Resumo
Autoridades dos EUA e pesquisadores detalharam a operação do broker conhecido como “r1z”, que comercializava acessos a redes corporativas — incluindo credenciais VPN e backdoors — e contribuiu para a cadeia de ataques por ransomware. Erros de OPSEC e infiltração de agentes permitiram mapear a operação e ligar o apelido a um indivíduo.
Como operava o r1z
Relatos publicados pelo Cyber Security News, com base em investigação da Kela e colaboração com autoridades, descrevem que o operador anunciava em fóruns do crime (XSS, Nulled, Altenen, RaidForums, BlackHatWorld) vendas de acesso a redes empresariais, credenciais VPN roubadas, ferramentas para contornar controles e versões crackeadas do Cobalt Strike. Algumas ofertas incluíam níveis de acesso que permitiam execução remota de código, tornando‑as valiosas para grupos de ransomware.
Escopo e impacto
Pesquisadores associaram cerca de 1.600 publicações ao handle “r1z”. As postagens abrangiam ofertas direcionadas a empresas nos EUA, Europa, México e outras regiões, provendo entradas que compradores podiam usar para movimentação lateral e implantação de cargas maliciosas.
Infiltração e erros de OPSEC que levaram à identificação
A investigação mostrou que a queda do ocultamento não foi causada por um único deslize técnico, mas por repetidas reutilizações de identidade digital. O operador usou nomes de usuário, endereços de e‑mail, TOX ID e imagens de perfil repetidas entre fóruns, Telegram, sites pessoais e até perfis profissionais. Um endereço de Gmail — citado como gits.systems@gmail[.]com nas fontes — apareceu em bases vazadas, registros de domínios e perfis, criando uma trilha de OSINT que facilitou correlações.
Autoridades também informaram que um agente do FBI atuou como cliente, adquirindo acesso e malware avançado que poderia desativar múltiplas soluções EDR. Essa cooperação operacional permitiu monitorar em tempo real a oferta de serviços, mapear infraestrutura e vincular vendas a ao menos um ataque de grande impacto.
Atribuição
Com base nas evidências de correlação de contas, domínios (incluindo sec-r1z.com), registros WHOIS históricos e elementos de marca como “OrientalSecurity”, a investigação vinculou o handle ao jordaniano Feras Albashiti, que posteriormente se declarou culpado por vender acessos a dezenas de empresas.
Lições para defensores
- Monitoramento contínuo do crime organizado em fóruns e canais underground gera sinais precoces de oferta de acesso;
- correlação prolongada de identidades digitais (e‑mails, handles, domínios) pode desmantelar cadeias de venda de acesso mesmo sem um “erro único”;
- compras controladas por autoridades (operacionais) oferecem inteligência acionável sobre tradecraft e cadeias de distribuição de acesso;
- proteções preventivas em VPNs, autenticação multifator e monitoramento de credenciais devem ser prioridade, pois são o produto comercializado por brokers.
O que não foi informado
As publicações citadas descrevem ligações entre as ofertas de r1z e pelo menos um ataque de grande impacto, mas não detalham publicamente todas as vítimas identificadas nem o número total de organizações comprometidas. Também faltam métricas sobre como os acessos vendidos se traduziram em incidentes específicos em diferentes setores.
Repercussão
O caso r1z reforça o papel crítico dos initial access brokers na cadeia de ransomware e demonstra que falhas de OPSEC persistentes facilitam a atribuição. Para equipes de resposta e inteligência, o exemplo sublinha o valor de vigilância contínua em fontes abertas e da cooperação com autoridades para interromper mercados que alimentam ataques em escala.
Fonte: Cyber Security News (com análise da Kela e colaboração de autoridades dos EUA)