1. Home >
  2. Notícias >
  3. Notícias >
  4. Como o ransomware comanda a... >

Como o ransomware comanda a economia nos porões do cibercrime

Gangues de ransomware estão adotando elementos essenciais dos negócios legítimos e características de empresas criminosas mais tradicionais

Author Photo
9:59 am - 03 de setembro de 2021

A atenção indesejada atraída por ataques de ransomware recentemente fez com que vários dos principais fóruns de crimes cibernéticos proibissem discussões e transações de ransomware em suas plataformas no início deste ano. Embora alguns esperassem que isso pudesse ter um impacto significativo na capacidade dos grupos de ransomware de se organizarem, as proibições apenas empurraram suas atividades para um nível mais baixo, tornando mais difícil para os pesquisadores e empresas de segurança monitorá-las.

Na verdade, os ataques nos meses que se seguiram às proibições do fórum foram mais potentes e audaciosos do que nunca. A verdade é que o ransomware é o sangue vital da economia do cibercrime e serão necessárias medidas extraordinárias para acabar com isso. Os grupos que coordenam os ataques são altamente profissionalizados e em muitos aspectos se assemelham a estruturas corporativas modernas, com equipes de desenvolvimento, departamentos de vendas e relações públicas, contratados externos e prestadores de serviços que recebem uma parte dos rendimentos ilegais. Eles até usam linguagem comercial em suas comunicações com as vítimas, referindo-se a elas como clientes que compram seus serviços de descriptografia de dados.

“A maneira como eu descrevo é: você tem o mundo dos negócios que todos nós conhecemos. Os criminosos têm um paralelo que é como o Upside Down de Stranger Things. É exatamente o mesmo mundo, só que mais sombrio e distorcido”, Steve Ragan, Pesquisador de Segurança na Akamai, diz CSO.

Uma economia subterrânea que depende de ransomware

Observando o que está envolvido nas operações de ransomware e como os grupos são organizados, é fácil ver que o ransomware está no centro da economia do cibercrime. Os grupos de ransomware empregam pessoas que:

  • Escrevem programas de criptografia de arquivos (a equipe de desenvolvimento)
  • Configuram e mantêm os sites de pagamento e vazamento, e os canais de comunicação (equipe de infraestrutura de TI)
  • Anunciam o serviço de ransomware em fóruns (a equipe de vendas)
  • Comunicam-se com jornalistas e postem mensagens no Twitter e anúncios em seus blogs (a equipe de RP e mídia social)
  • Negociam os pagamentos do resgate (a equipe de suporte ao cliente)
  • Executam o hacking manual e o movimento lateral nas redes das vítimas para implantar o programa de ransomware para uma parte do lucro (contratantes externos conhecidos como afiliados ou testadores de penetração)

As afiliadas geralmente compram acesso às redes de outros cibercriminosos que já comprometeram sistemas com programas de Trojan ou botnets ou por meio de credenciais roubadas. Esses terceiros são conhecidos como corretores de acesso à rede. Os afiliados também podem comprar pacotes de dados que contêm informações de contas roubadas ou informações internas que podem ajudar no reconhecimento de alvos. Serviços de e-mail spam e hospedagem à prova de balas também são frequentemente usados por gangues de ransomware.

Em outras palavras, muitas partes estão no ecossistema do crime cibernético que direta ou indiretamente ganham dinheiro graças ao ransomware. Portanto, a estruturação corporativa, inclusive com hierarquia determinada, é uma tendência que vem crescendo lentamente ao longo dos anos.

“O submundo do crime cibernético se tornou essencialmente uma economia em si mesmo, onde você tem provedores de serviços, criadores de produtos, financiadores, provedores de infraestrutura”, disse Brandon Hoffman, CISO da empresa de segurança Intel 471. “É uma economia como a nossa, onde você tem todos esses fornecedores e compradores de coisas diferentes. Assim como em nossa economia de mercado livre, como você tem todos esses tipos diferentes de provedores de serviços e produtos disponíveis, é natural que eles comecem a se unir e construir um negócio juntos para oferecer um pacote de serviços e bens, assim como fazemos aqui na economia padrão. Portanto, concordo 100% que é assim. É muito difícil para nós provar isso”.

Grupos de ransomware se adaptam às pressões do mercado

Ataques de ransomware paralisaram muitos hospitais, escolas, serviços públicos, instituições governamentais locais e estaduais e até departamentos de polícia ao longo dos anos, mas o ataque no início de maio à Colonial Pipeline, o maior sistema de oleoduto para produtos petrolíferos refinados dos EUA, foi um marco.

