O Lado Sombrio da Internet: Conexões Perigosas Entre Grupos de Dano e "The Com"
Uma investigação revela a sinistra interconexão entre gangues de ransomware ocidentais e grupos online dedicados à extorsão e ao assédio de adolescentes, explorando a linha tênue entre o cibercrime financeiro e o dano psicológico e físico.
MundiX News·25 de junho de 2026·15 min de leitura·👁 1 views
Um ataque cibernético que paralisou dois dos principais cassinos de Las Vegas no ano passado rapidamente se tornou uma das histórias de segurança mais envolventes de 2023. Foi o primeiro caso conhecido de hackers de língua inglesa nos Estados Unidos e na Grã-Bretanha se unindo a gangues de ransomware baseadas na Rússia. No entanto, essa narrativa digna de Hollywood ofuscou uma tendência muito mais sinistra: muitos desses jovens criminosos cibernéticos ocidentais também são membros de grupos online em rápido crescimento que existem unicamente para intimidar, perseguir, assediar e extorquir adolescentes vulneráveis, levando-os a se machucar fisicamente e a prejudicar outros.
Em setembro de 2023, um grupo russo de ransomware conhecido como ALPHV/Black Cat reivindicou a autoria de uma intrusão na rede hoteleira MGM Resorts, que rapidamente paralisou os cassinos da MGM em Las Vegas. Enquanto a MGM ainda tentava expulsar os intrusos de seus sistemas, um indivíduo que alegou ter conhecimento em primeira mão do hack contatou vários veículos de mídia para oferecer entrevistas sobre como tudo aconteceu. Uma das contas sobre o hack veio de um jovem de 17 anos do Reino Unido, que disse aos repórteres que a intrusão começou quando um dos hackers de língua inglesa ligou para um técnico de suporte da MGM e o enganou para redefinir a senha de uma conta de funcionário. A empresa de segurança CrowdStrike apelidou o grupo de "Scattered Spider", reconhecendo que os hackers da MGM vieram de diferentes grupos espalhados por um oceano de servidores Telegram e Discord dedicados ao cibercrime financeiro. Coletivamente, esse arquipélago de comunidades de chat focadas em crimes é conhecido como "The Com", e funciona como uma espécie de rede social distribuída de cibercriminosos que facilita a colaboração instantânea. Mas, na maioria das vezes, The Com é um lugar onde cibercriminosos vão para se gabar de seus exploits e de sua posição na comunidade, ou para diminuir os outros. Os principais membros do Com estão constantemente discutindo sobre quem realizou os roubos mais impressionantes, ou quem acumulou a maior pilha de moedas virtuais roubadas. E com a mesma frequência com que extorquem empresas vítimas para obter ganhos financeiros, os membros do Com tentam roubar dinheiro de seus rivais cibercriminosos — muitas vezes de maneiras que transbordam para a violência física no mundo real.
A CrowdStrike chegou a produzir e vender bonecos de ação do Scattered Spider, e apresentou uma escultura em tamanho real do Scattered Spider na RSA Security Conference deste ano em São Francisco. No entanto, comercializar produtos e serviços de segurança com base em grupos cibercriminosos específicos pode ser complicado, especialmente se for descoberto que roubar e extorquir vítimas está longe de ser a atividade mais abominável em que esses grupos se envolvem diariamente. KrebsOnSecurity examinou o número de ID de usuário do Telegram da conta que ofereceu entrevistas à mídia sobre o hack da MGM — que corresponde ao nome de tela "@Holy" — e descobriu que a mesma conta foi usada em vários canais de cibercrime totalmente focados em extorquir jovens para que se machuquem ou prejudiquem outros, e em gravar o dano em vídeo. "Holy" era conhecido por possuir vários nomes de usuário valiosos no Telegram, incluindo @bomb, @halo e @cute, bem como um dos nomes de usuário do Telegram mais caros já colocados à venda: @nazi. Em uma postagem em um canal do Telegram dedicado à extorsão de jovens, o mesmo usuário pode ser visto perguntando se alguém conhece os identificadores atuais do Telegram para vários membros centrais do 764, um grupo extremista conhecido por vitimizar crianças através de campanhas coordenadas online de extorsão, doxing, swatting e assédio. Pessoas afiliadas a grupos de dano como o 764 frequentemente recrutam novos membros espreitando em plataformas de jogos, sites de mídia social e aplicativos móveis populares entre os jovens, incluindo Discord, Minecraft, Roblox, Steam, Telegram e Twitch. "Este tipo de ofensa geralmente começa com uma mensagem direta através de plataformas de jogos e pode migrar para salas de chat mais privadas em outras plataformas virtuais, tipicamente uma com recursos de vídeo ativados, onde a conversa rapidamente se torna sexualizada ou violenta", adverte um alerta recente da Royal Canadian Mounted Police (RCMP) sobre o aumento de grupos de sextortion em canais de mídia social. "Uma das táticas usadas por esses atores é a sextortion, no entanto, eles não a usam para extrair dinheiro ou para gratificação sexual", continuou a RCMP. "Em vez disso, eles a usam para manipular e controlar ainda mais as vítimas para produzir conteúdo mais prejudicial e violento como parte de seus objetivos ideológicos e caminho de radicalização." A rede 764 está entre as comunidades de dano mais populosas, mas existem muitas outras. Alguns dos maiores grupos conhecidos incluem CVLT, Court, Kaskar, Leak Society, 7997, 8884, 2992, 6996, 555, Slit Town, 545, 404, NMK, 303 e H3ll. Em março, um consórcio de repórteres da Wired, Der Spiegel, Recorder e The Washington Post examinou milhões de mensagens em mais de 50 grupos de chat do Discord e Telegram. "O abuso perpetrado por membros de grupos 'com' é extremo", escreveu Ali Winston, da Wired. "Eles coagiram crianças a abusos sexuais ou automutilação, fazendo com que elas fizessem lacerações profundas em seus corpos para esculpir 'cutsigns' do alias online de um agressor em sua pele." A história continua: "Vítimas jogaram suas cabeças em vasos sanitários, atacaram seus irmãos, mataram seus animais de estimação e, em alguns casos extremos, tentaram ou morreram