Quem é quem no submundo cibercriminoso

Grupos de cibercriminosos estão se especializando como desenvolvedores de malware, corretores de acesso inicial, provedores de ransomware como serviço, corretores de dados e outras funções.

Estamos em um momento em que os cibercriminosos, incluindo gangues de ransomware, se estabeleceram como negócios organizados e ilícitos, em vez de uma operação de hackers de uma pessoa. Mais e mais grupos de ransomware surgiram e os existentes continuam a prosperar em termos de obter sucesso repetidamente com a violação de organizações proeminentes.

O aumento do sucesso de gangues de ransomware, grupos de extorsão e invasores DDoS não é acidental. Por trás de um nome de grupo sofisticado, há uma estrutura organizada que inclui atores de ameaças em diferentes camadas trabalhando em sincronia para atingir o objetivo final, cada um recebendo sua parte.

Com a evolução dos ataques cibernéticos empregando táticas e técnicas mais recentes, o que há para dizer sobre os principais papéis assumidos pelos cibercriminosos? Abaixo estão algumas das principais funções assumidas por agentes de ameaças que evoluíram ao longo do tempo.

Corretores de acesso inicial (IABs)

Os agentes de acesso inicial (IABs) referem-se à classe de agentes de ameaças que vendem acesso a redes corporativas a um comprador viável. Isso é feito por meio de mercados de violação de dados, fóruns ou canais fechados de aplicativos de mensagens e grupos de bate-papo. Os IABs, no entanto, não necessariamente realizam atividades prejudiciais subsequentes, como exfiltração, criptografia e exclusão de dados. Cabe ao comprador decidir como planeja abusar desse acesso – seja para roubar segredos comerciais, implantar ransomware, instalar spyware ou vazar dados.

“No passado, os corretores de acesso inicial (IABs) costumavam vender acesso da empresa a criminosos que pretendiam destruir os dados de uma empresa ou roubar IPs ou dados financeiros das empresas comprometidas”, diz Ben Richardson, engenheiro de software sênior da Cloud RADIUS, um provedor de autenticação sem senha para nuvem. “Eles não tinham uma demanda tão alta naquela época, principalmente porque o volume de ataques era baixo. Eles eram normalmente contratados por concorrentes de negócios para espionagem e roubo.”

Richardson afirma que a era do ransomware causou um “aumento exponencial” na demanda por IABs. Esses corretores agora encontram novos negócios por meio de gangues de ransomware que contratam IABs para comprometer empresas-alvo para que a gangue possa começar a criptografar arquivos confidenciais e destruir backups.

X como um serviço

No contexto atual, o termo “x como serviço” muitas vezes se materializa como plataformas de ransomware como serviço (RaaS) ou malware como serviço (MaaS) que constituem um modelo de negócios relativamente mais novo. Muito parecido com o modelo de software como serviço (SaaS), o RaaS é um método de fornecer ferramentas de ransomware, kits de phishing e infraestrutura de TI por uma taxa para “afiliados” que desejam realizar ataques.

“Neste modelo, esses provedores podem permanecer legalmente seguros, já que, como provedores, eles não são responsáveis por como seu serviço é usado”, diz Logan Gilbert, arquiteto de soluções globais da Deep Instinct. Sendo um provedor de serviços, esses grupos podem ganhar uma fatia independentemente do sucesso dos ataques dos clientes. “Eles são realmente um provedor de serviços, e perceber o valor operacional depende de seus clientes.”

No passado, a realização de uma operação de ataque em grande escala garantia que os cibercriminosos fossem hackers habilidosos, mas os modelos de x-as-a-service afrouxaram essas barreiras à entrada. “Inicialmente, os cibercriminosos eram hackers habilidosos que geralmente conduziam operações em grande escala por conta própria”, diz David Kuder, analista sênior de inteligência de ameaças cibernéticas da CriticalStart. “Isso consumia muitos recursos e trazia muitos riscos. Nos últimos anos, os cibercriminosos se voltaram para a “caça aos grandes animais”, visando grandes organizações e obtendo enormes lucros. À medida que essa estratégia começou a ser adotada, mais cibercriminosos migraram para o espaço x-as-a-service para incluir agentes de acesso inicial, ransomware como serviço e malware como serviço, para citar alguns. O aumento de x como serviço possibilitou que um cibercriminoso fosse qualificado em apenas um domínio, enquanto aproveitava os serviços de todos os outros grupos.”

Afiliados de ransomware

Os afiliados de ransomware podem ser vistos como “contratados” versáteis contratados por grupos de ransomware para realizar tarefas operacionais: desde comprar acesso inicial a redes de IABs ou simplesmente adquirir credenciais roubadas e despejos de dados que podem ajudar no reconhecimento, até a execução do ataque.

