Relatório integrado de inteligência OSINT cobrindo 16.886 km de fronteira terrestre — do Chuy (Uruguai) ao Oiapoque (Amapá). Inclui arquitetura de sensores, fontes satelitais abertas, análise de risco militar, software de monitoramento pipeline e módulo de inteligência editorial automatizada com IA.
O SISFRON baseia-se no SIVAM e SIPAM, implementados na primeira década deste século para monitorar a Amazônia. O sistema integra uma rede sofisticada de radares, sensores, sistemas de comunicação segura e plataformas de comando e controle para detectar, monitorar e responder a movimentos fronteiriços em tempo real. As fases SAD 3 e SAD 7 mais recentes totalizam estimativa de USD $1 bilhão cada.
O SIVAM detecta aeronaves de baixa altitude pilotadas por traficantes de drogas, tanto pelos radares terrestres quanto por aviões. Inclui estações de radar móveis transportadas para postos remotos na selva. O SIVAM hoje é operado pelo CENSIPAM do Ministério da Defesa e processa imagens SAR de banda X sobre áreas críticas durante a estação chuvosa quando satélites ópticos são limitados por cobertura de nuvens.
A Marinha aumentará sua presença usando embarcações de patrulha e navios de transporte capazes de navegar pelas hidrovias interiores. Novas brigadas fluviais marinhas com batalhões de operações ribeirinhas foram formadas. Na Amazônia, a sede da 2ª Frota e uma divisão de fuzileiros navais foram estabelecidas em Belém. O SisGAAz complementa o SISFRON na vigilância dos rios Amazonas, Solimões, Paraguai e Paraná.
A dificuldade central na vigilância da região amazônica é a combinação de floresta densa, cobertura de nuvens permanente, ausência de infraestrutura, grandes distâncias e a necessidade de diferenciar movimentação humana de fauna nativa. A solução de estado da arte adota uma abordagem de sensores em camadas (layered sensor fusion), integrando dados de múltiplas modalidades em um único quadro operacional.
Sensores não atendidos enterrados detectam vibração de solo causada por passos humanos (até 150m), veículos (até 1km) e aeronaves de pouco altitude. Diferenciam assinatura sísmica por frequência.
Arrays de microfones detectam tiro de arma, motor de aeronave, barco a motor e gerador elétrico. IA classifica eventos em tempo real. Alcance 3–10 km dependendo da cobertura vegetal.
Câmeras FLIR montadas em torres ou UAVs detectam calor corporal humano e de animais de grande porte. Distingue humanos de fauna por padrão de movimento com IA embarcada.
Uma unidade de radar compacta envia pulsos de ondas de rádio várias vezes por segundo. As ondas viajam pela área de monitoramento e retornam com informações sobre o tamanho, velocidade e direção de objetos em movimento, permitindo diferenciar humanos, veículos e drones.
O OptaSense LGDS converte um cabo de fibra óptica padrão em um array de sensores distribuídos capazes de detectar mudanças em pressão, temperatura, estresse e acústica, classificando atividades como pessoas, veículos, aeronaves de baixa altitude e tiro.
Drones de longo alcance em patrulha autônoma cobrem setores remotos. Equipados com câmera EO/IR e AIS receiver para detecção de embarcações. Integram dados via link satelital Starlink ou Iridium.
Aeronaves sem ADS-B ou Mode-S transponder (pistas clandestinas, ultralight, helicópteros sem registro) representam o principal vetor de tráfico aéreo na Amazônia. Técnicas OSINT para detecção incluem: (1) análise de imagens de satélite para identificação de pistas clandestinas via Planet Labs/NICFI; (2) monitoramento de sinais MLAT (Multilateration) com receptores ADS-B distribuídos que triangulam posição sem transponder; (3) análise de padrões de ruído acústico via Audiomoth; (4) correlação de registros ANAC com operações suspeitas; (5) monitoramento de AIS fluvial para aeronaves anfíbias e hidroaviões.