por suicídio. Registros judiciais de nações dos Estados Unidos e europeias revelam que participantes desta rede também foram acusados de roubos, abuso sexual de menores presencial, sequestro, violações de armas, swatting e assassinato." "Alguns membros da rede extorquem crianças para prazer sexual, alguns para poder e controle. Alguns o fazem meramente pela emoção que vem da manipulação. Outros vendem o conteúdo explícito de CSAM produzido pela extorsão na dark web." KrebsOnSecurity soube que "Holy" é o jovem de 17 anos que foi preso em julho de 2024 pela polícia de West Midlands do Reino Unido como parte de uma investigação conjunta com o FBI sobre o hack da MGM. No início de sua carreira cibercriminosa (aos 15 anos), @Holy usava o nome "Vsphere" e era um membro orgulhoso do grupo cibercriminoso LAPSUS$. Ao longo de 2022, o LAPSUS$ invadiu e usou engenharia social para acessar algumas das maiores empresas de tecnologia do mundo, incluindo EA Games, Microsoft, NVIDIA, Okta, Samsung e T-Mobile.
Outro exemplo oportuno da sobreposição entre comunidades de dano e membros de ponta do The Com pode ser encontrado em um grupo de criminosos que recentemente roubou quantidades obscenas de registros de clientes de usuários do provedor de dados em nuvem Snowflake. No final de 2023, hackers maliciosos descobriram que muitas grandes empresas haviam carregado enormes quantidades de dados valiosos e sensíveis de clientes em servidores Snowflake, ao mesmo tempo protegendo essas contas Snowflake com pouco mais do que um nome de usuário e senha (sem autenticação multifator necessária). O grupo então procurou mercados da darknet por credenciais de contas Snowflake roubadas e começou a invadir os repositórios de armazenamento de dados usados por algumas das maiores corporações do mundo. Entre as que tiveram dados expostos no Snowflake estava a AT&T, que divulgou em julho que cibercriminosos haviam roubado informações pessoais e registros de chamadas telefônicas e mensagens de texto de aproximadamente 110 milhões de pessoas — quase todos os seus clientes. Um relatório sobre o grupo de extorsão do incidente pela empresa de resposta a incidentes Mandiant observa que as empresas vítimas do Snowflake foram abordadas privadamente pelos hackers, que exigiram um resgate em troca de uma promessa de não vender ou vazar os dados roubados. No total, mais de 160 organizações foram extorquidas, incluindo TicketMaster, Lending Tree, Advance Auto Parts e Neiman Marcus. Em 2 de maio de 2024, um usuário com o nome "Judische" alegou no canal do Telegram focado em fraudes, Star Chat, que havia hackeado o Santander Bank, uma das primeiras vítimas conhecidas do Snowflake. Judische repetiria essa alegação no Star Chat em 13 de maio — o dia antes de o Santander divulgar publicamente uma violação de dados — e periodicamente soltaria os nomes de outras vítimas do Snowflake antes mesmo de seus dados serem colocados à venda nos fóruns de cibercrime. Uma análise cuidadosa do histórico de contas e postagens de Judische no Telegram mostra que este usuário é mais amplamente conhecido sob o apelido "Waifu", um apelido inicial que corresponde a um dos SIM-swappers mais realizados no The Com ao longo dos anos. Em um ataque de SIM-swapping, os fraudadores farão phishing ou comprarão credenciais de funcionários de empresas de telefonia móvel e usarão essas credenciais para redirecionar chamadas móveis e mensagens de texto de um alvo para um dispositivo que os atacantes controlam. Vários canais no Telegram mantêm um placar frequentemente atualizado dos 100 SIM-swappers mais ricos, bem como os identificadores de hackers associados a grupos específicos de cibercrime (Waifu está classificado em #24). Esse placar incluiu Waifu por muito tempo em uma lista de hackers de um grupo que se autodenominava "Beige". Membros do Beige foram implicados em duas histórias publicadas aqui em 2020. A primeira foi uma matéria de agosto de 2020 chamada "Voice Phishers Targeting Corporate VPNs", que alertava que a epidemia de COVID-19 trouxe uma onda de ataques de phishing por voz ou "vishing" que visavam funcionários que trabalhavam em casa através de seus dispositivos móveis, e enganaram muitas dessas pessoas a entregar credenciais necessárias para acessar remotamente a rede de seus empregadores. Membros do grupo Beige também reivindicaram a autoria de uma violação no registrador de domínios GoDaddy. Em novembro de 2020, intrusos considerados associados ao Grupo Beige enganaram um funcionário da GoDaddy para instalar software malicioso, e com esse acesso eles conseguiram redirecionar o tráfego da web e de e-mail para várias plataformas de negociação de criptomoedas. Os canais do Telegram que Judische e suas contas relacionadas frequentaram ao longo dos anos mostram que este usuário divide seu tempo entre postar em canais de SIM-swapping e de cashout de cibercrime, e assediar e perseguir outros em comunidades de dano como Leak Society e Court. A Mandiant atribuiu os comprometimentos do Snowflake a um grupo que chama de "UNC5537", com membros baseados na América do Norte e Turquia. KrebsOnSecurity soube que Judische é um engenheiro de software de 26 anos em Ontário, Canadá. Fontes próximas à investigação do incidente do Snowflake dizem a KrebsOnSecurity que o membro do UNC5537 na Turquia é John Erin Binns, um homem americano elusivo indiciado pelo Departamento de Justiça dos EUA (DOJ) por uma violação em 2021 na T-Mobile que expôs as informações pessoais de pelo menos 76,6 milhões de clientes. Binns está atualmente sob custódia em uma prisão turca e lutando contra sua extradição. Enquanto isso, ele tem processado quase todas as agências federais e agentes que contribuíram com recursos de investigação para seu caso. Em junho de 2024, um funcionário da Mandiant disse à Bloomberg que membros do UNC5537 fizeram ameaças de morte contra especialistas em cibersegurança que investigavam os hackers, e que em um caso o grupo usou inteligência artificial para criar fotos nuas falsas de um pesquisador para assediá-lo.
