O mercado negro do cibercrime: preços e serviços oferecidos na dark web | WeLiveSecurity

O mercado negro do cibercrime: preços e serviços oferecidos na dark web

Navegamos pela dark web para conhecer os preços e serviços oferecidos pelos cibercriminosos no mercado negro. Confira o que encontramos.

Navegamos pela dark web para conhecer os preços e serviços oferecidos pelos cibercriminosos no mercado negro. Confira o que encontramos.

A indústria do cibercrime é um negócio que custou ao mundo 3 trilhões de dólares em 2015 e estima-se que esse número chegue a 6 trilhões em 2021, de acordo com a Cybersecurity Ventures. Por custos nos referimos a todas as despesas geradas por um incidente, já que em um ataque de ransomware, por exemplo, não contabilizamos apenas o pagamento do resgate, mas também os custos relacionados à perda de produtividade, melhoria das políticas de segurança, investimento em tecnologia ou danos à imagem, por exemplo.

Sabemos que o cibercrime como serviço não é novidade. Os criminosos oferecem seus produtos ou infraestrutura no mercado negro em troca de um preço. O que é oferecido e quanto custa? Navegamos pela dark web para responder a essas perguntas.

Ransomware como um serviço

Vários pacotes de ransomware podem ser encontrados na dark web, como se fosse um software legal. Atualizações, suporte técnico, acesso aos servidores C&C e diferentes planos de pagamento são alguns dos recursos que podem ser encontrados.

Imagem 1 – O ransomware Ranion é oferecido na dark web.

Um dos ransomwares oferecidos é o Ranion, que segue um esquema de pagamento periódico, seja mensal, semestral ou anual. Existem vários planos de assinatura disponíveis por diferentes preços, em que o mais barato custa 120 dólares por mês e os mais caro 900 dólares por ano, que podem chegar a 1.900 dólares caso outras funcionalidades sejam adicionadas ao executável do ransomware.

Imagem 2 – Planos de assinatura do ransomware Ranion oferecidos pelos cibercriminosos.

Outro esquema de venda de ransomware usado pelos cibercriminosos consiste em entregar o malware e a infraestrutura do C&C de forma gratuita, mas ficando com uma parte do valor pago pelas vítimas.

Seja qual for a estratégia utilizada, vemos que quem quiser contratar esses serviços deve se responsabilizar pela propagação do malware. Em outras palavras, quem compra o serviço deve fazer com que o ransomware chegue às vítimas, seja por meio de campanhas de spam ou acessando servidores vulneráveis ​​pelo RDP.

Venda de acesso a servidores

Existem vários serviços na dark web que oferecem credenciais de acesso por Remote Desktop Protocol (RDP) para servidores em diferentes partes do mundo. Os preços variam entre 8 e 15 dólares cada e podem ser pesquisados ​​por país, sistema operacional e até sites de pagamento que foram acessados ​​pelo servidor.

Imagem 3 – Venda de acessos por RDP para servidores da Colômbia.

Na imagem anterior, podemos ver como o acesso foi filtrado para ver apenas servidores da Colômbia e que há 250 servidores disponíveis. Para cada servidor são oferecidos alguns detalhes que podem ser observados na imagem abaixo.

Imagem 4 – Informações detalhadas sobre o acesso ao servidor oferecido na dark web.

A compra desses acessos pode ser associada à posterior execução de um ransomware, ou talvez à instalação de um malware mais sigiloso, como trojans bancários ou spyware.

Locação de Infraestrutura

Certos criminosos, proprietários de botnets ou redes de computadores infectadas, alugam seu poder de computação, seja para o serviço de envio de spam ou para gerar ataques DDoS.

No caso de ataques de negação de serviço, o preço varia de acordo com o tempo de duração do ataque (pode variar entre 1h e 24h) e a quantidade de tráfego que o botnet é capaz de gerar nesse tempo. Um exemplo de 60 dólares por 3 horas pode ser visto na imagem a seguir.

Imagem 5 – Exemplo de um usuário que aluga sua infraestrutura para gerar ataques DDoS.

É curioso o caso de jovens e adolescentes que alugam botnets (pequenas), geralmente para atacar servidores de jogos online como o Fortnite. Eles usam redes sociais para promocionar o serviço e não se preocupam muito em permanecer anônimos. Eles também costumam oferecer contas roubadas para venda.

Imagem 6 – Instagram como uma plataforma para aluguel de botnets.

Imagem 7 – Usuários no YouTube mostram ataques DDoS aos servidores Fortnite.

Venda de contas do PayPal e cartões de crédito

Os autores de ataques de phishing decidem não se arriscar usando as contas roubadas. Pelo contrário, é bem mais lucrativo e mais seguro revender as contas para outros criminosos. Como você pode ver na imagem a seguir, eles geralmente cobram 10% da quantia de dinheiro que a conta roubada tem disponível.

Imagem 8 – Venda de contas do PayPal e cartões de crédito.

Certos fornecedores nem sequer têm problemas em mostrar as ferramentas e sites falsos que usam para produzir campanhas de phishing.

Imagem 9 – Cibercriminosos que explicam o “passo a passo”.

Vemos que os cibercriminosos, escondidos por trás de ferramentas que lhes proporcionam um certo grau de anonimato, formam uma frutífera indústria criminosa, que vão desde publicidade e marketing até serviços de atendimento ao cliente, atualizações e manuais do usuário. Vale ressaltar, no entanto, que nesse ecossistema criminal existem muitos clientes internos e que o ganho real é para aqueles “peixes grandes” que já possuem uma infraestrutura ou serviço bem estabelecido.

Assim como o Global Security Evangelist ESET, Tony Anscombe, mencionou durante sua apresentação na última edição do Segurinfo, quando ele navegou através da dark web, “a indústria de malwares deixou de ser algo perturbador e hoje tem características como as de uma empresa de software”. Isso significa que atualmente existe um processo de comercialização e distribuição de softwares, produtos e serviços que os cibercriminosos oferecem nesse setor.

Discussão