Um dos maiores desafios em sensores de fronteira florestal é o alto índice de falsos positivos causados por fauna. O software de radar habilitado por IA determina confiavelmente a natureza de cada objeto detectado, permitindo diferenciar entre ameaças reais (humanos, drones, veículos) e animais silvestres, pássaros e folhagem agitada pelo vento. Para a Amazônia, modelos de ML treinados localmente com dados de fauna regional (antas, capivaras, onças, araras) reduzem alertas falsos em até 85% comparado a sistemas não calibrados.
| Plataforma | Resolução | Revisita | Acesso | Uso chave |
|---|---|---|---|---|
| Sentinel-2A/B/C | 10–60m óptico | 5 dias | Gratuito ESA | Desmatamento, uso do solo, NDVI |
| Sentinel-1 SAR | 5–20m radar | 6–12 dias | Gratuito ESA | Floresta (chuva), detecção embarcações |
| PlanetScope | 3.7m óptico | Diário | NICFI grátis/pago | Pistas clandestinas, garimpo, desmate |
| Landsat-8/9 | 15–30m óptico | 16 dias | Gratuito USGS | Histórico longo prazo, queimadas |
| CBERS-4A | 8m óptico | 5 dias | Gratuito INPE | Amazônia — satélite nacional BR/China |
| Amazonia-1 | 60m wide | 3–5 dias | Gratuito INPE | Cobertura ampla Brasil — swath 850km |
| ALOS-2 PALSAR | 3m SAR L-band | 14 dias | JAXA/parceiros | Penetração dossel florestal profundo |
| Airbus SPOT 6/7 | 1.5m óptico | Sob demanda | Pago comercial | Investigação específica de alto detalhe |
| Maxar WorldView-3 | 0.31m | Sob demanda | Pago / Gov. | Identificação de veículos, estruturas |
| Starlink AIS | — | Contínuo | Pago | Rastreamento fluvial, embarcações |
Durante a estação chuvosa, quando o monitoramento florestal baseado em satélites ópticos é prejudicado, o CENSIPAM é responsável pelo processamento de imagens SAR de banda X sobre áreas críticas. O Sentinel-1 SAR em banda C permite detecção de desmatamento mesmo em condições de 100% de cobertura de nuvens. Para penetração profunda do dossel, o SAR em banda L (ALOS-2 PALSAR) distingue estruturas sob a copa das árvores — fundamental para detecção de instalações clandestinas.
O INPE opera o PRODES (monitoramento anual de desmatamento na Amazônia desde 1988) e o DETER (alertas de desmatamento em quasi-real-time com resolução de 1 ha). O OPERA DIST-ALERT, desenvolvido pela NASA e pela Universidade de Maryland em parceria com o WRI, detecta anomalias de vegetação em quase tempo real usando dados de Landsat e Sentinel-2. O MapBiomas gera séries temporais anuais de uso e cobertura do solo para todo o Brasil via Google Earth Engine. Todas essas plataformas são de acesso gratuito e constituem fontes OSINT primárias para monitoramento de fronteira.
A análise de risco de movimentação militar na fronteira Brasil–vizinhos contempla não apenas ameaças convencionais entre Estados soberanos, mas primordialmente os riscos de atores não-estatais com capacidade militar (guerrilha, crime organizado transnacional com armamentos de guerra) e a possibilidade de infiltração de forças estrangeiras disfarçadas em atividades de mineração ou extração.
| Segmento | Ameaça Identificada | Indicadores OSINT | Risco |
|---|---|---|---|
| Tríplice Fronteira (BR/PY/AR) | Grupos armados do crime organizado, tráfico de armas de guerra (fuzis, RPGs) | Monitoramento Telegram/Signal, registros CONAMP, BOs PM | CRÍTICO |
| Fronteira BR/VE (Roraima) | Forças irregulares venezuelanas, garimpeiros armados (yanomami), sindicatos do crime | OCHA reports, ACNUR, FUNAI, imagens satélite Planet | CRÍTICO |
| Fronteira BR/CO (Amazonas) | FARC dissidências, tráfico cocaína, movimentação de armamentos MANPADS | InSight Crime, UN OCHA, SIVAM, interceptações SIGINT abertas | CRÍTICO |
| Arco Norte BR/GY/SR/GF | Garimpo ilegal, tráfico transoceânico, forças paramilitares guianenses | INPE DETER, PlanetScope, FUNAI, Ibama | ALTO |
| Corredor MS/MT (BR/BO) | PCC, Comando Vermelho, tráfico cocaína base boliviana | SENAD BO, COAF, MJ/Polícia Federal | ALTO |
| Fronteira BR/PY (Mato Grosso do Sul) | EPP (Ejército del Pueblo Paraguayo), contrabando armado | SNI/PY, Ministerio del Interior PY, fontes abertas locais | ALTO |
| Fronteira Sul BR/AR/UY | Tráfico de veículos, agrotóxicos ilegais, moeda falsa | PRF, Receita Federal, registros MERCOSUL | MÉDIO |
O sistema SISFRON foi projetado para funcionar como um escudo terrestre capaz de ver mais longe, reduzindo pontos cegos e apoiando decisões rápidas em regiões onde a presença do Estado não é sempre constante. O peso deste movimento cresce por uma razão direta: a região de fronteira inclui rotas usadas por organizações criminosas, contrabandistas e grupos armados tentando cruzar a fronteira sem chamar atenção. Do ponto de vista de OSINT estratégico, a maior ameaça não convencional é a presença de agentes de inteligência estrangeiros disfarçados como investidores em mineração e energia.
