Muitos componentes necessários para cometer cibercrimes podem ser comprados e vendidos de forma online em partes específicas da Web. Estes são os mercados negros da Web, que permitem aos cibercriminosos monetizar os frutos de suas operações, que vão desde a construção de botnets até o roubo de credenciais.

Na primeira parte desta atualização de notícias do cibercrime listamos mais de uma dezena de prisões e outras ações das autoridades destinadas a deter a atividade criminosa na Internet. Nesta segunda parte nos enfocaremos em alguns dos desmontes que ocorreram neste ano e os seus principais impactos.

Envio massivo de malware

Uma das coisas que os cibercriminosos compram e vendem de forma online é a habilidade de distribuir malware usando spam. Isso permite que componentes maliciosos projetados para roubar credenciais ou falsos antivírus, por exemplo, se propaguem ao máximo.

é comum que as pessoas se refiram genericamente a qualquer atividade da internet ilícita como Dark Web

No entanto, como nenhum fornecedor de serviços da Internet respeitável permitirá que os seus sistemas sejam usados para operações de spam, os cibercriminosos os usam: os recrutam secretamente por meio das botnets, redes de computadores comprometidas que funcionam conforme suas ordens.

Estas bots podem ser laptops, computadores de mesa, celulares ou servidores. A atividade da botnet é controlada através de uma forma de software conhecida como C&C, ou centro de Comando e Controle.

As botnets podem suar dezenas de milhares de máquinas por vez para disseminar spam. Recentemente, uma das mais notórias foi a Kelihos, que os pesquisadores da ESET descreveram e analisaram, junto com a sua antecessora Storm, em um paper intitulado “Same botnet, same guys, new code” (disponível em inglês).

No entanto, em abril, a pessoa responsável pela Kelihos, um programador russo chamado Pyotr Levashov, foi preso enquanto estava de férias na Espanha. Levashov esteve na mira dos pesquisadores dos Estados Unidos durante muito tempo. De fato, em 2009, já o acusavam pelo uso da botnet Storm.

Pouco tempo depois desta prisão, as autoridades se apressaram para interromper e derrubar a Kelihos, bloqueando os domínios maliciosos associados a botnet, com o intuito de impedir futuras infecções.

Apesar de ainda existirem alguns personagens desconhecidos, que normalmente eram clientes que utilizavam os serviços da Kelihos, é provável que a sua desmontagem reduza os volumes globais de spam, pelo menos de forma temporária. Além disso, uma resolução rápida do caso Levashov e uma dura sentença (tempo de prisão e confisco de bens) podem fazer com que alguns spammers criminosos mudem a sua conduta.

Terminologia obscura

Para aqueles que pensam que o lado obscuro da Internet é uma terra desconhecida, um mercado negro é um lugar onde se compram e vendem bens de forma online, que não pode ser facilmente acessado pelo público. O FBI usa os seguintes termos para descobrir este fenômeno.

Primeiro está a web superficial, que em inglês se chama Clear Web (em alguns sites Surface Net). É a Internet que você conhece, aquela com a qual deve estar familiarizado, que pode ser navegada por meio do Google e Bing, e que inclui tudo, desde sites de notícias até redes sociais, streaming e comércio eletrônico tradicional, como home banking e lojas como a Amazon ou o Mercado Livre.

a parte da Deep Web que só pode ser acessada com um software especial é conhecida como  DarkNet, e é o paraíso do cibercrime

Além da Clear Web, existe um grande conjunto de atividades que usam a Internet, mas que não podem ser facilmente acessadas sem um software específico ou credenciais apropriadas. Esta é a Deep Web e inclui certos sites e fóruns exclusivos para membros, que apenas são utilizados para discutir e executar atividade ilegais. Os mercados na Deep Web são chamados mercados negros ou dark markets.

Existe uma parte da Deep Web que só pode ser acessada por meio de um software de rede especial como, por exemplo, o navegador Tor. Esta parte da Deep Web é conhecida como a DarkNet e é o paraíso do cibercrime. Até pouco tempo, era possível encontrar neste espaço duas dark markets maiores, conhecidas como AlphaBay e Hansa.

Apesar dos esforços do FBI para manter esta terminologia, é bastante comum que as pessoas se refiram genericamente a qualquer atividade da internet ilícita como Dark Web (e vamos encarar isso, estes termos evoluíram ao longo do tempo sem definições "oficiais").

Grandes problemas nos mercados negros

Em junho, um esforço em conjunto com as agências encarregadas pela aplicação da lei conseguiu tirar do ar as plataformas AlphaBay e Hansa. E o que estas páginas estavam fazendo para incomodar as autoridades?  Elas estavam permitindo que as pessoas se dedicassem ao cibercrime por meio da compra e venda de bens e serviços ilegais.  Por exemplo, em muitos países e estados dos EUA, é ilegal que os cidadãos possuam armas de fogo completamente automáticas de grande capacidade, mas é possível comprá-las em mercados negros da DarkNet, como é possível ver na seguinte captura:

A compra e venda de código malicioso como o ransomware também é ilegal em muitas jurisdições, mas aqui está disponível, como mostra a captura abaixo. Claramente, os dark markets que traficam estes e outros elementos, como pornografia infantil, substâncias proibidas e serviços de ciberataques, propiciam o crime.

