Mercado negro do crime informático: Preços e serviços disponíveis na Dark Web

A indústria do crime informático é um negócio que custou ao mundo cerca de 3 triliões de dólares em 2015, e a previsão é que este montante ascenda ao dobro em 2021, como refere a Cybersecurity Ventures. Por custos referimo-nos a todos os gastos tidos após um incidente, já que num ataque de ransomware, por exemplo, não se contabiliza apenas o pagamento do resgate, mas também os custos relacionados com a perda de produtividade, melhoria de políticas de segurança, investimento em tecnologia, e danos de imagem, entre outros.

Contudo, sabemos que o cibercrime como serviço não é uma novidade. Hackers oferecem os seus produtos ou infraestrutura no mercado negro a troco de um preço a pagar. Em que consiste a oferta e quanto custa? Na ESET, navegámos na Dark Web à procura de respostas.

Ransomware como serviço

Podem encontrar-se diversos pacotes de ransomware na Dark Web, como se se tratasse da venda de software legal. Atualizações, suporte técnico, acesso a servidores de C&C e distintos planos de pagamento são algumas das caraterísticas que possuem.

Imagem 1 – Ransomware Ranion à venda na Dark Web

Um dos ransomware que está disponível é o Ranion, que segue um esquema de pagamento periódico, seja mensal, semestral ou anual. Existem vários planos de subscrição disponíveis a diferentes preços, onde o mais económico tem um custo de 120 dólares por um mês e o mais caro 900 dólares anuais, que pode chegar aos 1900 dólares se forem agregadas outras funcionalidades ao executável do ransomware.

Imagem 2 – Planos de subscrição para o ransomware Ranion disponibilizados por hackers

Outro esquema de venda de ransomware utilizado por hackers consiste em entregar de forma gratuita malware e a infraestrutura do C&C, mas ficam com uma parte dos pagamentos das vítimas.

Qualquer que seja a estratégia utilizada, percebemos que quem deseje contratar estes serviços deve encarregar-se da propagação do malware. Por outras palavras, deverá fazer chegar o ransomware às vítimas, seja por campanhas de envio de correio de spam ou acedendo a servidores vulneráveis por RDP.

Venda de acesso a servidores

Existem diversos serviços na Dark Web que oferecem credenciais de acesso por acesso remoto (RDP) a servidores em distintas partes do mundo. Os preços variam entre 8 e 15 dólares por cada um e pode pesquisar-se por país, sistema operativo e até sites de pagamentos, os quais foram acedidos a partir do servidor.

Imagem 3 – Venda de acessos por RDP a servidores de Colômbia

Na imagem anterior podemos ver como é possível filtrara para aver apenas servidores da Colômbia, e que existem 250 servidores disponíveis. Por cada servidor estão disponíveis alguns detalhes, como podemos ver na imagem seguinte.

Imagem 4 – Informação detalhada de acesso ao servidor disponível na Dark Web

A compra destes acessos pode associar-se à posterior execução de um ransomware, ou, eventualmente, à instalação de um malware mais sigiloso, como trojans bancários ou software que espia. 

Aluguer de infraestrutura

Alguns vilões, que possuem botnets ou redes informáticas infetadas, alugam infraestruturas para o envio de spam ou para gerar ataques de DDoS.

No caso dos ataques de negação de serviço, o preço varia de acordo com o tempo que dura o ataque (pode variar entre 1 hora e 24 horas) e a quantidade de tráfego que a botnet é capaz de gerar no decorrer desse período. Na seguinte imagem pode verificar-se um exemplo em que 3 horas custam 60 dólares.

Imagem 5 – Exemplo de um utilizador que aluga a sua infraestrutura para a geração de ataques DDoS

É curioso o caso de jovens e adolescentes que alugam as sua (pequenas) botnets, geralmente para atacar servidores de jogos online como o Fortnite. Utilizam redes sociais para se promoverem e não se preocupam muito em se manterem anónimos. Também costumam vender contas roubadas.

Imagem 6 – O Instagram como plataforma para o aluguer de botnets
Imagem 7 – Utilizadores do YouTube mostram ataques DDoS a servidores de Fortnite

Venda de contas Paypal e cartões de crédito

Os autores de ataques de pishing decidem não arriscar utilizando diretamente as contas roubadas. Pelo contrário, eles acham lucrativo o suficiente e mais seguro vender as contas roubadas a outros hackers. Como verificamos na imagem seguinte, de um modo geral cobram 10% do valor disponível na conta roubada.

Imagem 8 – Venda de contas de PayPal e cartões de crédito

Alguns vendedores não têm mesmo qualquer problema em mostrar as ferramentas e sites falsos que utilizam para o pishing.

Imagem 9 – Hackers que explicam o processo passo-a-passo 

Verificamos que os hackers, escondidos por detrás de ferramentas que lhes garantem um certo grau de anonimato, configuram uma indústria criminal frutífera, que inclui desde publicidade e marketing até serviços de atenção ao cliente, atualizações e manuais de utilizador. Vale a pena notar, todavia, que neste ecossistema criminal existem muitos clientes internos e que quem realmente ganha são os peixes graúdos que já conta com infraestrutura ou serviço bem estabelecido.

Tal como referiu Tony Ascombe, Global Security Evangelist da ESET, quando fez uma tour pela Dark Web, “a indústria do malware deixou de ser disruptiva e atualmente apresenta características como as de uma empresa de sotfware”. Isto significa que atualmente existe um processo de comercialização e distribuição do software e dos produtos e serviços que os cibercriminosos oferecem nesta indústria.

2 COMENTÁRIOS

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

5 × 2 =