Em junho de 2024, dois homens americanos se declararam culpados de hackear um portal online da U.S. Drug Enforcement Agency (DEA) que acessava 16 bancos de dados diferentes de aplicação da lei federal. Sagar "Weep" Singh, de 20 anos, de Rhode Island, e Nicholas "Convict" Ceraolo, de 25 anos, de Queens, NY, eram ambos ativos em comunidades de SIM-swapping. Singh e Ceraolo invadiram várias contas de e-mail de departamentos de polícia estrangeiros e as usaram para fazer falsos "pedidos de dados de emergência" a plataformas de mídia social buscando informações de contas sobre usuários específicos que eles estavam perseguindo. De acordo com o governo, em cada caso, os homens se passando pelos departamentos de polícia estrangeiros disseram às plataformas que o pedido era urgente porque os titulares das contas estavam negociando pornografia infantil ou se envolvendo em extorsão infantil. Eventualmente, os dois homens formaram parte de um grupo de cibercriminosos conhecido por seus membros como "ViLE", que se especializam em obter informações pessoais sobre vítimas terceirizadas, que eles então usavam para assediar, ameaçar ou extorquir as vítimas, uma prática conhecida como "doxing". O governo dos EUA diz que Singh e Ceraolo trabalharam em estreita colaboração com um terceiro homem — referido na acusação como co-conspirador #1 ou "CC-1" — para administrar um fórum de doxing onde as vítimas podiam pagar para ter suas informações pessoais removidas. O governo não nomeia o CC-1 ou o fórum de doxing, mas o identificador de hacker do CC-1 é "Kayte" (também conhecido como "KT"), que corresponde ao apelido de um homem de 23 anos que mora com os pais em Coffs Harbour, Austrália. Por vários anos (com uma breve interrupção), KT tem sido o administrador de uma comunidade de doxing verdadeiramente vil conhecida como Doxbin. Pessoas cujos nomes e informações pessoais aparecem no Doxbin podem rapidamente se tornar alvos de campanhas de assédio prolongadas, hacking de contas, SIM-swapping e até mesmo swatting — que envolve relatar falsamente um incidente violento no endereço de um alvo para enganar a polícia local a responder com força potencialmente letal. Um punhado de membros do Com visados por autoridades federais foram tão longe a ponto de perpetrar swatting, doxing e outros assédios contra os mesmos agentes federais que estão tentando desvendar seus supostos crimes. Isso levou alguns investigadores que trabalham em casos envolvendo o Com a começar a redigir seus nomes de declarações juramentadas e acusações apresentadas em tribunais federais. Em janeiro de 2024, KrebsOnSecurity noticiou que promotores na Flórida haviam acusado um suposto membro do Scattered Spider de 19 anos, Noah Michael Urban, de fraude eletrônica e roubo de identidade. Essa história relatou como as supostas identidades de hacker de Urban, "King Bob" e "Sosa", habitavam um mundo em que anéis rivais de roubo de criptomoedas frequentemente resolviam disputas através de ofertas de "violência como serviço", contratando estranhos online para perpetrar ataques com coquetel molotov, espancamentos e sequestros contra seus rivais. A acusação de Urban mostra que o nome do agente federal que testemunhou a seu favor foi ocultado: A página final da acusação de Noah Michael Urban mostra que o agente investigador ocultou seu nome dos documentos de acusação.
Em junho de 2022, este blog contou a história de dois homens acusados de invadir as câmeras de segurança doméstica Ring de uma dúzia de pessoas aleatórias e, em seguida, metódicamente fazer swatting em cada uma delas. Para piorar a situação, os homens usaram as câmeras de segurança comprometidas para gravar filmagens ao vivo da polícia local invadindo essas casas. James Thomas Andrew McCarty, de Charlotte, NC, e Kya "Chumlul" Nelson, de Racine, Wisc., conspiraram para invadir contas de e-mail do Yahoo pertencentes a vítimas nos Estados Unidos. Os dois verificavam quantas dessas contas do Yahoo estavam associadas a contas Ring e, em seguida, visavam pessoas que usavam a mesma senha para ambas as contas. Os aliases do Telegram e Discord supostamente usados por McCarty — "Aspertaine" e "Couch", entre outros — correspondem a uma identidade que estava ativa em certos canais dedicados ao SIM-swapping. O que KrebsOnSecurity não relatou na época é que tanto ChumLul quanto Aspertaine eram membros ativos do CVLT, onde essas identidades claramente participaram de assédio e exploração de adolescentes online. Em junho de 2024, McCarty foi condenado a sete anos de prisão após se declarar culpado de fazer trotes que resultaram em respostas da SWAT da polícia. Nelson também se declarou culpado e recebeu uma sentença de sete anos de prisão.
