Criminosos se inspiram no e-commerce e usam dark web para se profissionalizar

Organizações criminosas notórias e o comércio eletrônico foram as inspirações dos criminosos digitais na busca por uma maior profissionalização de ataques, explorações e operações de sequestro digital e roubo de dados. Dados são a mercadoria mais barata e a dark web é o caminho usual para quem busca adquirir mão-de-obra especializada, vetores de entrada e vírus, mas mesmo essa camada mais profunda da rede também tem suas subdivisões.

• Cibercriminosos estão mais perigosos devido ao compartilhamento de informações
• Como as ameaças digitais evoluíram nos últimos 10 anos?

Esse é um resumo básico das conclusões de um relatório da HP Wolf Security, fruto de uma investigação de três meses em fóruns, chats e espaços de troca de informação da dark web. O que se descobriu foi não só uma operação altamente organizada, com grupos pequenos e grandes trocando informações e captando clientes para ataques, mas também a existência de sistemas de validação e reputação, um “código de honra” muitas vezes inspirado nas próprioas organizações que serão atingidas por golpes cibernéticos.

As informações vazadas seguem como a mercadoria mais predominante, ao lado de malwares. Conjuntos de credenciais de acesso a desktops remotos saem por apenas US$ 5, cerca de R$ 28, enquanto kits de exploração e vírus que aproveitam falhas conhecidas custam menos de US$ 10, aproximadamente R$ 55. O ouro, entretanto, está nas brechas zero-day, aquelas desconhecidas até mesmo pelos desenvolvedores originais, que são vendidas por dezenas de milhares de dólares. Aberturas em sistemas de nicho, como empresas de infraestrutura ou segmentos específicos, podem valer de US$ 1 mil a US$ 4 mil.

Na visão de Alex Holland, analista sênior de malware da HP Wolf, esse comportamento mudou o caráter da dark web; ainda o local ideal para obter acesso a ferramentas cibercriminosas, com 35 milhões de plataformas dedicadas, mas com algumas em outro formato. “Ela virou uma espécie de vitrine, mas a ‘ação real’ acontece por trás das cortinas. As negociações acontecem em canais privados, com direito a exclusividade em explorações e valores bem altos”, completa, usando o termo “invisible net” para se referir a tais espaços.

É aqui que entra o que a pesquisa da HP Wolf Security cita como um irônico código de ética entre cibercriminosos. Segundo Holland, eles se organizam como as quadrilhas do mundo real, negociando e conversando onde não podem ser rastreados e, principalmente, fora do alcance das autoridades. Criptografia, referências, contatos exclusivos e links não facilmente encontrados dão o tom destes acordos que, quanto mais sigilosos, mais valiosos e interessantes.

“As ameaças que ninguém conhece ainda são as mais empolgantes para os criminosos. Enquanto isso, ainda há um abismo nas organizações [quanto a esse tipo de proteção], o que as torna ainda mais valiosas”, explica Michael Calce, ex-cibercriminoso que, no passado, atendia pelo pseudônimo “MafiaBoy”. Ele auxiliou a HP Wolf Security na investigação.

Ainda que o chamado código de ética seja uma novidade, não é como se a profissionalização do cibercrime fosse algo novo, pelo contrário, se trata de uma tendência de alguns anos. “O desejo de mostrar habilidade e se provar para os outros foi substituído por uma motivação puramente financeira. Surgiu a demanda por obtenção de fundos ilícitos cada vez maiores e o mercado acompanhou com ferramentas e comportamentos específicos”, completa Calce.

Avaliações, comentários e referências

Surge então um funcionamento incrivelmente semelhante ao do e-commerce, o que se torna ainda mais irônico quando pensamos que, em muitos desses espaços, podem estar sendo vendidos bancos de dados e explorações que atingem, justamente, empresas desse segmento. Vendedores de explorações são classificados com notas e comentários, além de indicarem os melhores negociadores de acesso inicial ou as ferramentas mais fáceis ou sofisticadas de criação de malware.

Do outro lado do balcão, também existem dinâmicas que organizam esse comércio. De acordo com o levantamento da HP Wolf Security, 92% das plataformas de venda de malwares da dark web possuem serviços de resolução de disputas, analisadas e mediadas por terceiros, enquanto 77% dos desenvolvedores de explorações exigem fianças para revenda de seus produtos. Esse “licenciamento”, como pode ser chamado, pode custar até US$ 3 mil e, em 85% dos casos, são exigidos como caução antes do início de qualquer outra transação.

A criação de um mercado também acompanhou dinâmicas de negócios conhecidas. Holland aponta, por exemplo, uma preferência dos negociantes por clientes no longo prazo, em vez daqueles focados em campanhas mais curtas, e valores mais altos sendo cobrados por aqueles que possuem maior reputação e eficácia nos ataques. Soluções customizadas e mão-de-obra dedicada, por vezes até exclusiva, também estão à venda e, claro, custam mais caro.

A reprodução das relações econômicas e de confiabilidade na economia global também aparece na própria organização das plataformas, bem como no contato com as vítimas para a negociação de valores de resgate ou na prática de extorsões, com o ransomware sendo o cerne principal dos dois últimos. “Como muitos, os cibercriminosos também são interessados pelo funcionamento de grandes corporações e organizações criminosas e tentam emular isso em suas práticas online”, complementa o Dr. Mike McGuire, professor sênior de criminologia da Universidade de Surrey, na Inglaterra, e colaborador do estudo.

Está ruim e parece que vai piorar

O analista sênior de ameaças da HP Wolf Security indica a junção de poderes tecnológicos como a grande ameaça que surge como tendência desse movimento. Para ele, é a união de engenharia social com inteligência artificial que levará a uma nova onda de intrusões nas organizações, na medida em que ataques automatizados são criados a partir de informações reais, disponíveis na rede, aumentando a eficácia de golpes disseminados em massa.

McGuire também cita um ofuscamento da linha entre cibercrime e espionagem na medida em que mais estados-nação usam táticas desse tipo para seus interesses políticos e econômicos. Espionagem industrial, interceptação de informações e golpes contra infraestruturas, caso sirvam a fins governamentais, se encaixam aqui.

“Os vetores de ataque não mudaram muito, enquanto nunca foi tão fácil ser um cibercriminoso”, completa Holland, indicando que isso permitiu uma evolução nas técnicas de ataque enquanto as corporações seguem focando em detecção de atividades e usuários, em vez de vias de exploração. Com isso, segue a corrida atrás do prejuízo, com a sensação de que os cibercriminosos estão sempre à frente.

Calce é ainda mais sombrio em sua previsão. “Decidimos nos cercar de tecnologia e dispositivos sem que a segurança fosse prioridade. Agora, estamos pagando o preço”, aponta ele, afirmando que a proliferação de aparelhos da Internet das Coisas, sistemas de desktop remoto, adoção acelerada do home office e uso de sistemas de cloud computing é como a construção de uma casa sobre uma fundação frágil.

Ele reforça a ideia de inteligência artificial como um aliado cada vez maior dos bandidos e adiciona a computação quântica como elemento na quebra de senhas, disseminação de golpes e realização de ataques. “Os comunicados [das autoridades e empresas de segurança] fazem parecer que estamos ganhando a guerra contra o cibercrime, mas o que está se criando é um cenário vibrante e com operações invisíveis”, completa.