A indústria do crime informático é um negócio que custou ao mundo cerca de 3 triliões de dólares em 2015, e a previsão é que este montante ascenda ao dobro em 2021, como refere a Cybersecurity Ventures. Por custos referimo-nos a todos os gastos tidos após um incidente, já que num ataque de ransomware, por exemplo, não se contabiliza apenas o pagamento do resgate, mas também os custos relacionados com a perda de produtividade, melhoria de políticas de segurança, investimento em tecnologia, e danos de imagem, entre outros.
Contudo, sabemos que o cibercrime como serviço não é uma novidade. Hackers oferecem os seus produtos ou infraestrutura no mercado negro a troco de um preço a pagar. Em que consiste a oferta e quanto custa? Na ESET, navegámos na Dark Web à procura de respostas.
Ransomware como serviço
Podem encontrar-se diversos pacotes de ransomware na Dark Web, como se se tratasse da venda de software legal. Atualizações, suporte técnico, acesso a servidores de C&C e distintos planos de pagamento são algumas das caraterísticas que possuem.
Um dos ransomware que está disponível é o Ranion, que segue um esquema de pagamento periódico, seja mensal, semestral ou anual. Existem vários planos de subscrição disponíveis a diferentes preços, onde o mais económico tem um custo de 120 dólares por um mês e o mais caro 900 dólares anuais, que pode chegar aos 1900 dólares se forem agregadas outras funcionalidades ao executável do ransomware.
Outro esquema de venda de ransomware utilizado por hackers consiste em entregar de forma gratuita malware e a infraestrutura do C&C, mas ficam com uma parte dos pagamentos das vítimas.
Qualquer que seja a estratégia utilizada, percebemos que quem deseje contratar estes serviços deve encarregar-se da propagação do malware. Por outras palavras, deverá fazer chegar o ransomware às vítimas, seja por campanhas de envio de correio de spam ou acedendo a servidores vulneráveis por RDP.
Venda de acesso a servidores
Existem diversos serviços na Dark Web que oferecem credenciais de acesso por acesso remoto (RDP) a servidores em distintas partes do mundo. Os preços variam entre 8 e 15 dólares por cada um e pode pesquisar-se por país, sistema operativo e até sites de pagamentos, os quais foram acedidos a partir do servidor.
Na imagem anterior podemos ver como é possível filtrara para aver apenas servidores da Colômbia, e que existem 250 servidores disponíveis. Por cada servidor estão disponíveis alguns detalhes, como podemos ver na imagem seguinte.
A compra destes acessos pode associar-se à posterior execução de um ransomware, ou, eventualmente, à instalação de um malware mais sigiloso, como trojans bancários ou software que espia.
Aluguer de infraestrutura
Alguns vilões, que possuem botnets ou redes informáticas infetadas, alugam infraestruturas para o envio de spam ou para gerar ataques de DDoS.
No caso dos ataques de negação de serviço, o preço varia de acordo com o tempo que dura o ataque (pode variar entre 1 hora e 24 horas) e a quantidade de tráfego que a botnet é capaz de gerar no decorrer desse período. Na seguinte imagem pode verificar-se um exemplo em que 3 horas custam 60 dólares.
É curioso o caso de jovens e adolescentes que alugam as sua (pequenas) botnets, geralmente para atacar servidores de jogos online como o Fortnite. Utilizam redes sociais para se promoverem e não se preocupam muito em se manterem anónimos. Também costumam vender contas roubadas.
Venda de contas Paypal e cartões de crédito
Os autores de ataques de pishing decidem não arriscar utilizando diretamente as contas roubadas. Pelo contrário, eles acham lucrativo o suficiente e mais seguro vender as contas roubadas a outros hackers. Como verificamos na imagem seguinte, de um modo geral cobram 10% do valor disponível na conta roubada.
Alguns vendedores não têm mesmo qualquer problema em mostrar as ferramentas e sites falsos que utilizam para o pishing.
Verificamos que os hackers, escondidos por detrás de ferramentas que lhes garantem um certo grau de anonimato, configuram uma indústria criminal frutífera, que inclui desde publicidade e marketing até serviços de atenção ao cliente, atualizações e manuais de utilizador. Vale a pena notar, todavia, que neste ecossistema criminal existem muitos clientes internos e que quem realmente ganha são os peixes graúdos que já conta com infraestrutura ou serviço bem estabelecido.
Tal como referiu Tony Ascombe, Global Security Evangelist da ESET, quando fez uma tour pela Dark Web, “a indústria do malware deixou de ser disruptiva e atualmente apresenta características como as de uma empresa de sotfware”. Isto significa que atualmente existe um processo de comercialização e distribuição do software e dos produtos e serviços que os cibercriminosos oferecem nesta indústria.
[…] de associarem este browser a atividades ilícitas por ser a ferramenta mais conhecida para navegar na dark web (com tudo o que isso implica), o TOR é amplamente utilizado em todo o mundo da investigação […]
[…] de começarmos a estar habituados a casos deste tipo na dark web, onde existe um mercado clandestino do cibercrime, a realidade mostra que, tal como mostrou há um ano atrás o especialista da ESET, Tony Ascombe, […]