Em março de 2023, agentes federais dos EUA em Nova York anunciaram a prisão de "Pompompurin", o suposto administrador do Breachforums, um fórum de cibercrime em língua inglesa onde bancos de dados corporativos hackeados frequentemente aparecem à venda. Em casos onde a organização vítima não é extorquida antecipadamente por hackers, ser listado no Breachforums tem sido frequentemente a maneira como muitas vítimas souberam de uma intrusão pela primeira vez. Pompompurin tem sido um inimigo do FBI por vários anos. Em novembro de 2021, KrebsOnSecurity noticiou que milhares de e-mails falsos sobre uma investigação de cibercrime foram enviados dos sistemas de e-mail e endereços de Internet do FBI. Pompompurin reivindicou a autoria desse feito e disse que conseguiu enviar o e-mail em massa do FBI explorando uma falha em um portal do FBI projetado para compartilhar informações com autoridades policiais estaduais e locais. O FBI mais tarde reconheceu que uma má configuração de software permitiu que alguém enviasse os e-mails falsos. Em dezembro de 2022, KrebsOnSecurity detalhou como hackers ativos no BreachForums haviam se infiltrado no programa InfraGard do FBI, uma rede verificada projetada para construir parcerias de compartilhamento de informações sobre ameaças cibernéticas e físicas com especialistas do setor privado. Os hackers se passaram pelo CEO de uma grande empresa financeira, solicitaram adesão ao InfraGard em nome do CEO e obtiveram admissão à comunidade. Os federais nomearam Pompompurin como Conor Brian Fitzpatrick, um residente de Peekskill de 21 anos, que foi originalmente acusado de um crime de conspiração para solicitar indivíduos a vender dispositivos de acesso não autorizado (nomes de usuário e senhas roubados). Mas depois que agentes do FBI invadiram e revistaram a casa onde Fitzpatrick morava com os pais, os promotores adicionaram acusações de posse de pornografia infantil.
As ações recentes do DOJ indicam que o governo está bem ciente da sobreposição significativa entre os principais membros do The Com e as comunidades de dano. Mas o governo também está se tornando mais sensível às críticas de que pode levar meses ou anos para coletar evidências suficientes para acusar criminalmente alguns desses suspeitos, período durante o qual os perpetradores podem abusar e recrutar inúmeras novas vítimas. No final do ano passado, no entanto, o DOJ sinalizou uma nova tática na perseguição de líderes de comunidades de dano como o 764: acusá-los de terrorismo doméstico. Em dezembro de 2023, o governo acusou (PDF) um homem do Havaí de posse e compartilhamento de vídeos e imagens sexualmente explícitos de crianças pré-púberes sendo abusadas. Promotores alegam que Kalana Limkin, 18 anos, de Hilo, Havaí, admitiu ser associado ao CVLT e 764, e que ele era o fundador de um grupo de dano dissidente chamado Cultist. O perfil do Telegram de Limkin mostra que ele também era ativo na comunidade de dano Slit Town. A citação relevante da denúncia de Limkin lê: "Membros do grupo '764' conspiraram e continuam a conspirar em locais online e presenciais para se envolver em ações violentas em prol de uma ideologia extremista violenta motivada racialmente, total ou parcialmente através de atividades que violam a lei criminal federal atendendo à definição estatutária de Terrorismo Doméstico, definida em Título 18, Código dos Estados Unidos, § 2331." Especialistas dizem que acusar grupos de dano sob estatutos antiterrorismo potencialmente dá ao governo acesso a poderes investigativos mais expedidos do que normalmente teria em um caso criminal de hacking comum. "O que você obtém, em última análise, são ferramentas adicionais que você pode usar na investigação, possivelmente mandados e coisas assim", disse Mark Rasch, ex-promotor federal de crimes cibernéticos dos EUA e agora conselheiro geral da empresa de cibersegurança Unit 221B, sediada em Nova York. "Também pode lhe render remédios adicionais no final do caso, como sanções maiores, mais tempo de prisão, multas e confisco." Mas Rasch disse que essa tática pode sair pela culatra para os promotores que exageram e perseguem alguém que acaba contestando as acusações no tribunal. "Se você vai acusar um hacker ou pedófilo de um crime como terrorismo, isso tornará mais difícil obter uma condenação", disse Rasch. "Aumenta o ônus probatório e a probabilidade de obter uma absolvição." Rasch disse que não está claro onde é apropriado traçar a linha no uso de estatutos de terrorismo para interromper grupos de dano online, observando que certamente há circunstâncias em que indivíduos podem cometer violações de estatutos domésticos antiterrorismo apenas através de sua atividade na Internet. "A Internet é uma plataforma como qualquer outra, onde virtualmente qualquer tipo de crime que pode ser cometido no mundo real também pode ser cometido online", disse ele. "Isso não significa que todo uso indevido de computadores se enquadra na definição estatutária de terrorismo." O aviso da RCMP sobre extorsão sexual de menores pela Internet lista uma série de sinais de alerta potenciais que os adolescentes podem apresentar se ficarem enredados nesses grupos de dano. O FBI insta qualquer pessoa que acredite que seu filho ou alguém que conhece está sendo explorado a entrar em contato com o escritório local do FBI, ligar para 1-800-CALL-FBI ou denunciar online em tips.fbi.gov.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Um ataque cibernético que paralisou dois dos principais cassinos de Las Vegas no ano passado rapidamente se tornou uma das histórias de segurança mais envolventes de 2023. Foi o primeiro caso conhecido de hackers de língua inglesa nos Estados Unidos e na Grã-Bretanha se unindo a gangues de ransomware baseadas na Rússia. No entanto, essa narrativa digna de Hollywood ofuscou uma tendência muito mais sinistra: muitos desses jovens criminosos cibernéticos ocidentais também são membros de grupos online em rápido crescimento que existem unicamente para intimidar, perseguir, assediar e extorquir adolescentes vulneráveis, levando-os a se machucar fisicamente e a prejudicar outros.