Este aspecto é reforçado pelo fato de usarem criptomoedas como Bitcoin nas transações, o que faz com que os envolvidos sejam dificilmente rastreados. Por isso, não é nenhuma surpresa que as autoridades em muitos países estejam interessadas em derrubar mercados negros e punir os seus usuários e operadores.

Tempos difíceis para a DarkNet?

Talvez você se lembre que em 2013 derrubaram a Silk Road, a antecessora da AlphaBay e Hansa na DarkNet. As notícias apareceram quando o tribunal sentenciou a prisão perpétua de seu criador e operador, Ross Ulbricht (uma sentença que foi recentemente confirmada pelo Tribunal Federal de Apelações do Segundo Circuito).

Você também deve saber que as novas iterações da Silk Road logo apareceram para substituir a que foi retirada. Isto ocorreu devido ao fato de que um mercado negro tipicamente reúne vários vendedores, ou seja, é mais um bazar do que uma loja. Se um vendedor perde o seu lugar em um mercado, este espaço pode migrar rapidamente para outro.

Portanto, é improvável que a queda das plataformas AlphaBay e Hansa acabe com a venda de bens ilegais na Internet. No entanto, pode muito bem dissuadir alguns aspirantes a cibercriminosos, particularmente se as pessoas responsáveis por estes mercados encontrarem o mesmo destino que Ross Ulbricht. Em um giro trágico, o suposto criador da AlphaBay, cidadão canadense que vive na Tailândia, parece ter cometido suicídio na prisão pouco tempo depois de sua sentença.

Também pode ser que este fato desencoraje a alguns vendedores, considerando a forma na qual foi executado. Através da análise dos casos anteriores fica claro que os clientes migram rapidamente para o segundo melhor mercado, caso ainda esteja aberto.

a polícia viu o tráfego da Hansa aumentar oito vezes mais

E assim fizeram as autoridades: a polícia holandesa tomou o controle total da Hansa, em 20 de junho. No entanto, a deixaram aberta e monitoraram a sua atividade até que a AlphaBay também saiu do ar no início de julho.

De acordo com a CNET, quando o AlphaBay foi fechado, a polícia viu o tráfego da Hansa aumentar oito vezes mais. Rob Wainwright, diretor da Europol, afirmou: "Identificamos e interrompemos a atividade criminosa regular que estava acontecendo no mercado da Hansa, mas também chegamos a todos os novos usuários que foram deslocados da AlphaBay, procurando uma nova plataforma de negociação para a suas atividades criminosas".

Ao anunciar a queda da AlphaBay, as autoridades dos EUA não deixaram dúvidas sobre o quão sério são sobre processar este tipo de atividade criminosa: "A apreensão e o encerramento do mercado criminoso da AlphaBay e a acusação e prisão de seu fundador devem enviar uma mensagem clara", disse o fiscal federal da Califórnia, Phillip A. Talbert.

"Se você escolhe se envolver na administração de uma plataforma como a AlphaBay na Dark Web ou decide usá-la para participar de transações criminosas, as agências de aplicação da lei e os procuradores dos Estados Unidos de todos os distritos e estados do país o perseguirão", sentenciou.

Consequências obscuras?

Se você ler o que estão dizendo na Internet sobre as pessoas familiarizadas com os mercados negros, parece que este desmonte, que matou dois pássaros com apenas um tiro, abalou a “confiança” que inspirava esta comunidade. Quando as pessoas sugerem dar um tempo para as compras, abundam o medo e a suspeita, o qual era claramente um dos objetivos da operação policial, como você pode ver na seguinte captura:

É muito interessante ver qual o impacto das desmontagens das campanhas de malware. Sabemos que as dark markets deram lugar para as operações de crimeware-as-a-service, especialmente para o ransomware-as-a-service. No entanto, ocorrerá uma suspensão temporária? Os aspirantes ao cibercrime decidirão mudar de conduta? Os cibercriminosos mais comprometidos passarão para outra parte da Deep Web?

Eu acho que alguns irão continuar aproveitando a existência dos mercados negros. Uma característica dos criminosos é acreditar que nunca serão capturados e, lamentavelmente, apenas uma pequena porcentagem de cibercriminosos são presos (embora a lista de detenções na primeira parte deste post seja animadora).

Infelizmente, se você observar o quanto as dark markets evoluíram nos últimos anos, oferecendo “suporte rápido e orientações aos clientes”, assim como ajuda nas diversas linguagens, como se pode ver na captura anterior, dá a impressão de que estão respaldados por algumas pessoas bastante determinadas.

No entanto, a pergunta que não quer calar: quantos deles estão dispostos a enfrentar uma prisão perpétua?