A violação, atribuída a um grupo de ransomware baseado na Rússia chamado DarkSide, forçou a empresa a fechar todo o seu sistema de gasoduto, pela primeira vez em seus 57 anos de história, para evitar que o ransomware se espalhasse para sistemas de controle críticos. Isso resultou em escassez de combustível em toda a Costa Leste dos Estados Unidos e recebeu ampla atenção na mídia e em Washington devido ao risco crescente de ataques de infraestrutura crítica.

Até mesmo os operadores do DarkSide entenderam a seriedade da situação e anunciaram a introdução de “moderação” para seus afiliados – os contratados terceirizados que realmente fazem o hacking e implantação do ransomware – alegando que desejam “evitar consequências sociais no futuro”. Mas o calor já era demais para os prestadores de serviço do grupo.

Poucos dias após o ataque, o administrador do XSS, um dos maiores fóruns de crimes cibernéticos em língua russa, anunciou o banimento de todas as atividades relacionadas a ransomware na plataforma, citando “muito RP” e o aumento dos riscos de aplicação da lei para “nível perigoso”, de acordo com uma tradução da empresa de inteligência de crimes cibernéticos Flashpoint.

Outros grupos de ransomware de alto perfil, incluindo REvil, anunciaram imediatamente políticas de moderação semelhantes para suas afiliadas, proibindo ataques a instituições de saúde, educacionais e governamentais, em uma tentativa de controlar os danos de relações públicas. Isso também não foi suficiente. Dois outros grandes fóruns de cibercrime, Exploit e Raid, logo seguiram com a proibição de atividades de ransomware.

Em consequência, o DarkSide anunciou que encerraria suas operações depois de perder também o acesso ao seu blog, servidor de pagamento, carteira Bitcoin e outras infraestruturas públicas que possuía, alegando que seu provedor de hospedagem respondeu apenas com “a pedido de agências de aplicação da lei”. Um mês depois, o FBI anunciou que conseguiu recuperar os US$ 4,4 milhões em criptomoedas que a Colonial Pipeline foi forçada a pagar aos hackers para descriptografar seus sistemas e retomar as operações normais.

A proibição de atividades de ransomware nos fóruns de crimes cibernéticos mais populares foi um desenvolvimento significativo, porque por muitos anos esses fóruns serviram como o principal local onde os grupos de ransomware recrutavam afiliados. Esses fóruns oferecem um meio fácil de comunicação pública e privada entre cibercriminosos e até fornecem serviços de custódia de dinheiro para transações em que as partes não se conhecem e não confiam umas nas outras.

As proibições também afetaram, até certo ponto, as empresas de segurança cibernética que monitoram esses fóruns para coletar informações sobre os atores de ameaça e novas ameaças. Embora a maioria dos pesquisadores do crime cibernético soubesse que as proibições do fórum não interromperiam as operações de ransomware em geral, alguns se perguntavam qual seria o próximo passo.

“O que isso fez foi mover essas discussões para outros grupos privados”, diz Ragan. “Eles não estão indo embora. O que eles fizeram foi sair dos holofotes públicos. Por muito tempo, você podia ver o recrutamento, o desenvolvimento, as discussões, os tipos de recursos em que estavam trabalhando. Agora acabou… Você não será capaz de prever muitas mudanças. Infelizmente, isso significa que você não saberá sobre novas variantes ou uma nova função que foi adicionada até que a primeira vítima seja atingida”.

De acordo com Ondrej Krehel, fundador e CEO da empresa de resposta a incidentes e forense digital LIFARS, as operações de ransomware não foram afetadas pelas proibições do fórum porque a maioria dos atores envolvidos em tais atividades já estavam se comunicando através de grupos privados no Telegram e Threema que existem há pelo menos dois ou três anos.

Ainda havia alguma tração nos fóruns, como parte dos esforços de marketing, mas se você realmente quisesse algo mais concreto, já teria que fazer parte desses grupos e alguns requerem o pagamento de uma fração de Bitcoin com uma carteira que foi associada a atividades criminosas conhecidas para se provar, disse Krehel. “Essa taxa de crescimento [de ransomware] vai continuar”, diz ele.

Cibercriminosos desistindo ou apenas evoluindo para funções diferentes?

A cada poucos meses, um grupo de ransomware de alto nível anuncia que está encerrando suas operações. No mês passado foi o Avaddon. Antes disso foi o DarkSide. Antes era Maze, e assim por diante. Às vezes, quando decidem se separar, esses grupos liberam suas chaves mestras, o que pode ajudar algumas vítimas que ainda não pagaram um resgate ou recuperaram seus arquivos de backups, mas os criminosos por trás dos grupos não desaparecem realmente do ecossistema ou vão para cadeia. Eles simplesmente se mudam para outros grupos ou mudam de função, por exemplo, de gerente de uma operação de ransomware bem-sucedida para investidor.