Em setembro de 2023, um grupo russo de ransomware conhecido como ALPHV/Black Cat reivindicou a autoria de uma intrusão na rede hoteleira MGM Resorts, que rapidamente paralisou os cassinos da MGM em Las Vegas. Enquanto a MGM ainda tentava expulsar os intrusos de seus sistemas, um indivíduo que alegou ter conhecimento em primeira mão do hack contatou vários veículos de mídia para oferecer entrevistas sobre como tudo aconteceu. Uma das contas sobre o hack veio de um jovem de 17 anos do Reino Unido, que disse aos repórteres que a intrusão começou quando um dos hackers de língua inglesa ligou para um técnico de suporte da MGM e o enganou para redefinir a senha de uma conta de funcionário. A empresa de segurança CrowdStrike apelidou o grupo de "Scattered Spider", reconhecendo que os hackers da MGM vieram de diferentes grupos espalhados por um oceano de servidores Telegram e Discord dedicados ao cibercrime financeiro. Coletivamente, esse arquipélago de comunidades de chat focadas em crimes é conhecido como "The Com", e funciona como uma espécie de rede social distribuída de cibercriminosos que facilita a colaboração instantânea. Mas, na maioria das vezes, The Com é um lugar onde cibercriminosos vão para se gabar de seus exploits e de sua posição na comunidade, ou para diminuir os outros. Os principais membros do Com estão constantemente discutindo sobre quem realizou os roubos mais impressionantes, ou quem acumulou a maior pilha de moedas virtuais roubadas. E com a mesma frequência com que extorquem empresas vítimas para obter ganhos financeiros, os membros do Com tentam roubar dinheiro de seus rivais cibercriminosos — muitas vezes de maneiras que transbordam para a violência física no mundo real.
A CrowdStrike chegou a produzir e vender bonecos de ação do Scattered Spider, e apresentou uma escultura em tamanho real do Scattered Spider na RSA Security Conference deste ano em São Francisco. No entanto, comercializar produtos e serviços de segurança com base em grupos cibercriminosos específicos pode ser complicado, especialmente se for descoberto que roubar e extorquir vítimas está longe de ser a atividade mais abominável em que esses grupos se envolvem diariamente. KrebsOnSecurity examinou o número de ID de usuário do Telegram da conta que ofereceu entrevistas à mídia sobre o hack da MGM — que corresponde ao nome de tela "@Holy" — e descobriu que a mesma conta foi usada em vários canais de cibercrime totalmente focados em extorquir jovens para que se machuquem ou prejudiquem outros, e em gravar o dano em vídeo. "Holy" era conhecido por possuir vários nomes de usuário valiosos no Telegram, incluindo @bomb, @halo e @cute, bem como um dos nomes de usuário do Telegram mais caros já colocados à venda: @nazi. Em uma postagem em um canal do Telegram dedicado à extorsão de jovens, o mesmo usuário pode ser visto perguntando se alguém conhece os identificadores atuais do Telegram para vários membros centrais do 764, um grupo extremista conhecido por vitimizar crianças através de campanhas coordenadas online de extorsão, doxing, swatting e assédio. Pessoas afiliadas a grupos de dano como o 764 frequentemente recrutam novos membros espreitando em plataformas de jogos, sites de mídia social e aplicativos móveis populares entre os jovens, incluindo Discord, Minecraft, Roblox, Steam, Telegram e Twitch. "Este tipo de ofensa geralmente começa com uma mensagem direta através de plataformas de jogos e pode migrar para salas de chat mais privadas em outras plataformas virtuais, tipicamente uma com recursos de vídeo ativados, onde a conversa rapidamente se torna sexualizada ou violenta", adverte um alerta recente da Royal Canadian Mounted Police (RCMP) sobre o aumento de grupos de sextortion em canais de mídia social. "Uma das táticas usadas por esses atores é a sextortion, no entanto, eles não a usam para extrair dinheiro ou para gratificação sexual", continuou a RCMP. "Em vez disso, eles a usam para manipular e controlar ainda mais as vítimas para produzir conteúdo mais prejudicial e violento como parte de seus objetivos ideológicos e caminho de radicalização." A rede 764 está entre as comunidades de dano mais populosas, mas existem muitas outras. Alguns dos maiores grupos conhecidos incluem CVLT, Court, Kaskar, Leak Society, 7997, 8884, 2992, 6996, 555, Slit Town, 545, 404, NMK, 303 e H3ll. Em março, um consórcio de repórteres da Wired, Der Spiegel, Recorder e The Washington Post examinou milhões de mensagens em mais de 50 grupos de chat do Discord e Telegram. "O abuso perpetrado por membros de grupos 'com' é extremo", escreveu Ali Winston, da Wired. "Eles coagiram crianças a abusos sexuais ou automutilação, fazendo com que elas fizessem lacerações profundas em seus corpos para esculpir 'cutsigns' do alias online de um agressor em sua pele." A história continua: "Vítimas jogaram suas cabeças em vasos sanitários, atacaram seus irmãos, mataram seus animais de estimação e, em alguns casos extremos, tentaram ou morreram por suicídio. Registros judiciais de nações dos Estados Unidos e europeias revelam que participantes desta rede também foram acusados de roubos, abuso sexual de menores presencial, sequestro, violações de armas, swatting e assassinato." "Alguns membros da rede extorquem crianças para prazer sexual, alguns para poder e controle. Alguns o fazem meramente pela emoção que vem da manipulação. Outros vendem o conteúdo explícito de CSAM produzido pela extorsão na dark web." KrebsOnSecurity soube que "Holy" é o jovem de 17 anos que foi preso em julho de 2024 pela polícia de West Midlands do Reino Unido como parte de uma investigação conjunta com o FBI sobre o hack da MGM. No início de sua carreira cibercriminosa (aos 15 anos), @Holy usava o nome "Vsphere" e era um membro orgulhoso do grupo cibercriminoso LAPSUS$. Ao longo de 2022, o LAPSUS$ invadiu e usou engenharia social para acessar algumas das maiores empresas de tecnologia do mundo, incluindo EA Games, Microsoft, NVIDIA, Okta, Samsung e T-Mobile.