O monitoramento digital de atividades de narcotráfico na fronteira utiliza: análise de variações de preço em mercados de criptomoedas correlacionadas com apreensões conhecidas; monitoramento de grupos Telegram e Signal via ferramentas como TGStat e Telegrammt; análise de anúncios de emprego suspeitos em plataformas como OLX e Mercado Livre nas cidades de fronteira; rastreamento de embarcações fluviais via AIS (Marine Traffic, Vessel Finder) com identificação de comportamentos anômalos; e correlação de boletins de ocorrência públicos em portais como o SP-SIGEP.
O stack de monitoramento de fronteira de nível profissional segue o modelo de pipeline de dados de sensores — idêntico ao usado em sistemas de monitoramento de oleodutos e gasodutos industriais: ingestão de dados brutos → pré-processamento → análise → alerta → resposta. A diferença está na diversidade das fontes de dados e na necessidade de fusão multi-modal em tempo real.
O módulo de inteligência editorial automatizada transforma outputs de análise OSINT em conteúdo editorial publicável em múltiplos canais digitais (blogs, portais de segurança, LinkedIn, agências de press release). O processo utiliza LLMs (Large Language Models) como motor de reescrita e adequação de tom por canal, com disparo automático via pipelines de CI/CD editorial.
| Canal | Formato | Frequência | Audiência alvo |
|---|---|---|---|
| Blog próprio (WordPress/Ghost) | Artigo longo (1500–3000 palavras) | 3x semana | Analistas, jornalistas, academia |
| LinkedIn Articles | Artigo profissional (800–1200 palavras) | 2x semana | Profissionais de segurança, executivos |
| Medium Security | Análise técnica (1000–2000 palavras) | 1x semana | Comunidade infosec, OSINT |
| PR Newswire / Agência | Press release (400–600 palavras) | Eventos relevantes | Imprensa, agências |
| Thread X (Twitter) | Thread 8–12 tweets | Diário | Comunidade OSINT BR/INT |
| Telegram Canal | Briefing curto + link | Diário | Assinantes especializados |
| Substack Newsletter | Digest semanal curado | 1x semana | Assinantes pagos e gratuitos |
O sistema de inteligência cibernética automatizada opera como um serviço contínuo de monitoramento, análise e alertas para organizações que operam na região de fronteira. Integra os quatro pilares fundamentais e gera relatórios automatizados com IA para repostagem editorial:
Vigilância 24/7 de feeds de ameaça (threat intelligence feeds), dark web, Telegram criminoso, Pastebin, GitHub leaks e BreachForums. Alertas automáticos quando organizações da região são mencionadas.
Scan contínuo de superfície de ataque via Shodan/Censys/FOFA. Identifica servidores expostos, credenciais vazadas (HaveIBeenPwned), certificados expirados, sub-domínios shadow IT.
Monitoramento semântico de menções negativas em mídias sociais, fóruns, portais de notícia e WhatsApp público. Algoritmos NLP identificam sentiment negativo e associações tóxicas geograficamente contextualizadas.
Sistema de early warning baseado em análise de padrões históricos de crises similares. Aciona playbooks pré-definidos de resposta, incluindo draft de comunicados gerados por IA e notificação automática da equipe de resposta.
Métricas a monitorar no sistema de autopublicação OSINT: (1) tempo médio entre detecção de evento e publicação (meta: <4h); (2) taxa de engajamento por canal (LinkedIn >3%, Medium >2%, blog >1.5%); (3) posicionamento SEO para palavras-chave estratégicas (meta: top-5 Google BR); (4) número de menções e links externos recebidos; (5) conversão de leitores em leads para serviços de inteligência; (6) cobertura geográfica de menções (Brasil, Paraguai, Cone Sul). O sistema gera relatório automático de KPIs toda segunda-feira via email e dashboard.
Superfície de ataque digital da usina mapeável via Shodan/Censys. Monitoramento de credenciais corporativas (@itaipu.gov.br) em bases de vazamento. Análise de metadados de documentos técnicos públicos. Footprinting passivo de topologia de rede via DNS, BGP e certificados SSL.
