Identificados cibercriminosos que mais criaram ameaças em brechas de "dia zero"
Por Ramon de Souza | 05 de Outubro de 2020 às 21h20
Um malware não simplesmente nasce do nada. Para que um script malicioso seja escrito, é necessário inicialmente que seu criador se baseie em um exploit, como é chamado um segundo conjunto de códigos que se aproveita (“explora”) de uma brecha de segurança ainda não solucionada em um software. E, neste vasto mundo do crime cibernético, algumas pessoas se dedicam a encontrar vulnerabilidades críticas e vendê-las.
- Canon é vítima do ransomware Maze e criminosos roubam 10 TB de dados
- Hackers encontram duas novas vulnerabilidades de "dia zero" no Safari
- Ransomware | Grupo de hackers expõe vítimas que não aceitaram pagar resgate
Esse é o caso de dois misteriosos internautas rastreados e identificados por pesquisadores da firma de segurança Check Point. Conhecidos simplesmente como Volodya e PlayBit, eles são acusados de se especializarem em achar vulnerabilidades dia zero no Windows (ou seja, aquelas que nem a Microsoft sabe da existência), criar exploits para se aproveitar delas e vender esses “kits prontos” para quem quiser fazer seus próprios vírus ou ataques.
Volodya, também conhecido no submundo como BuggiCorp, vende exploits desde 2015 e seria responsável por pelo menos 11 códigos de exploração diferentes; esses scripts teriam resultado no nascimento de malwares conhecidos como o Dreambot, o Magniber e o Turla. Ademais, acredita-se que ela tenha vendido algumas falhas dia zero para o APT28, grupo de hackers estatais constantemente ligados ao governo russo.
Igualmente sorrateiro, o criminoso PlayBit (também conhecido como luxor2008) possui cinco explorações registradas, sendo que elas deram origem a ransomwares altamente perigosos como Maze e REvil/Sodinokibi. O Maze, vale lembrar, foi o responsável por interromper diversos serviços da multinacional Canon no mês de agosto, chegando a vazar alguns documentos sigilosos da companhia no processo.
Um jeitinho único de hackear
A identificação só foi possível graças a um trabalho similar a uma análise grafológica: os pesquisadores resolveram analisar a fundo os exploits mais perigosos dos últimos anos e encontrar características em comum que pudessem ser atestadas como “assinaturas”, provando que eles foram escritos e comercializados no mercado negro pelo mesmo indivíduo.
“Esta análise fornece insights raros sobre a forma como funciona o mercado negro do cibercrime. Quando a Check Point desvenda uma vulnerabilidade, nós demonstramos a sua seriedade, reportando-a ao fornecedor indicado e nos certificamos de que existe uma patch para evitar que represente uma ameaça”, explica Itay Cohen, pesquisador de malware na Check Point.
“Contudo, para os indivíduos que comercializam estas explorações, a história é completamente diferente. Para eles, encontrar uma vulnerabilidade é apenas o início. Eles precisam explorá-la no maior número possível de versões de softwares e plataformas, de modo a monetizá-la e, assim, obter a satisfação dos seus ‘clientes’“, complementa. Por conta de sua atuação, os criadores de exploits são sutis e preferem se manter no mais completo escuro, sem ter um “nome a zelar” como outros criminosos cibernéticos.
“Também percebemos como é que essa satisfação é alcançada, e como se comportam os compradores desse mercado, que muitas vezes incluem agentes de Estados-nação. Nós acreditamos que esta metodologia de pesquisa pode ser utilizada para identificar outros desenvolvedores de exploits”, finaliza Cohen.
Fonte: Check Point