Outro exemplo oportuno da sobreposição entre comunidades de dano e membros de ponta do The Com pode ser encontrado em um grupo de criminosos que recentemente roubou quantidades obscenas de registros de clientes de usuários do provedor de dados em nuvem Snowflake. No final de 2023, hackers maliciosos descobriram que muitas grandes empresas haviam carregado enormes quantidades de dados valiosos e sensíveis de clientes em servidores Snowflake, ao mesmo tempo protegendo essas contas Snowflake com pouco mais do que um nome de usuário e senha (sem autenticação multifator necessária). O grupo então procurou mercados da darknet por credenciais de contas Snowflake roubadas e começou a invadir os repositórios de armazenamento de dados usados por algumas das maiores corporações do mundo. Entre as que tiveram dados expostos no Snowflake estava a AT&T, que divulgou em julho que cibercriminosos haviam roubado informações pessoais e registros de chamadas telefônicas e mensagens de texto de aproximadamente 110 milhões de pessoas — quase todos os seus clientes. Um relatório sobre o grupo de extorsão do incidente pela empresa de resposta a incidentes Mandiant observa que as empresas vítimas do Snowflake foram abordadas privadamente pelos hackers, que exigiram um resgate em troca de uma promessa de não vender ou vazar os dados roubados. No total, mais de 160 organizações foram extorquidas, incluindo TicketMaster, Lending Tree, Advance Auto Parts e Neiman Marcus. Em 2 de maio de 2024, um usuário com o nome "Judische" alegou no canal do Telegram focado em fraudes, Star Chat, que havia hackeado o Santander Bank, uma das primeiras vítimas conhecidas do Snowflake. Judische repetiria essa alegação no Star Chat em 13 de maio — o dia antes de o Santander divulgar publicamente uma violação de dados — e periodicamente soltaria os nomes de outras vítimas do Snowflake antes mesmo de seus dados serem colocados à venda nos fóruns de cibercrime. Uma análise cuidadosa do histórico de contas e postagens de Judische no Telegram mostra que este usuário é mais amplamente conhecido sob o apelido "Waifu", um apelido inicial que corresponde a um dos SIM-swappers mais realizados no The Com ao longo dos anos. Em um ataque de SIM-swapping, os fraudadores farão phishing ou comprarão credenciais de funcionários de empresas de telefonia móvel e usarão essas credenciais para redirecionar chamadas móveis e mensagens de texto de um alvo para um dispositivo que os atacantes controlam. Vários canais no Telegram mantêm um placar frequentemente atualizado dos 100 SIM-swappers mais ricos, bem como os identificadores de hackers associados a grupos específicos de cibercrime (Waifu está classificado em #24). Esse placar incluiu Waifu por muito tempo em uma lista de hackers de um grupo que se autodenominava "Beige". Membros do Beige foram implicados em duas histórias publicadas aqui em 2020. A primeira foi uma matéria de agosto de 2020 chamada "Voice Phishers Targeting Corporate VPNs", que alertava que a epidemia de COVID-19 trouxe uma onda de ataques de phishing por voz ou "vishing" que visavam funcionários que trabalhavam em casa através de seus dispositivos móveis, e enganaram muitas dessas pessoas a entregar credenciais necessárias para acessar remotamente a rede de seus empregadores. Membros do grupo Beige também reivindicaram a autoria de uma violação no registrador de domínios GoDaddy. Em novembro de 2020, intrusos considerados associados ao Grupo Beige enganaram um funcionário da GoDaddy para instalar software malicioso, e com esse acesso eles conseguiram redirecionar o tráfego da web e de e-mail para várias plataformas de negociação de criptomoedas. Os canais do Telegram que Judische e suas contas relacionadas frequentaram ao longo dos anos mostram que este usuário divide seu tempo entre postar em canais de SIM-swapping e de cashout de cibercrime, e assediar e perseguir outros em comunidades de dano como Leak Society e Court. A Mandiant atribuiu os comprometimentos do Snowflake a um grupo que chama de "UNC5537", com membros baseados na América do Norte e Turquia. KrebsOnSecurity soube que Judische é um engenheiro de software de 26 anos em Ontário, Canadá. Fontes próximas à investigação do incidente do Snowflake dizem a KrebsOnSecurity que o membro do UNC5537 na Turquia é John Erin Binns, um homem americano elusivo indiciado pelo Departamento de Justiça dos EUA (DOJ) por uma violação em 2021 na T-Mobile que expôs as informações pessoais de pelo menos 76,6 milhões de clientes. Binns está atualmente sob custódia em uma prisão turca e lutando contra sua extradição. Enquanto isso, ele tem processado quase todas as agências federais e agentes que contribuíram com recursos de investigação para seu caso. Em junho de 2024, um funcionário da Mandiant disse à Bloomberg que membros do UNC5537 fizeram ameaças de morte contra especialistas em cibersegurança que investigavam os hackers, e que em um caso o grupo usou inteligência artificial para criar fotos nuas falsas de um pesquisador para assediá-lo.