43 mil CNPJs ativos na faixa de 150km de fronteira. Cruzamento de bases Receita Federal, RGE Paraguai, DOU, MDIC e Panjiva. Análise de grafos societários via JusBrasil + TSE.
68% das empresas legítimas de Foz do Iguaçu têm ao menos um resultado negativo na primeira página do Google por associação geográfica. SEO defensivo, monitoramento semântico contínuo e plano de resposta a crise digital.
Security-conscious Mac users may need more protection than their built-in tools provide. Learn about the extra features and functionality offered by the best free antivirus software providers for Mac in 2026.
The post The 6 Best Free Antivirus Software Providers for Mac in 2026 appeared first on TechRepublic.
Overview Bumblebee malware has been an initial access tool used by threat actors since late 2021. In 2023 the malware was first reported as using SEO poisoning as a delivery mechanism. Recently in May of 2025 Cyjax reported on a campaign using this method again, impersonating various IT tools. We observed a similar campaign in […]
The post From Bing Search to Ransomware: Bumblebee and AdaptixC2 Deliver Akira appeared first on The DFIR Report.
A escalada de tensões entre Irã e Israel ganha um novo e perigoso capítulo no ciberespaço. Um relatório divulgado pela Check Point Research revela que o grupo de ciberespionagem iraniano conhecido como Educated Manticore, com ligações diretas ao Corpo da Guarda Revolucionária Islâmica (IRGC-IO), intensificou campanhas direcionadas contra acadêmicos, jornalistas e especialistas de tecnologia israelenses.
De acordo com a investigação, o Educated Manticore concentrou esforços em atacar profissionais de alto nível, incluindo professores de ciência da computação de universidades renomadas de Israel, pesquisadores de cibersegurança e jornalistas. As ações, sofisticadas e cuidadosamente planejadas, fazem parte de uma ofensiva de espionagem digital que visa obter acesso indevido a contas de e-mail e outros serviços críticos.
Os invasores se passam por pesquisadores, executivos ou analistas de empresas de cibersegurança fictícias, estabelecendo contato inicial por e-mail ou até mesmo por mensagens no WhatsApp. Com uma comunicação polida, bem estruturada e aparentemente legítima — muitas vezes auxiliada por inteligência artificial —, os criminosos buscam conquistar a confiança das vítimas e direcioná-las para links maliciosos.
Uma vez estabelecido o contato, os alvos são conduzidos para falsas páginas de login do Gmail, Outlook ou Yahoo, desenvolvidas com tecnologia moderna baseada em Single Page Applications (SPA) usando React. Essas páginas simulam com precisão o fluxo de autenticação de grandes provedores de e-mail, incluindo etapas de autenticação multifator (2FA), captura de senhas e códigos de verificação.
Além disso, o kit de phishing desenvolvido pelo grupo conta com keyloggers ocultos, capazes de registrar todas as teclas digitadas, mesmo que o usuário não finalize o processo. As informações são transmitidas em tempo real para os servidores dos atacantes, potencializando o roubo de credenciais e comprometendo ainda mais as contas das vítimas.
Um aspecto que chamou atenção dos analistas foi o uso de convites falsos do Google Meet, hospedados no próprio serviço Google Sites, o que dá uma aparência ainda mais legítima às páginas maliciosas. Ao clicarem nas imagens desses convites, as vítimas são redirecionadas a sites sob o controle dos atacantes.
A infraestrutura da Educated Manticore é ampla e bem estruturada. Desde janeiro de 2025, o grupo registrou mais de 130 domínios diferentes — muitos relacionados a temas como tecnologia, comunicação e educação —, utilizados para hospedar as páginas de phishing e gerenciar as operações clandestinas. A maioria desses domínios foi registrada através do provedor NameCheap.
Os especialistas também identificaram uma sobreposição significativa com outra célula de operações, conhecida como GreenCharlie, o que sugere uma possível ramificação ou subgrupo da Educated Manticore atuando de forma coordenada.
Entre os domínios maliciosos monitorados estão sendly-ink[.]shop, idea-home[.]online, live-meet[.]info, bestshopu[.]online, entre muitos outros. Além disso, diversos endereços IP associados à operação foram mapeados, fortalecendo as evidências de uma infraestrutura técnica bem organizada.
Apesar da crescente exposição e dos esforços da comunidade de segurança cibernética, o Educated Manticore segue atuando com rapidez e agressividade, demonstrando grande capacidade de adaptação e evasão. A campanha atual, ao explorar o contexto geopolítico e acadêmico, representa uma ameaça grave à integridade das instituições israelenses e ao ecossistema global de cibersegurança.