Ragan compara isso aos criminosos tradicionais que usam empresas de fachada para canalizar dinheiro e então, quando coisa esquenta demais, dissolvem-nas e seguem em frente. “É quase exatamente assim”, diz ele. “Mais uma vez, esse é outro paralelo entre o mundo do crime e o que vemos do nosso lado da pequena parede. Ambos são atos criminosos, mas, ao mesmo tempo, organizações que não pensam em cibernética, estão acostumadas com o conceito de empresas de fachada e como elas podem ser usadas para fins nefastos. Bem, essas marcas que os grupos de ransomware e malware usam – mesma coisa”.

De acordo com Krehel, a vida útil dos grupos de ransomware é geralmente de cerca de dois anos porque eles entendem que depois desse tempo receberão muita atenção, especialmente se tiverem sido muito bem-sucedidos, e a melhor coisa a fazer é retirar o grupo e criar um novo. Talvez alguns membros se aposentem e se tornem investidores de risco em outros grupos, mas essa mistura de grupos tem mais a ver com gerar confusão e tornar mais difícil para a polícia obter os nomes de todos os participantes, diz ele.

O ROI do ransomware é tão bom que os cibercriminosos de carreira não podem se dar ao luxo de não se envolver nele. É por isso que grupos associados a outras formas de crime cibernético, como roubo de cartão de crédito ou invasão de bancos, começaram a adotar o ransomware como fonte de receita ou a colaborar com gangues de ransomware.

“Literalmente, se você comparasse isso ao mundo real, são fusões e aquisições. Eles podem pensar que obtiveram talentos de outros grupos que se juntaram a eles e agora estão desenvolvendo seu próprio ransomware, ou obtêm seus programas de afiliados e os fundem dentro de um”, diz Ragan.

“É bastante claro que algumas dessas ‘novas cepas’ são provavelmente provenientes de grupos ‘antigos'”, diz Hoffman. “Maze, Egregor, REvil, todos esses caras, eles se separam e criam outras coisas como AstraLocker e LV e todos esses novos que estão surgindo. Eles não estão todos relacionados, mas há muita associação entre novos grupos e antigos grupos”.

Alguns dos novos grupos também podem servir ao propósito de recrutar novas pessoas para o negócio e dar-lhes uma plataforma onde possam ganhar experiência. Quando o grupo cumprir seu objetivo e viver sua vida, alguns de seus afiliados passarão para grupos mais estabelecidos.

“Existe um ecossistema de criminosos de aluguel, que têm um bom histórico criminal, que realizaram boas missões ofensivas e não foram presos”, diz Krehel. “Essas pessoas agora são mais caras e sua experiência foi adicionada a seus currículos criminais e são confiáveis por quadrilhas de criminosos. Também parece que os membros estão mudando de grupo com frequência”.

Podem ser necessárias ações ofensivas

Os cibercriminosos não vão desistir do ransomware facilmente porque é muito lucrativo e muitos deles vivem na Rússia ou em países da ex-União Soviética, onde a probabilidade de serem presos por extorquir dinheiro de organizações ocidentais é baixa. Os programas de malware originados na Rússia ou na Comunidade de Estados Independentes (CIS) costumam ter verificações integradas que impedem sua implantação em computadores que usam russo ou outros idiomas de países da CIS. É uma regra não escrita que os criadores de malware e cibercriminosos conhecem: não vise empresas locais e você ficará bem. A Rússia não extradita seus cidadãos e, dado o atual clima geopolítico entre o país e o Ocidente, não é muito provável que haja maior colaboração no nível de aplicação da lei em crimes cibernéticos.

“Se um governo estrangeiro está visando você [a gangue de ransomware], é isso. Não há nada que você possa fazer”, diz Ragan. “Você está lidando com um adversário que tem tempo e recursos ilimitados. Eles vão te pegar. Não me importa o quão bom você seja. É um medo realista que esses criminosos têm e acho que é isso que está causando a correria. Mas aqui está o problema: A mera menção de sanções, políticas e coisas assim os deixou confusos, certo? O que acontece se não houver uma aplicação real? O que acontecerá se essas leis e políticas forem publicadas, mas não tiverem força? Então os criminosos voltarão, e eles voltarão mais fortes, porque agora eles sabem que elas não têm força nem aplicação”.

Notícias relacionadas

Notícias
Infraestrutura crítica brasileira está sob ameaça de ciberataques
Notícias
Rethink cresce 40% em faturamento e anuncia escritório em São Paulo
Notícias
Nvidia adquire Run:ai, startup de gerenciamento de carga de trabalho de IA, por $700 mi
Notícias
Biden investe bilhões em P&D de semicondutores para competir com a China
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.