Em junho de 2024, dois homens americanos se declararam culpados de hackear um portal online da U.S. Drug Enforcement Agency (DEA) que acessava 16 bancos de dados diferentes de aplicação da lei federal. Sagar "Weep" Singh, de 20 anos, de Rhode Island, e Nicholas "Convict" Ceraolo, de 25 anos, de Queens, NY, eram ambos ativos em comunidades de SIM-swapping. Singh e Ceraolo invadiram várias contas de e-mail de departamentos de polícia estrangeiros e as usaram para fazer falsos "pedidos de dados de emergência" a plataformas de mídia social buscando informações de contas sobre usuários específicos que eles estavam perseguindo. De acordo com o governo, em cada caso, os homens se passando pelos departamentos de polícia estrangeiros disseram às plataformas que o pedido era urgente porque os titulares das contas estavam negociando pornografia infantil ou se envolvendo em extorsão infantil. Eventualmente, os dois homens formaram parte de um grupo de cibercriminosos conhecido por seus membros como "ViLE", que se especializam em obter informações pessoais sobre vítimas terceirizadas, que eles então usavam para assediar, ameaçar ou extorquir as vítimas, uma prática conhecida como "doxing". O governo dos EUA diz que Singh e Ceraolo trabalharam em estreita colaboração com um terceiro homem — referido na acusação como co-conspirador #1 ou "CC-1" — para administrar um fórum de doxing onde as vítimas podiam pagar para ter suas informações pessoais removidas. O governo não nomeia o CC-1 ou o fórum de doxing, mas o identificador de hacker do CC-1 é "Kayte" (também conhecido como "KT"), que corresponde ao apelido de um homem de 23 anos que mora com os pais em Coffs Harbour, Austrália. Por vários anos (com uma breve interrupção), KT tem sido o administrador de uma comunidade de doxing verdadeiramente vil conhecida como Doxbin. Pessoas cujos nomes e informações pessoais aparecem no Doxbin podem rapidamente se tornar alvos de campanhas de assédio prolongadas, hacking de contas, SIM-swapping e até mesmo swatting — que envolve relatar falsamente um incidente violento no endereço de um alvo para enganar a polícia local a responder com força potencialmente letal. Um punhado de membros do Com visados por autoridades federais foram tão longe a ponto de perpetrar swatting, doxing e outros assédios contra os mesmos agentes federais que estão tentando desvendar seus supostos crimes. Isso levou alguns investigadores que trabalham em casos envolvendo o Com a começar a redigir seus nomes de declarações juramentadas e acusações apresentadas em tribunais federais. Em janeiro de 2024, KrebsOnSecurity noticiou que promotores na Flórida haviam acusado um suposto membro do Scattered Spider de 19 anos, Noah Michael Urban, de fraude eletrônica e roubo de identidade. Essa história relatou como as supostas identidades de hacker de Urban, "King Bob" e "Sosa", habitavam um mundo em que anéis rivais de roubo de criptomoedas frequentemente resolviam disputas através de ofertas de "violência como serviço", contratando estranhos online para perpetrar ataques com coquetel molotov, espancamentos e sequestros contra seus rivais. A acusação de Urban mostra que o nome do agente federal que testemunhou a seu favor foi ocultado: A página final da acusação de Noah Michael Urban mostra que o agente investigador ocultou seu nome dos documentos de acusação.
Em junho de 2022, este blog contou a história de dois homens acusados de invadir as câmeras de segurança doméstica Ring de uma dúzia de pessoas aleatórias e, em seguida, metódicamente fazer swatting em cada uma delas. Para piorar a situação, os homens usaram as câmeras de segurança comprometidas para gravar filmagens ao vivo da polícia local invadindo essas casas. James Thomas Andrew McCarty, de Charlotte, NC, e Kya "Chumlul" Nelson, de Racine, Wisc., conspiraram para invadir contas de e-mail do Yahoo pertencentes a vítimas nos Estados Unidos. Os dois verificavam quantas dessas contas do Yahoo estavam associadas a contas Ring e, em seguida, visavam pessoas que usavam a mesma senha para ambas as contas. Os aliases do Telegram e Discord supostamente usados por McCarty — "Aspertaine" e "Couch", entre outros — correspondem a uma identidade que estava ativa em certos canais dedicados ao SIM-swapping. O que KrebsOnSecurity não relatou na época é que tanto ChumLul quanto Aspertaine eram membros ativos do CVLT, onde essas identidades claramente participaram de assédio e exploração de adolescentes online. Em junho de 2024, McCarty foi condenado a sete anos de prisão após se declarar culpado de fazer trotes que resultaram em respostas da SWAT da polícia. Nelson também se declarou culpado e recebeu uma sentença de sete anos de prisão.