“Esses ataques evidenciam como o ciberespaço se tornou um dos principais campos de batalha no atual conflito Irã-Israel”, alertam os pesquisadores da Check Point. A expectativa é de que o grupo continue investindo em táticas de roubo de identidade e coleta de informações, principalmente de indivíduos envolvidos em ambientes acadêmicos, científicos e tecnológicos estratégicos.
A Check Point Research divulgou uma lista de domínios e endereços IP associados à infraestrutura maliciosa do Educated Manticore. Profissionais e empresas de tecnologia são fortemente aconselhados a implementar medidas de monitoramento e bloqueio desses indicadores em suas redes.
Entre os principais IOCs identificados estão:
Endereços IP:
185.130.226[.]71
45.12.2[.]158
45.143.166[.]230
91.222.173[.]141
194.11.226[.]9
Domínios Notórios:
sendly-ink[.]shop
idea-home[.]online
live-meet[.]info
bestshopu[.]online
live-message[.]online
A lista completa de domínios e IPs está disponível no relatório técnico da Check Point.
O caso do Educated Manticore reforça o papel crítico da cibersegurança no cenário geopolítico atual. A sofisticação técnica, combinada a uma estratégia agressiva de engenharia social, demonstra que grupos apoiados por Estados seguem explorando vulnerabilidades humanas e tecnológicas para alcançar seus objetivos de espionagem.
Especialistas recomendam vigilância redobrada, treinamentos contínuos de conscientização e o uso de autenticação forte e verificada, especialmente entre profissionais que atuam em áreas sensíveis de tecnologia e pesquisa.
Um ataque cibernético supostamente realizado pelo grupo “Lip Stitchers” comprometeu a rede de comunicação de 116 navios pertencentes à República Islâmica do Irã, segundo informações exclusivas obtidas pela Iran International. As embarcações afetadas estariam ligadas às empresas estatais National Iranian Tanker Company (NITC) e Islamic Republic of Iran Shipping Company (IRISL) — ambas sancionadas por Estados Unidos, Reino Unido e União Europeia por seu envolvimento em operações logísticas estratégicas e, segundo acusações, apoio a grupos como os houthis no Iêmen.
O grupo hacker declarou que sua ofensiva teve como objetivo “cegar o regime iraniano em um momento crítico de ataques militares americanos contra posições houthis”. Segundo o comunicado, 50 navios da NITC e 66 da IRISL foram isolados, perdendo a capacidade de se comunicar com portos, outras embarcações e centros de comando em terra. Ainda de acordo com os hackers, o restabelecimento total dessas redes pode levar semanas, forçando as embarcações a recorrerem a meios limitados e alternativos de comunicação.
O ataque coincide com o sexto aniversário de atuação do Lip Stitchers, marcado pela inauguração de uma nova página no Telegram. O grupo — já conhecido por revelar dados sobre a Guarda Revolucionária Iraniana e sua unidade cibernética — afirma ter apoio de insiders dentro do próprio governo iraniano.
Ao comprometer a conectividade de 50 navios da National Iranian Tanker Company (NITC) e 66 da Islamic Republic of Iran Shipping Line (IRISL), o grupo Lip Stitchers impôs um blackout operacional em plena zona cinzenta das tensões no Oriente Médio. A ausência de conectividade em embarcações comerciais e militares modernas não representa apenas a perda de comunicação, mas um colapso da visibilidade tática e da sincronização logística.
Em ambientes marítimos, a comunicação satelital via VSAT, AIS, rádio VHF/HF e canais criptografados é vital não só para a navegação e coordenação, mas para o mascaramento de operações clandestinas, como o transporte de armas para os houthis no Iêmen, como denunciado. Ao isolar os navios, os atacantes não apenas desorganizam o fluxo de exportações de petróleo iraniano, mas também interrompem potenciais corredores de suprimento para grupos aliados do regime.
Apesar da escassez de informações públicas detalhadas sobre a arquitetura das redes de comunicação dos navios iranianos, sabe-se que as embarcações da NITC e da IRISL operam com um complexo sistema híbrido, que combina:
A NITC, com seus mais de 46 superpetroleiros e capacidade superior a 15 milhões de toneladas, opera como artéria principal das exportações iranianas. Esses navios frequentemente desligam seus sistemas de rastreamento AIS para driblar sanções internacionais e ocultar rotas em águas internacionais como tática para burlar sanções e dificultar a vigilância internacional, o que torna suas comunicações criptografadas e satelitais ainda mais críticas. Ao cortar esse elo, o grupo expõe a fragilidade de uma estrutura de comando e controle marítimo que depende de uma mescla de soluções legadas, tecnologias de parceiros como Rússia e China, e sistemas proprietários potencialmente inseguros.
