A Hyundai moderna foi alvo de ameaças de bomba! Os criminosos exigem 13 moedas Bitcoin, caso contrário, irão detonar a sede em Seul.

O Grupo Hyundai Motor da Coreia do Sul recebeu na sexta-feira passada (19 de dezembro) uma carta de ameaça de extorsão em Bitcoin, ameaçando, caso não pagasse 13 Bitcoins (cerca de 16,4 bilhões de won coreanos), detonar bombas em dois edifícios de escritório principais em Seul. Após receber o aviso, a Hyundai Motor evacuou urgentemente os funcionários dos edifícios de escritório localizados em Yeonhui-dong, no distrito de Jongno, e em Yangjae-dong, no distrito de Seocho. A polícia, a equipe de desativação de explosivos e cães de resgate rapidamente entraram e realizaram buscas andar por andar. Após várias horas de busca, foi confirmado que era um falso alarme.

164 bilhões de won sul-coreanos por trás do cálculo preciso

Um e-mail de ameaças afirma que um ataque terrorista será detonando no edifício de Yeonhui-dong às 11h30, seguido pela colocação de uma segunda bomba em Yangjae-dong, ao mesmo tempo em que exige que a Hyundai pague 13 moedas Bitcoin. Com base no preço do Bitcoin na época, 13 BTC equivale a cerca de 16,4 bilhões de won sul-coreanos (cerca de 1,2 milhão de dólares). Esse número não foi definido aleatoriamente, mas é um valor de resgate calculado com precisão.

Para uma empresa global como a Hyundai, 16,4 bilhões de won não são um número astronômico, teoricamente a capacidade de pagamento é suficiente, mas o valor é grande o suficiente para que os criminosos obtenham lucros enormes. Mais astuto é que o anonimato do Bitcoin torna extremamente difícil rastrear o fluxo de fundos. Mesmo que a empresa pague o resgate, a polícia tem dificuldade em rastrear o beneficiário final, que é exatamente a razão central pela qual as criptomoedas são favorecidas pelos criminosos.

A polícia recebeu a denúncia às 11:42, a apenas 12 minutos do horário indicado na carta de ameaça para a detonação. Este tipo de configuração de tempo é intencionalmente projetado para criar pânico, forçando as empresas a tomar decisões em um curto espaço de tempo. A Hyundai optou por evacuar imediatamente os funcionários e chamar a polícia, em vez de pagar o resgate, mostrando que grandes empresas já têm procedimentos estabelecidos para lidar com esse tipo de ameaça. A polícia bloqueou as estradas circundantes e, após várias horas de buscas, não encontrou nenhum explosivo, confirmando que se tratava de um falso alarme.

Embora não tenha causado vítimas físicas, o próprio processo de evacuação representa um grande custo. Milhares de funcionários de dois edifícios de escritórios foram forçados a interromper o trabalho, e a mobilização de forças especiais e da equipe de desativação de explosivos consome muitos recursos públicos, enquanto o bloqueio de estradas circundantes afeta o tráfego. Essa técnica criminosa de “sem custos e com lucros” é a razão fundamental para a proliferação de ameaças de falsas bombas.

As empresas sul-coreanas enfrentaram uma tempestade de extorsão em cadeia esta semana

A Hyundai não é um caso isolado de extorsão, mas sim um dos vários ataques de intimidação enfrentados por grandes empresas sul-coreanas esta semana. No dia anterior à ameaça recebida pela Hyundai, um post apareceu no fórum de atendimento ao cliente da Kakao, alegando que explosivos foram enterrados na sede da Samsung Electronics em Suwon, no parque de Banguecoque da Kakao e na área de escritórios da Naver, também acompanhados de um conteúdo de extorsão em Bitcoin.

No dia 17 de dezembro, a KT também recebeu informações de ameaças através do sistema de assinaturas, levando a polícia a evacuar o edifício de escritórios em Banqiao e realizar uma busca completa, mas no final não foram encontrados explosivos. Em apenas uma semana, todos os cinco grandes conglomerados da Coreia do Sul foram alvo, e essa intensidade já ultrapassou o âmbito da casualidade. A polícia acredita que há um mesmo grupo por trás das operações, com o objetivo de utilizar o pânico para forçar as empresas a pagar resgates.

Três principais características da onda de ransomware de criptomoeda na Coreia do Sul

Método de Crime Uniforme: Uso anônimo de servidores de e-mail no exterior para enviar cartas ameaçadoras, exigindo pagamento em Bitcoin, afirmando que uma bomba será detonada a qualquer momento; vários casos mostram um alto grau de consistência, indicando que se trata de crime organizado.