Depois de executar um ataque e extorsão bem-sucedidos, os afiliados de ransomware ganham uma comissão do valor do resgate pago pela vítima à operação maior de ransomware. Para acelerar seus ataques, as afiliadas podem alugar plataformas RaaS para criptografar arquivos com “ransomware alugado” e empregar intensivamente todas e quaisquer ferramentas, serviços e explorações existentes a seu critério.

“Por uma taxa baixa, os afiliados obtêm acesso a um produto e serviço que, de outra forma, teriam que desenvolver e gerenciar por conta própria. Além disso, os afiliados têm acesso a IABs e organizações já comprometidas disponíveis por um preço. Isso reduz significativamente a barreira de entrada para um afiliado. Os afiliados agora podem se concentrar nos aspectos operacionais da extorsão de uma organização”, diz Gilbert, da DeepInstinct.

Desenvolvedores de malware e exploits

Essa classe de agentes de ameaças cria explorações para vulnerabilidades de dia zero ou conhecidas que vão além dos exercícios de prova de conceito (PoC). Esses atores também podem desenvolver malware que contém exploits para várias vulnerabilidades, como vimos com o Gitpaste-12 empacotando de 12 a mais de 30 exploits.

Muitos ataques de ransomware também podem começar com os invasores implantando código para direcionar dispositivos de acesso populares, aplicativos, VPNs e componentes de software individuais, como Log4j, embutidos profundamente nos aplicativos.

Antigamente, os desenvolvedores de malware e exploits podiam variar de “script kiddies” a hackers sofisticados, mas com o tempo, à medida que a colaboração entre os agentes de ameaças aumentava, grande parte do desenvolvimento de malware sofisticado acontece dentro das equipes de desenvolvimento, com ciclos de vida e documentação de desenvolvimento de software, como um esperaria ver de um negócio de software legítimo, diz Gilbert.

A opinião de Gilbert é ainda mais fundamentada por vazamentos recentes que destacam o funcionamento interno dos grupos de ransomware. No ano passado, uma afiliada da gangue Conti (Ryuk) descontente vazou os dados proprietários do grupo, incluindo ferramentas de teste de caneta, manuais escritos em russo, material de treinamento e documentos que supostamente são fornecidos às afiliadas do grupo de ransomware.

Da mesma forma, um suposto administrador de ransomware Babuk também vazou os arquivos de projeto do Visual Studio e o código-fonte do grupo que, em relação à sua organização, refletem a estrutura seguida por empresas de software legítimas.

Em uma nota separada, o aumento no uso de criptomoedas e sua adoção convencional deram plataforma a uma classe de “nicho” de desenvolvedores de exploração. Desenvolvedores proficientes em criptografia com uma compreensão avançada dos protocolos blockchain podem explorar vulnerabilidades de dia zero e não corrigidas nessas plataformas de criptografia antes que elas sejam corrigidas. A prática tornou-se desenfreada e evidente a partir dos principais hacks de criptomoedas.

Em fevereiro, o caso de roubo de criptomoedas de US$ 326 milhões da Wormhole resultou de uma vulnerabilidade não corrigida fornecida pelos commits do GitHub do projeto visíveis para qualquer pessoa. A Poly Network sofreu o “maior hack DeFi” no ano passado, resultando em roubo de criptomoedas de US$ 611 milhões por um suposto hacker de chapéu branco que queria esclarecer vulnerabilidades de segurança à espreita na plataforma. O hack de US$ 34 milhões deste ano na Crypto.com é outro exemplo de mais desenvolvedores de exploração de nicho surgindo com os tempos de evolução.

Grupos avançados de ameaças persistentes

O termo “ameaça persistente avançada” (APT) tradicionalmente descreve atores de ameaças de estados-nações ou grupos de crimes cibernéticos apoiados por estados com um objetivo específico – sabotagem ou espionagem política por um longo período de tempo, se não simplesmente ganho financeiro. Agora, as táticas usadas pelos APTs também estão sendo adotadas por agentes de ameaças não afiliados.

Os APTs geralmente usam malware personalizado com amplos recursos de vigilância e furtividade. Um dos ataques APT mais conhecidos de todos os tempos é o incidente do Stuxnet que explorou várias vulnerabilidades de dia zero do Windows da época para infectar computadores, se espalhar e causar danos reais a centrífugas em usinas nucleares. Acredita-se que o “worm de computador extremamente sofisticado” tenha sido criado por agências de inteligência dos EUA e de Israel trabalhando em colaboração.

Um exemplo mais recente de APT visando sistemas de controle industrial é o malware TRITON. Descoberto em 2017, o TRITON foi pego após atingir uma planta petroquímica da Arábia Saudita com o possível objetivo de causar uma explosão. Felizmente, um bug no código do malware desencadeou o desligamento de emergência de sistemas críticos e frustrou o ataque.

No entanto, os APTs não estão limitados à exploração apenas de dispositivos físicos, e a maioria das campanhas de APT emprega ataques de spear phishing para se infiltrar na rede, propagar silenciosamente a carga útil, exfiltrar dados, plantar backdoors persistentes e realizar vigilância secreta em suas vítimas.