A vulnerabilidade dessas redes – acentuada por restrições tecnológicas impostas por sanções e pela presença de hardware não auditado – faz delas alvos altamente viáveis para grupos sofisticados com conhecimento interno, como sugerido pelo Lip Stitchers.
A National Iranian Tanker Company comanda a maior frota de petroleiros do Oriente Médio, composta por mais de 46 navios-tanque com capacidade combinada superior a 15 milhões de toneladas. Essas embarcações são peças-chave na logística de exportação do petróleo iraniano — uma das principais fontes de receita do regime.
O que torna essa operação emblemática é sua natureza transnacional, com motivação ideológica e possível colaboração interna, como afirmou o grupo em seu canal no Telegram. Não se trata apenas de um ato de protesto digital, mas de uma operação com timing geopolítico calculado: ocorreu durante ataques americanos contra posições houthis, potencializando seu efeito estratégico e midiático.
O impacto é amplificado pelo fato de que, no ciberespaço, atores não-estatais podem atingir Estados-nação com uma eficácia antes exclusiva das grandes potências. E no caso do Irã, que já enfrentava pressão econômica e militar, o colapso parcial de sua frota de transporte energético representa um enfraquecimento sensível de sua capacidade de projeção regional.
As crescentes sanções internacionais têm restringido o acesso do Irã a tecnologias de ponta, limitando atualizações críticas em suas redes navais e sistemas de comunicação. Após episódios de comprometimento de comunicações do Hezbollah em 2024, o próprio IRGC iniciou inspeções de segurança nos equipamentos utilizados por embarcações civis e militares.
A recente ofensiva do grupo Lip Stitchers indica que, apesar das medidas defensivas do regime, vulnerabilidades persistem — especialmente na camada cibernética que sustenta a capacidade logística naval iraniana. Com os navios afetados temporariamente isolados e operando sob risco elevado, o episódio acende um alerta sobre o crescente papel da guerra cibernética nas disputas geopolíticas do Oriente Médio.
O ataque do Lip Stitchers é um alerta global. Ele demonstra que, na era da conectividade ubíqua, a superfície de ataque se estende até os mares. A maritimização do ciberconflito amplia o domínio de operações para além de redes terrestres e satélites, introduzindo um novo tipo de guerra naval silenciosa: não feita com torpedos, mas com pacotes de dados.
Para estrategistas e decisores, este episódio reforça a urgência de:
Modernizar redes de comunicação embarcadas com foco em resiliência e segmentação;
Implementar Zero Trust Marítimo, com autenticação e monitoramento contínuos;
Investir em inteligência cibernética naval preventiva, integrando informações de threat hunting com geopolítica;
Avaliar continuamente a cadeia de suprimentos cibernética dos sistemas embarcados, inclusive nos componentes adquiridos de parceiros estatais.
O mar, outrora refúgio para operações clandestinas, agora é palco de uma nova corrida armamentista digital. E quem controlar os dados das águas, controlará o destino das nações que por elas navegam.
The scourge of ransomware continues primarily because of three main reasons: Ransomware-as-a-Service (RaaS), cryptocurrency, and safe havens.
With these three challenges in mind, law enforcement and governments have a very difficult job to do when it comes to fighting ransomware but fight it they must. In this blog we shall recall what counter-ransomware activities took place in 2024, analyse their effectiveness, and assess how the landscape shall evolve as a result.
A podcast version of this blog is also available here.
During 2024, there were significant disruption operations by
law enforcement and financial authorities targeting individuals behind
ransomware campaigns (see the Table below). The main focus of 2024 for Western
law enforcement was squarely on the LockBit RaaS and its affiliates as it was
the largest and highest earning ransomware operation to date.
