 2017 até 2022, quando provavelmente iniciou operações cibercriminosas mais complexas.
É necessária uma explicação rápida aqui: hackativismo não significa, necessariamente, que há crime envolvido. Simplesmente pode envolver a manutenção de contas em redes sociais com manifestos políticos, por exemplo.
O que fez o link, nesse caso, entre o hackativismo e o cibercrime realizado por Luan foi o ator utilizar as mesmas descrições em perfis nas redes sociais.
“A CrowdStrike Intelligence rastreia o USDoD desde o final de 2022, quando o ator afirmou pela primeira vez ter acessado dados de uma parceria público-privada de compartilhamento de inteligência dos EUA. Desde então, a CrowdStrike Intelligence reportou sobre a atividade de USDoD mais 12 vezes”, afirma a empresa.
O caminho da identificação trouxe dados que escalaram a identidade do líder:
- Entre 2017 e 2022, Luan utiliza apenas um email (“luanbgs22@”) para criar contas em diferentes fóruns
- O mesmo email servia para realizar edições em páginas GitHub com ferramentas de código-aberto para ataque cibernético
- O mesmo email registrou domínios para promover projetos de ferramentas de ataque cibernético
- O mesmo email estava associado a diversas contas pessoais de Luan
- Desde 2017, o mesmo email registrou o nome “NatSec” no Medium para confeccionar uma publicação sobre malwares
- Por conta do email e de publicações no Medium, foi possível chegar ao Instagram de Luan, no qual havia a frase ““I Protect the hive. When the system is out of balance, I Correct”
- A mesma frase e email estavam associadas a conta @equationcorp no Twitter
Em diferentes publicações em fóruns e redes sociais, Luan B.G. ainda foi linkado com diversos apelidos utilizados, além de “NatSec”: NetSec, LLTV, LBG91 e Labs22.
A CrowdStrike afirma que, por Luan B.G. não possuir muito conhecimento técnico dentro do hackativismo no começo de seus trabalhos, a identificação foi mais fácil, principalmente o recolhimento de fotos de perfis e emails.
Instagram USDoD
A vaidade do cibercrime
A vaidade é um traço comum entre cibercriminosos que realizam ataques contra grandes empresas. Entre 2021 e 2022, outro grupo ficou muito conhecido no mundo: o Lapsus.
O Lapsus conseguiu dados sensíveis de empresas e instituições como Samsung, Claro, Ministério da Saúde, Rockstar, NVIDIA, JBS e muitas outras. A abordagem criminosa partia da obtenção de acesso privilegiado em sistemas até a chantagem para a não divulgação do que foi acessado.
E não foi muito difícil: entrevistei o líder do Lapsus em janeiro de 2022. A vaidade por conta das ações está exposta na matéria “Cibercrime e o espetáculo por reconhecimento: uma entrevista com Lapsus”.
USDoD não tomou um caminho diferente. O líder do grupo cibercriminoso concedeu entrevista ao site DataBreaches.net em 2023, o que também acabou ajudando a sua identificação.
Na entrevista, USDoD afirma ter cerca de 30 anos e cidadania dupla: Brasil e Portugal. Além disso, que hoje sua residência seria a Espanha.
“USDoD afirma que começou em 1999, após ingressar em uma comunidade brasileira de jogos”, escreve o DataBreachs. “Ele tinha 11 anos na época e diz que conseguiu usar habilidades sociais para ajudar a derrubar um pedófilo. Ele também afirma que um moderador daquela comunidade, que também era desenvolvedor do software r3x, o colocou sob sua proteção e o incentivou e o ajudou a desenvolver habilidades. Ele diz que também ficou muito impressionado com Kevin Mitnick”.
Vale notar que, o blog da plataforma brasileira Vydar, em julho deste ano, também apontou a nacionalidade de USDoD após investigação.
Em seu relatório sobre Luan B.G., a CrowdStrike afirmou que, apesar de reivindicar a nacionalidade brasileira, USDoD sempre indicou viver em diferentes países europeus. Ainda, provavelmente percebendo que estaria entregando muitas informações, declarou em 2023 no X (ex-Twitter) que “todos os aspectos de minha informação pública são desinformações” e afirmou que, na verdade, possuía cidadania norte-americana.
Não só emails e contas em fóruns de leak e carding, a atividade Luan B.G. na internet também foi rastreada por conta de seu endereço IP.
Em julho de 2024, o fórum cibercriminoso BreachForums sofreu um vazamento e expôs até o IP de seus usuários. Com esse material em mãos, a CrowdStrike descobriu que Luan enviou mensagens de endereços IPv4 dinâmicos e vários endereços IPv6 pertencentes a um ISP brasileiro com GeoIP na cidade de Minas Gerais.
“De acordo com fontes sensíveis da CrowdStrike, os registros financeiros também vincularam o USDoD ao Brasil recentemente, em meados de 2024, quando um indivíduo responsável pela conta @equationcorp no Twitter fez pagamentos online com um cartão de crédito de uma instituição financeira brasileira”, afirma a empresa.
Logo da CrowdStrike
Os próximos passos
Como notamos anteriormente, a CrowdStrike já entregou todas as informações recolhidas para as autoridades responsáveis.
A empresa nota que USDoD segue seu trabalho de obter dados sensíveis de empresas e instituições e realizar venda posterior — ou chantagear a vítima para a não divulgação/venda.
“A CrowdStrike Intelligence avalia que publicar informações sobre a verdadeira identidade de USDoD dificilmente mudará o foco do ator no curto prazo, pois ele provavelmente negará a informação ou, em última instância, afirmará que levou intencionalmente os pesquisadores a vincular ‘erroneamente’ sua identidade a Luan B.G.”, declara a empresa.
Os pesquisadores da CrowdStrike notam que há um desejo contínuo em Luan por ser reconhecido nas comunidades hackativistas e cibercriminosas, por isso, ele não deve parar tão cedo.
O que é ransomware
Quer entender o que é esse tal de ransomware que notamos aqui? Acompanhe abaixo:
Categorias