Em março de 2023, agentes federais dos EUA em Nova York anunciaram a prisão de "Pompompurin", o suposto administrador do Breachforums, um fórum de cibercrime em língua inglesa onde bancos de dados corporativos hackeados frequentemente aparecem à venda. Em casos onde a organização vítima não é extorquida antecipadamente por hackers, ser listado no Breachforums tem sido frequentemente a maneira como muitas vítimas souberam de uma intrusão pela primeira vez. Pompompurin tem sido um inimigo do FBI por vários anos. Em novembro de 2021, KrebsOnSecurity noticiou que milhares de e-mails falsos sobre uma investigação de cibercrime foram enviados dos sistemas de e-mail e endereços de Internet do FBI. Pompompurin reivindicou a autoria desse feito e disse que conseguiu enviar o e-mail em massa do FBI explorando uma falha em um portal do FBI projetado para compartilhar informações com autoridades policiais estaduais e locais. O FBI mais tarde reconheceu que uma má configuração de software permitiu que alguém enviasse os e-mails falsos. Em dezembro de 2022, KrebsOnSecurity detalhou como hackers ativos no BreachForums haviam se infiltrado no programa InfraGard do FBI, uma rede verificada projetada para construir parcerias de compartilhamento de informações sobre ameaças cibernéticas e físicas com especialistas do setor privado. Os hackers se passaram pelo CEO de uma grande empresa financeira, solicitaram adesão ao InfraGard em nome do CEO e obtiveram admissão à comunidade. Os federais nomearam Pompompurin como Conor Brian Fitzpatrick, um residente de Peekskill de 21 anos, que foi originalmente acusado de um crime de conspiração para solicitar indivíduos a vender dispositivos de acesso não autorizado (nomes de usuário e senhas roubados). Mas depois que agentes do FBI invadiram e revistaram a casa onde Fitzpatrick morava com os pais, os promotores adicionaram acusações de posse de pornografia infantil.
As ações recentes do DOJ indicam que o governo está bem ciente da sobreposição significativa entre os principais membros do The Com e as comunidades de dano. Mas o governo também está se tornando mais sensível às críticas de que pode levar meses ou anos para coletar evidências suficientes para acusar criminalmente alguns desses suspeitos, período durante o qual os perpetradores podem abusar e recrutar inúmeras novas vítimas. No final do ano passado, no entanto, o DOJ sinalizou uma nova tática na perseguição de líderes de comunidades de dano como o 764: acusá-los de terrorismo doméstico. Em dezembro de 2023, o governo acusou (PDF) um homem do Havaí de posse e compartilhamento de vídeos e imagens sexualmente explícitos de crianças pré-púberes sendo abusadas. Promotores alegam que Kalana Limkin, 18 anos, de Hilo, Havaí, admitiu ser associado ao CVLT e 764, e que ele era o fundador de um grupo de dano dissidente chamado Cultist. O perfil do Telegram de Limkin mostra que ele também era ativo na comunidade de dano Slit Town. A citação relevante da denúncia de Limkin lê: "Membros do grupo '764' conspiraram e continuam a conspirar em locais online e presenciais para se envolver em ações violentas em prol de uma ideologia extremista violenta motivada racialmente, total ou parcialmente através de atividades que violam a lei criminal federal atendendo à definição estatutária de Terrorismo Doméstico, definida em Título 18, Código dos Estados Unidos, § 2331." Especialistas dizem que acusar grupos de dano sob estatutos antiterrorismo potencialmente dá ao governo acesso a poderes investigativos mais expedidos do que normalmente teria em um caso criminal de hacking comum. "O que você obtém, em última análise, são ferramentas adicionais que você pode usar na investigação, possivelmente mandados e coisas assim", disse Mark Rasch, ex-promotor federal de crimes cibernéticos dos EUA e agora conselheiro geral da empresa de cibersegurança Unit 221B, sediada em Nova York. "Também pode lhe render remédios adicionais no final do caso, como sanções maiores, mais tempo de prisão, multas e confisco." Mas Rasch disse que essa tática pode sair pela culatra para os promotores que exageram e perseguem alguém que acaba contestando as acusações no tribunal. "Se você vai acusar um hacker ou pedófilo de um crime como terrorismo, isso tornará mais difícil obter uma condenação", disse Rasch. "Aumenta o ônus probatório e a probabilidade de obter uma absolvição." Rasch disse que não está claro onde é apropriado traçar a linha no uso de estatutos de terrorismo para interromper grupos de dano online, observando que certamente há circunstâncias em que indivíduos podem cometer violações de estatutos domésticos antiterrorismo apenas através de sua atividade na Internet. "A Internet é uma plataforma como qualquer outra, onde virtualmente qualquer tipo de crime que pode ser cometido no mundo real também pode ser cometido online", disse ele. "Isso não significa que todo uso indevido de computadores se enquadra na definição estatutária de terrorismo." O aviso da RCMP sobre extorsão sexual de menores pela Internet lista uma série de sinais de alerta potenciais que os adolescentes podem apresentar se ficarem enredados nesses grupos de dano. O FBI insta qualquer pessoa que acredite que seu filho ou alguém que conhece está sendo explorado a entrar em contato com o escritório local do FBI, ligar para 1-800-CALL-FBI ou denunciar online em tips.fbi.gov.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