Several key players of the ransomware ecosystem were
arrested, including the main developer of LockBit ransomware. Interestingly,
Russian law enforcement also decided to arrest ransomware threat actors located
in Moscow and Kaliningrad as well.
| Month | Group(s) | Law Enforcement Activity |
|---|---|---|
| February 2024 | SugarLocker, REvil | Russian authorities have identified and arrested three alleged members in Moscow of a ransomware gang called SugarLocker. |
| February 2024 | LockBit | The LockBit leak site was seized. Two LockBit affiliates were arrested in Poland and Ukraine. Up to 28 servers belonging to LockBit were taken down. |
| February 2024 | LockBit | Two Russian nationals, Ivan Kondratiev and Artur Sungatov, were sanctioned by the US Treasury for being affiliates of LockBit, among other RaaS. |
| May 2024 | LockBit | Dmitry Khoroshev, the administrator and developer of LockBit was sanctioned by the US Treasury. |
| May 2024 | IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee, TrickBot | European police took down malicious spam botnets that support ransomware campaigns. This resulted in 4 arrests (1 in Armenia and 3 in Ukraine), over 100 servers and 2,000 domains being seized. One of the main suspects earned €69 million by renting out infrastructure sites to deploy ransomware. |
| June 2024 | Conti, LockBit | A Ukrainian national was arrested for supporting Conti and LockBit ransomware attacks as a crypter developer. |
| August 2024 | Reveton, RansomCartel | Maksim Silnikau, a Belarusian national, was arrested in Spain for running Reveton and RansomCartel. |
| August 2024 | Karakurt, Conti | Deniss Zolotarjovs, a Latvian national was arrested and extradited to the US from Georgia for running the Karakurt data extortion gang linked to Conti. |
| October 2024 | Evil Corp, LockBit | The UK, alongside the US and Australia, has sanctioned 16 members of Evil Corp, including Aleksandr Ryzhenkov, Viktor Yakubets, and Eduard Benderskiy. |
| November 2024 | Phobos | Evgenii Ptitsyn, a Russian national, was arrested and extradited to the US from South Korea for running the Phobos ransomware gang. |
| December 2024 | LockBit | Rostislav Panev, a dual Russian and Israeli national, was arrested in Israel for developing LockBit ransomware. |
| December 2024 | LockBit, Babuk, Hive | Mikhail “Wazawaka” Matveev was arrested in Russia for violating domestic laws against the creation and use of malware. He was fined and had his cryptocurrency seized and is awaiting trial. |
The ransomware ecosystem has fragmented due to the law enforcement disruptions of the largest players, such as
ALPHV/BlackCat and LockBit. In the case of ALPHV/BlackCat, the operators staged
a law enforcement takedown as they put up a fake seizure notice as part of
an exit scam in March 2024 after the attack on UnitedHealth.
Following these disruptions, some affiliates have migrated
to less effective strains or launched their own strains. This includes
Akira and RansomHub at the top of the list as well as Hunters International and
PLAY.
During 2024, law enforcement seized funds from and
sanctioned a number of cryptocurrency exchanges and individuals running payment
processors using cryptocurrency (see the Table below).
One of the most interesting disclosures this year came from
the UK National Crime Agency (NCA) around Operation Destablise. The NCA linked
payments to ransomware gangs to money laundering networks used by Russian
oligarchs to covertly purchase property and Russia Today, the state-run media
organization, to covertly fund pro-Russia foreign entities.
Another notable investigation in 2024 was when the US
Treasury sanctioned more Russian cryptocurrency exchanges, such as PM2BTC and
Cryptex, that led to money launderers that facilitate the cashing out of ransom
payments being arrested by Russian law enforcement.
| Month | Exchange(s) | Law Enforcement Activity |
|---|---|---|
| August 2024 | Cryptonator | The US Justice Department indicted Russian national Roman Pikulev and Cryptonator, which processed a total of $1.4 billion in transactions, of which $8 million were ransom payments. Cryptonator also has ties to other sanctioned entities including Blender, Hydra Market, Bitzlato, and Garantex, among others. |
| September 2024 | PM2BTC, Cryptex, UAPS | FinCEN identified PM2BTC as being of “primary money laundering concern” in connection with Russian illicit finance. This was alongside Cryptex and Sergey Sergeevich Ivanov, a Russian national, who is associated with UAPS and PinPays, as well as Genesis Market. Cryptex also facilitated more than $115 million of proceeds from ransomware payments. |
| September 2024 | 47 exchanges | In Operation Final Exchange, German federal police (BKA) shut down 47 cryptocurrency exchange services that ransomware gangs use that operated without requiring registration or identity verification. |
| October 2024 | Cryptex, UAPS | Russian authorities have arrested nearly 100 suspected cybercriminals linked to the anonymous payment system UAPS and the cryptocurrency exchange Cryptex. |
| November 2024 | Smart, TGR Group | The NCA uncovered a Russian money-laundering network operated by two companies called Smart and TGR Group as part of Operation Destabilise that involved UK-based cash-to-crypto networks that laundered Ryuk ransom payments as well as the money of Russian oligarchs and Russia Today. |
While ransomware is a global problem, there are only a few
countries that are to blame for this rapid expansion of the ransomware
ecosystem. The state that is blamed the most for preventing many ransomware operators
from facing justice is Russia. There are explicit rules posted to
Russian-speaking cybercrime forums that state as long as members avoid
targeting Russia and the Commonwealth of Independent States (CIS), they are
free to operate.
