O veredicto contra um dos operadores por trás de uma enorme rede de phishing deixa claro que as pesquisas internacionais podem alcançar os cérebros das operações cibernéticas, mesmo quando estão radicados fora dos Estados Unidos. Ilya Angelov, um cidadão russo de 40 anos conhecido na rede pelos alias "milan" e "okart", foi sentenciado a dois anos de prisão depois de admitir que a botnet que ajudou a dirigir foi usada para facilitar ataques de ransomware BitPaymer contra dezenas de empresas americanas.
Os documentos judiciais mostram que Angelov não agiu sozinho: fez parte de uma equipe ao qual o FBI chamou de "Mario Kart" e que os analistas de segurança identificaram com nomes como TA551, Shathak, GOLD CABIN, Monster Libra, ATK236 e G0127. Nessa estrutura, os líderes recrutavam e coordenavam desenvolvedores de malware, operadores de campanhas de spam e especialistas que adaptavam as amostras maliciosas para evitar defesas. O resultado foi uma infraestrutura capaz de enviar centenas de milhares de e-mails maliciosos e converter computadores comprometidos em peças de uma botnet comercializável.
De acordo com o Ministério Público, a campanha de spam conseguiu atingir picos até 700 mil e-mails por dia, e em seus momentos mais ativos a rede podia infectar uns 3000 máquinas por dia. Os equipamentos infectados eram alugados ou vendidos a outros atores criminosas: era a peça de entrada do ecossistema de Ransomware-as-a-Service (RaaS). O Departamento de Justiça detalha que mais de setenta empresas americanas foram infectadas por afiliados que empregaram acesso vendido por este grupo, e que as extorsões relacionadas superaram os 14 milhões de dólares. Os leitores podem consultar o comunicado oficial do DOJ para mais contexto em o site do Departamento de Justiça e rever os documentos judiciais públicos DocumentCloud.
A atividade criminosa atribuída a este grupo se estendeu entre 2017 e 2021. Entre agosto de 2018 e dezembro de 2019, várias intrusões vinculadas à rede permitiram a infecção com BitPaymer, um ransomware que assolau empresas por criptografia e exigências de pagamento. Além disso, outros atores como o grupo vinculado ao troiano bancário IcedID chegaram a pagar em torno de um milhão de dólares à equipa de Angelov pelo acesso a seus bots entre finais de 2019 e agosto de 2021, o que ilustra como essas economias ilícitas se alimentam umas a outras.
O caso também mostra a complexidade das alianças entre criminosos: operadores de campanhas de phishing como TA551 têm colaborado historicamente com bandas que distribuíram Conti ou outros ransomware através de infra-estruturas como TrickBot ou QakBot/Qbot, e contribuíram para a entrega de famílias como ProLock, Egregor ou DoppelPaymer, segundo alertas e análise de equipamentos de resposta e empresas de segurança. Para entender melhor a ameaça do ransomware e como estes atores se integram, é útil revisar análises de segurança e advertências públicas; por exemplo, a página do FBI sobre o fenômeno do ransomware oferece recursos e contexto geral sobre a ameaça: FBI — Investigações.
A comparecencia e o acordo de Angelov tiveram nuances geopolíticas: o acusado decidiu viajar aos Estados Unidos para se entregar e se declarar culpado após a invasão russa à Ucrânia em 2022 e após a detenção na Suíça de um colaborador relacionado à banda IcedID. Este tipo de movimentos põe em cima da mesa como as mudanças no contexto internacional e as ações policiais em países terceiros podem alterar a equação de risco para os supostos criminosos digitais.
Em paralelo, outro caso recente que lembra a função do chamadoinitial access correto(corredor de acesso inicial) é a condenação de Aleksey Olegovich Volkov, que recebeu quase sete anos de prisão por vender acesso a redes que depois foram exploradas pelo ransomware Yanluowang. Esses processos sublinham que não apenas aqueles que executam a cifra directamente são perseguiveis; também são aqueles que geram e traficam o acesso inicial que permite os ataques.
O que significa tudo isso para empresas e usuários? Primeiro, que a cadeia criminal que facilita o ransomware é sofisticada e modular: há equipamentos especializados em phishing, outros em desenvolvimento de malware e outros em negociação de pagamentos e branqueamento. Segundo, que a intervenção judicial e a cooperação internacional podem bater nessa cadeia, mas não a eliminam por completo. Por esse motivo é crítico que as organizações fortalezcan medidas preventivas básicas e efetivas: controles de correio, segmentação de redes, cópias de segurança verificadas, monitoramento de atividade anómala e planos de resposta. Agências como a CISA Eles mantêm guias práticas para mitigar e recuperar ataques de ransomware.
Este caso é um lembrete de que, na batalha contra o cibercrime, a tecnologia e a cooperação legal devem ir da mão. Os operadores adaptam-se e procuram novas vias de monetização, mas a combinação de inteligência técnica, investigações transfronteiriças e acumulação de processos judiciais demonstra que existe uma via para responsabilizar aqueles que organizam e permitem a extorsão digital. Para aqueles que gerem segurança em empresas, a lição é clara: a prevenção e a preparação não são opcionais, e a vigilância sobre como um simples e-mail pode converter-se na porta de entrada para um incidente que custa milhões deve fazer parte da estratégia corporativa.
Para ampliar informações sobre o caso e os documentos oficiais, consulte o comunicado do Departamento de Justiça e o dossiê em DocumentCloud indicados acima, bem como relatórios especializados que cobriram a notícia e a barragem criminosa, por exemplo em BleepingComputer.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...