Uma nova investigação revela que um grupo de hackers, conhecido como Cuba Ransomware, que estará por trás do malware RomCom RAT e que tem vindo a atacar unidades militares ucranianas, além de instituições de governo locais, poderá ter, na verdade, ligações ao governo russo.

Como avança o website TechCrunch, citando uma investigação realizada pela BlackBerry, embora o nome e imagem do grupo remetam para Cuba, com ilustrações de Fidel Castro e Che Guevara na sua página na Dark Web, os investigadores não encontraram qualquer ligação entre os cibercriminosos e o país.

Ao longo dos últimos meses, a equipa de investigadores da BlackBerry verificou que o malware RomCom RAT estava a ser utilizado para atacar os sistemas informáticos de unidades militares ucranianas, além de agências governamentais locais e do próprio parlamento do país.

Os especialistas chegaram à conclusão de que o grupo Cuba Ransomware poderá ter ligações ao governo russo não só devido aos seus alvos escolhidos, mas também devido à altura em que as suas operações ocorreram.

Por exemplo, em um dos casos detectados, que remonta a março de 2022, os investigadores observaram como os cibercriminosos desenvolveram um certificado digital falso, supostamente ligado a um domínio online austríaco, para criar um website malicioso uma semana antes do presidente ucraniano Volodymyr Zelensky discursar no parlamento austríaco via videoconferência.

Ciberataques, espionagem e propaganda: as armas da máquina de guerra da Rússia no primeiro ano de conflito na Ucrânia
Ciberataques, espionagem e propaganda: as armas da máquina de guerra da Rússia no primeiro ano de conflito na Ucrânia
Ver artigo

Segundo os investigadores, este padrão continuou a ser seguido pelos hackers ao longo dos meses seguintes, com os ataques a ocorrerem dias antes de operações importantes das forças ucranianas na guerra.

No entanto, nem todos estão convencidos de que o grupo Cuba Ransomware poderá ser uma criação do governo russo. Para Doel Santos, investigador da Unit 42 da Palo Alto Networks, os hackers em questão são mais sofisticados do que outros grupos de ransomware mais "tradicionais", dado ao uso de ferramentas de hacking próprias. 

O investigador detalha que, apesar de existir a possibilidade de o grupo estar a receber ordens de um Estado-Nação, os especialistas desconhecem, para já, a forma como esta relação funciona. Doel Santos lembra também que existem grupos que levam a cabo operações adicionais, de forma secreta, o que poderá estar a suceder neste caso.

Em linha com Doel Santos, Mark Karayan, porta-voz das equipas da área de inteligência de ameaças da Google, que também tem vindo a acompanhar as atividades do grupo, afirma que não é possível confirmar a teoria apresentada pela BlackBerry sem ter acesso à investigação. 

Anteriormente, um porta-voz do Serviço Estatal de Comunicações Especiais da Ucrânia tinha dado a conhecer que o malware RomCom RAT foi utilizado para tentar atacar utilizadores de um software específico. Embora se possa assumir que o objetivo foi recolher informação acerca das forças ucranianas, não existiam provas suficientes para ligar a operação maliciosa à Rússia. 

A equipa da BlackBerry não tem planos para publicar a totalidade da sua investigação, de modo a impedir que os hackers mudem as suas estratégias. Para já, a verdadeira identidade do grupo de cibercriminosos ainda não foi confirmada, e os investigadores terão de continuar a investigá-lo em busca de novas pistas que confirmem a teoria.