The Russian ransomware safe haven theory was further proven
following sanctions levied against Evil Corp by the UK, US, and Australia. One
of the sanctioned men connected to Evil Corp was Eduard
Benderskiy, a former Russian federal security service (FSB) official.
Benderskiy is reportedly
the father-in-law of Maksim Yakubets, the leader of Evil Corp, an organized cybercrime
group responsible for multiple
ransomware strains including BitPaymer, WastedLocker, Hades, PhoenixLocker,
and MacawLocker. In total, Evil Corp has reportedly extorted at least $300
million from victims globally, according to the UK NCA. It is now clear that
Evil Corp has protection from a highly connected Russian FSB official who has
also been involved
in multiple overseas assassinations on behalf of the Kremlin, according to
Bellingcat investigators.
While a number of ransomware operators were arrested in 2024
and some were extradited to the US, the work done by law enforcement
specializing in cybercrime was put in the spotlight during the August
2024 prisoner swap. Multiple countries decided to release cybercriminals,
spies and an assassin as part of a historic
prisoner exchange with Russia at an airport in Ankara, Turkey. The US negotiated
the release of 16 people from Russia, including five Germans as well as seven
Russian citizens who were political prisoners in their own country.
Notably, from a cybercrime intelligence perspective, the Russian
nationals released from the West included the infamous cybercriminals Roman
Seleznev and Vladislav Klyushin. The latter, Klyushin, was sentenced
in 2023 to nine years in US prison after he was caught in a $93 million stock
market cheating scheme that involved hacking into US companies for insider
knowledge. The other cybercriminal, Seleznev, was sentenced
to 27 years in prison in 2017 for stealing and selling millions of credit card
numbers from 500 businesses using point-of-sale (POS) malware and causing more
than $169 million in damage to small businesses and financial institutions,
including those in the US.
In 2024, we saw several more Russian nationals get
extradited to the US after being arrested by law enforcement in the country
they were residing in. This includes the Phobos operator living in South Korea
and the LockBit developer living in Israel. This follows others arrested in
previous years such as a TrickBot developer arrested
in South Korea as well as the two LockBit affiliates extradited
to the US. There is a potential that these Russian nationals involved in
ransomware could be used in prisoner exchanges in the future.
Further, another curious trend in 2024 was that some Russians
inside Russia, which is firmly considered a safe haven for ransomware gang, did
get arrested. This includes the SugarLocker operators arrested in Moscow and
the LockBit affiliate Wazawaka who was arrested in Kaliningrad. This is
alongside the money launderers arrested around Russia linked to the Cryptex
exchange.
The arrests of Russian nationals in Russia for ransomware
activities appear to be more symbolic than a true crackdown on this type of
activity. This is because there are several dozen Russian-speaking ransomware
gangs that continue to operate, as well as a plethora of other types of cybercrime
in the Russian-speaking underground.
In 2024, there was lots of significant action by law
enforcement to shake up the ransomware economy. One of the main successes of the
notable Operation Cronos action taken against LockBit was the sowing of
distrust and disharmony in the ransomware ecosystem. Despite the admins of
LockBit trying to recover, their reputation and army of affiliates have been
smashed.
Many of Russian law enforcement activities could all be
related to the costs of the Russian invasion of Ukraine. Russian authorities seizing funds of the illicit cryptocurrency exchanges could be to pay for
the war in Ukraine and they could be recruiting arresting cybercriminals for offensive
cyber operations related to the war in Ukraine. The true motivations of Russian law enforcement arresting these specific ransomware operators but allowing others to operate are unclear. The cybercriminals could also simply have not paid their protection money or lack connections in the FSB like Evil Corp has.
Due to the fall of LockBit and ALPHV/BlackCat in 2024, there has been a rise of other ransomware groups like RansomHub and Akira to fill the vacuum. However, the rate of attacks by these emerging groups is still noticeably lower than when LockBit was operating at full force. This should be perceived as a success for law enforcement operations in 2024 due to the overall number of ransomware attacks lowering, which we should all be thankful for.
Entrar