“Os grupos APT deixaram de ser míopes em suas metas e objetivos para serem mais furtivos e estratégicos”, diz John Fung, diretor de operações de segurança cibernética da MorganFranklin Consulting. Ele aponta para as tendências preocupantes de APTs se movendo para comprometer software upstream e código-fonte, como vimos com o ataque da cadeia de suprimentos SolarWinds, que após muito debate entre funcionários do governo dos EUA, foi atribuído a hackers apoiados pela Rússia. “Particularmente preocupante é a tendência que estamos vendo de mover o compromisso ainda mais para fornecedores terceirizados e, em seguida, corromper software ‘legítimo’ com suas próprias cargas úteis. Eu vejo isso como um evento de alto impacto e baixa frequência contra o qual as organizações precisam se proteger de diferentes maneiras, com base no perfil de risco e na tolerância.”

Corretores de dados ou informações

Os termos “corretor de dados” ou “corretor de informações” (IB) referem-se tanto à classe legítima de provedores de serviços quanto a atores ilícitos. Por exemplo, IBs legítimos e serviços de agregação de dados podem obter dados de fontes públicas, como registros judiciais, registros de terras e registros de venda de propriedades, perfis de mídia social, listas telefônicas, registros de incorporação de empresas e registros de casamento, para compilar informações sobre pessoas e empresas. Essas informações podem ser legalmente compartilhadas com profissionais de marketing, pesquisadores e empresas mediante o pagamento de uma taxa.

Os corretores de dados maliciosos, por outro lado, se envolvem em práticas ilegais, como a venda de materiais hackeados e despejos de dados confidenciais na dark web e em mercados de violação de dados. Na verdade, Kuder vincula a prática de corretagem de dados até a cadeia IAB, no que pode ser descrito como um acordo de afiliação exclusivo.

A profissionalização do IAB foi impulsionada pelo rápido crescimento do modelo RaaS nos últimos anos. Essas ofertas de RaaS são desenvolvidas por grupos de APT bem estabelecidos, como Wizard Spider (RYUK RaaS), Gold Southfield (REvil RaaS) e FIN7 (DarkSide RaaS).

“Como parte desta oferta, [tais grupos APT/RaaS] fornecem suporte, acesso ao portal, assinaturas mensais para seus clientes e muitas vezes se afiliam aos clientes. Em tais acordos de afiliação, os grupos RaaS terão uma porcentagem dos lucros que qualquer afiliado ganha com o resgate de um alvo. Além de resgatar dados confidenciais, muitos desses grupos também comprometem as informações de funcionários/clientes das organizações visadas. Informações confidenciais são exfiltradas e postadas em um dos muitos sites da dark web. Isso é conhecido como corretagem de dados. Esses dados podem incluir SSNs, informações de cartão de crédito, histórico de compras e credenciais de conta, e são vendidos junto com outras ofertas”, diz Kuder.

Subterrâneo criminoso “um ambiente de negócios competitivo natural”

Embora o cenário do crime cibernético possa ter sido muito mais simples de decifrar anos atrás, os diferentes papéis principais assumidos pelos atores: de IABs para explorar desenvolvedores a provedores “como serviço” evoluíram de “oportunidades para monetizar fases específicas da cadeia de ataque”. e limitando a necessidade de os atores serem proficientes em todos os aspectos da condução de uma operação de ataque, diz Drew Schmitt, analista principal de inteligência de ameaças da GuidePoint Security.

Anteriormente, os invasores executavam um ataque inteiro de forma independente. A tarefa era muitas vezes demorada e não garantia resultados bem-sucedidos. Indivíduos e grupos logo encontraram seu nicho ao longo do tempo e “perceberam que poderiam aumentar exponencialmente seus lucros vendendo uma parte da cadeia de ataque ou vendendo o mesmo malware (com configurações diferentes) para um grupo maior de compradores”, diz Schmitt. “Por meio desse modelo, eles conseguiram ganhar mais dinheiro enquanto trabalhavam substancialmente menos.”

Schmitt diz que, à medida que diferentes grupos assumiram papéis principais no submundo do crime, surgiu um ambiente de negócios competitivo natural que levou à criação de grupos concorrentes e uma série de mercados naturais. “À medida que esses mercados se tornaram mais robustos, a barreira de entrada para a realização de operações cibernéticas criminosas foi reduzida e resultou em atores menos técnicos capazes de conduzir suas próprias operações criminosas.”

Comentários

You Might Also Like

CISA Updates Guidance for Addressing Cisco IOS XE Web UI Vulnerabilities

CISA Secure by Design Alert Urges Manufacturers to Eliminate Default Passwords

‘Everyone loses’: This new ransomware threatens to wipe Windows PCs if its victims don’t pay up