O governo russo mudou sua postura em relação aos grupos cibercriminosos, evoluindo da tolerância passiva para a gestão ativa, de acordo com um report relatório da empresa de segurança cibernética Recorded Future. Anteriormente conhecidas por permitir que os cibercriminosos operassem sem controle, desde que não visassem os interesses russos, as autoridades agora estão exercendo um controle crescente sobre essas redes.
De acordo com o relatório, a mudança começou por volta de 2023, à medida que a pressão das ações internacionais de aplicação da lei aumentou. Os serviços russos de inteligência e aplicação da lei agora recrutam ou cooptam talentos cibercriminosos quando se alinham com os interesses do Estado, toleram atividades que servem a objetivos geopolíticos e intervêm para interromper ou suprimir grupos que se tornam embaraçosos ou politicamente inconvenientes.
Um dos marcadores dessa mudança foram as prisões e apreensões de alto perfil que parecem coreografadas para reforçar o controle estatal. Por exemplo, após a derrubada internacional de serviços como Cryptex e UAPS sob a Operação Endgame, o governo russo anunciou investigações sobre essas plataformas, prendeu quase 100 indivíduos e apreendeu cerca de US$ 16 milhões em ativos.
Analistas dizem que essas ações são menos sobre o desmantelamento de grupos prejudiciais e mais sobre o gerenciamento do ecossistema, visando o saque e a habilitação da infraestrutura, preservando os agentes de ameaças que fornecem inteligência ou recursos de interrupção.
O relatório enfatiza que o modelo é seletivo e não abrangente. Grupos cibercriminosos cujas operações se alinham com os objetivos do Estado russo continuam a operar com relativa impunidade, enquanto aqueles considerados passivos são visados. Bate-papos vazados de grupos como Conti e TrickBot confirmam ligações entre operadores seniores e serviços de inteligência russos.
Enquanto isso, o próprio submundo do cibercrime está se adaptando, favorecendo cada vez mais operações descentralizadas e recrutamento fechado para evitar interrupções.
Para organizações e governos fora da Rússia, a mudança traz implicações importantes. A indefinição da linha entre a atividade patrocinada pelo Estado e a empresa criminosa significa que os ataques podem se tornar mais persistentes, com melhores recursos e mais difíceis de atribuir. O relatório sugere que muitas organizações, especialmente na Europa, devem se preparar para um cenário de ameaças em que grupos criminosos são indiretamente apoiados ou tolerados por atores estatais.
Ao mesmo tempo, especialistas alertam que o novo modelo não equivale à Rússia reprimindo o crime cibernético em geral. Em vez disso, representa um modelo de governança, em que certos elementos do ecossistema cibercriminoso são regulamentados ou tolerados dependendo do interesse do Estado.
À medida que a relação entre criminosos e atores estatais continua a evoluir, os defensores cibernéticos podem precisar revisitar as suposições sobre a atribuição de ameaças e os modelos de risco. Entender se um agente de ameaça está operando puramente com fins lucrativos ou está sendo gerenciado como uma ferramenta de política estatal é cada vez mais relevante para estratégias de defesa e inteligência.