Seleção de Alvos Precisa: Focar nas empresas mais representativas da Coreia do Sul, como Hyundai, Samsung Electronics, Kakao, Naver e KT, que podem gerar o maior pânico e, ao mesmo tempo, têm mais chances de receber pagamentos, tornando a seleção de alvos altamente estratégica.

Explosão de tempo concentrado: Em uma semana, cinco grandes empresas foram atingidas em sequência, com uma intensidade anormal, o que pode ser uma ação estratégica de organizações criminosas para testar a capacidade de resposta das empresas sul-coreanas, ou uma forma de aumentar a taxa de sucesso aproveitando o clima de pânico.

Este tipo de ataque em cadeia não é incomum no crime de ransomware criptográfico global. Os criminosos atacam múltiplos alvos em um curto espaço de tempo, apostando que pelo menos uma empresa pagará devido ao pânico. Mesmo que a taxa de sucesso seja apenas 10%, isso representa um grande lucro para os criminosos. O que é ainda mais maligno é que, uma vez que uma empresa paga, a divulgação da notícia provoca um efeito de imitação, atraindo mais criminosos.

A relação entre a subida do preço do Bitcoin e o aumento do crime criptográfico

Com o preço do Bitcoin subindo de 40 mil dólares para um pico de 100 mil dólares este ano, muitos países ao redor do mundo relataram um aumento em casos de ransomware e violência. Este ano, um homem na Rússia invadiu uma exchange e detonou uma bomba de fumaça, enquanto uma casa em São Francisco, EUA, foi sequestrada por um falso entregador em troca de ativos criptográficos. Na Coreia do Sul, os relatórios de transações criptográficas suspeitas já ultrapassaram 36 mil este ano.

Essa correlação não é acidental. A valorização do preço do Bitcoin resultou em um aumento significativo nos lucros criminais, 13 BTC no início do ano valiam cerca de 520 mil dólares, enquanto o valor atual já ultrapassa 1,2 milhão de dólares. O custo do crime permanece o mesmo, mas os lucros potenciais dobraram, atraindo naturalmente mais criminosos. Além disso, a alta do preço do Bitcoin também aumentou a exposição na mídia, muitos criminosos que originalmente não conheciam as criptomoedas, souberam através de reportagens que essa ferramenta de pagamento anônima existe, aplicando-a em atividades criminosas.

Recentemente, a Coreia do Sul desmantelou várias operações de lavagem de dinheiro do chamado “partido de troca de moeda”, mostrando que os criminosos continuam a usar a anonimidade das criptomoedas para realizar extorsões ou encobrir fluxos financeiros. O chamado “partido de troca de moeda” refere-se a organizações clandestinas que oferecem serviços de troca de criptomoedas por moeda fiduciária para criminosos, utilizando técnicas complexas de mistura de moedas e transferências em múltiplas camadas, tornando quase impossível rastrear o fluxo de fundos. A maturidade dessa cadeia de produção negra reduziu ainda mais a barreira técnica para crimes relacionados a criptomoedas.

A espada de dois gumes da intensificação da regulamentação pelo governo sul-coreano

Após um grave incidente de segurança com uma CEX, o governo sul-coreano incluiu as exchanges de criptomoedas nas mesmas normas de segurança que os bancos, implementando um sistema de compensação sem culpa. Se ocorrer um ataque ou falha do sistema, as exchanges podem enfrentar multas de até 3% da receita. Embora essa regulamentação rigorosa tenha aumentado a proteção dos usuários, também gerou consequências inesperadas.

Quando as exchanges de criptomoedas são forçadas a implementar medidas rigorosas de KYC (Conheça o Seu Cliente) e AML (Anti-Lavagem de Dinheiro), alguns usuários recorrem a exchanges descentralizadas ou a transações P2P, que são mais difíceis de regular. Os criminosos aproveitam essa lacuna regulatória para receber resgates através de plataformas descentralizadas, aumentando ainda mais a dificuldade de rastreamento.

A polícia está atualmente investigando a origem dos e-mails de ameaça e comparando se estão relacionados com os atacantes que recentemente ameaçaram a Samsung, KT, Kakao e Naver, sendo da mesma organização. As autoridades reafirmam que, embora esta ameaça tenha sido um falso alarme, esse tipo de “terrorismo cibernético” já trouxe pressão substancial para empresas privadas e segurança nacional, e no futuro, irão reforçar a cooperação internacional para investigar os responsáveis.

No entanto, a dificuldade de cooperação internacional na investigação não deve ser subestimada. Os e-mails de intimidação utilizam servidores no exterior, o endereço de pagamento em Bitcoin pode estar registado em qualquer país, e o próprio criminoso pode estar em um terceiro país. Este tipo de crime que transgride jurisdições exige a coordenação de várias agências de aplicação da lei, e o processo muitas vezes leva meses ou mesmo anos.