A maior treta de cibersegurança nos EUA em agosto foi o vazamento de 2,7 bilhões de números de segurança social (algo parecido com o nosso CPF). Quem assumiu a bronca foi o grupo USDoD, que já invadiu várias empresas pelo mundo. Agora, uma investigação descobriu quem pode ser o cabeça do grupo: um cara chamado Luan, que é brasileiro.
Um relatório da CrowdStrike, recebido pelo TecMundo, revelou que o tal líder do USDoD seria um homem de 33 anos chamado Luan B.G., que mora em Minas Gerais, Brasil.
Todas as informações sobre ele já foram passadas para as autoridades. Conseguiram identificar até registro fiscal, emails, domínios, endereços IP, contas de redes sociais, telefone e cidade. Não revelaram detalhes específicos ao TecMundo para não expor o Luan totalmente.
“Revelar a identidade de alguém num relatório de inteligência tem seus riscos. Apesar do cara estar envolvido em atividades maliciosas na internet, a vida pessoal dele — como família, fotos e outras coisas — precisa ser protegida, a não ser que tenha algo a ver com a investigação”, disse a CrowdStrike.
O grupo USDoD apareceu nos últimos meses, alegando ataques a várias empresas e organizações. Eles participam de um fórum de cibercriminosos chamado Breach Forums e ficaram conhecidos por vazar dados de empresas como Airbus, Agência de Proteção Ambiental dos EUA, e até o FBI.
O ataque mais recente, que deu o que falar, foi contra a Jericho Inc (National Data Public), dos EUA. Eles roubaram 2,9 bilhões de registros, o equivalente a 277 GB de dados, e colocaram à venda por US$ 3,5 milhões (mais ou menos R$ 19,7 milhões). Esses dados incluíam nomes completos, históricos de endereços dos últimos 30 anos e detalhes de parentes das vítimas.
O grupo também sugeriu que teria invadido a CrowdStrike e vazado dados confidenciais, mas a empresa diz que eram informações que já estavam disponíveis para o público e clientes.
RAMSOWARE
Há boatos de que os ataques do USDoD usaram um tipo de vírus chamado ransomware, e que eles teriam pegado emprestado o malware de outro grupo famoso, o RansomMed.
A investigação da CrowdStrike apontou que Luan B.G. tem um passado como hacktivista, começando lá em 2017, e que em 2022 ele teria começado a se envolver com crimes cibernéticos mais pesados.
Hacktivismo não é sempre crime. Às vezes, é só alguém que usa a internet para defender causas políticas. Mas, no caso do Luan, o que ligou ele aos crimes foi o uso das mesmas descrições de perfil em redes sociais.
“A CrowdStrike está de olho no USDoD desde o final de 2022, quando o grupo afirmou pela primeira vez que acessou dados de uma parceria público-privada dos EUA. Desde então, já relatamos a atividade do USDoD mais de 12 vezes”, disse a empresa.
O HACKER DEIXOU RASTROS
A identificação de Luan foi possível por causa do email que ele usava desde 2017 (“luanbgs22@”), que estava associado a várias contas pessoais e atividades online dele. Ele usava esse email para criar contas em fóruns, editar páginas no GitHub com ferramentas de ataque cibernético, e até para registrar domínios de projetos de hacking.
Um dos detalhes que chamou a atenção foi uma frase que ele usava no Instagram: “I Protect the hive. When the system is out of balance, I Correct” (algo como “Eu protejo a colmeia. Quando o sistema está desequilibrado, eu corrijo”). Essa mesma frase e o email estavam ligados à conta @equationcorp no Twitter.
O cara ainda usava vários apelidos nas redes, como NatSec, NetSec, LLTV, LBG91 e Labs22. A CrowdStrike diz que ele não tinha muito conhecimento técnico no começo, o que facilitou a identificação, principalmente por causa de fotos de perfil e emails.
A VAIDADE DO CRIMINOSO
A vaidade é comum entre cibercriminosos que atacam grandes empresas. Entre 2021 e 2022, outro grupo chamado Lapsus fez o mesmo, atacando empresas como Samsung, Claro, Ministério da Saúde, Rockstar, NVIDIA, JBS e outras.
O USDoD seguiu um caminho parecido. O líder do grupo deu uma entrevista ao site DataBreaches.net em 2023, o que ajudou ainda mais na sua identificação. Na entrevista, ele disse que tinha cerca de 30 anos, dupla cidadania (Brasil e Portugal) e que atualmente morava na Espanha.
Ele contou que começou em 1999, quando tinha 11 anos e entrou numa comunidade brasileira de jogos. Lá, usou suas habilidades para derrubar um pedófilo e foi incentivado por um desenvolvedor do software r3x a aprimorar suas habilidades.
Mas em 2023, ele percebeu que estava se entregando demais e disse no X (antigo Twitter) que todas as informações públicas sobre ele eram desinformações, e até afirmou que tinha cidadania norte-americana.
Não foram só emails e contas de fóruns que entregaram Luan. Em julho de 2024, o fórum cibercriminoso BreachForums sofreu um vazamento que expôs até o IP de seus usuários. Com esses dados, a CrowdStrike descobriu que Luan enviava mensagens de um ISP brasileiro com GeoIP em Minas Gerais.
Em resumo, a CrowdStrike já entregou todas as informações para as autoridades e acredita que o USDoD vai continuar com suas atividades, mas que Luan deve negar as informações ou tentar convencer a galera de que eles erraram ao vinculá-lo ao grupo.
A CrowdStrike afirma que Luan B.G. ainda quer ser reconhecido nas comunidades hacktivistas e cibercriminosas, então provavelmente não vai parar tão cedo.
