Não é exagero dizer que o cibercrime possui um dos negócios ilícitos mais promissores para os próximos anos e a justificativa é fácil de entender. A indústria criminosa emergente possui todas as motivações necessárias para a continuidade e crescimento de suas atividades: anonimato, oportunidade, impunidade e altos ganhos financeiros.
No Reino Unido, por exemplo, o ransomware já superou outros tipos de crimes. Essa ameaça, aliás, tem sido motivo de dor de cabeça para muitos CIOs e responsáveis por redes corporativas. Desde os mais antigos – lockers que bloqueavam o sistema do usuário – até os mais modernos crypto-ransomware, a proposição para o negócio criminoso é sempre a mesma: quanto valem suas informações?
Para exemplificar o quão promissora é a indústria de sequestro e extorsão digital, vamos dissecar seu produto mais conhecido e próspero: o ransomware Locky. Ele foi descoberto no início de 2016 e veio com um plano de negócio ambicioso e infraestrutura inovadora. Assim como os kits de Botnet vendidos para criar variantes do Zeus, um kit de Locky pode ser adquirido no mercado negro de malwares, fazendo com que suas variantes se espalhem rapidamente. Um percentual do lucro do “Ransomware Kit” vai para seus criadores, tornando a indústria de ransomware bem parecida com o que conhecemos como franquias.
A infraestrutura do Locky é realmente impressionante, com seu framework operacional baseado em três fases: sites de distribuição, centros de controle e servidores de pagamento.
Fase 1: sites de distribuição
São sites legítimos invadidos de forma automatizada (usando Bots ou Worms), que servem para hospedar softwares maliciosos que são utilizados em campanhas de phishing ou técnicas de watering hole. Scripts são inseridos para que os usuários do site sejam infectados. Isto cria a propagação ideal: links legítimos (porém, infectados) podem, inclusive, ser compartilhados em redes sociais.
Fase 2: centros de comando
Também são sites legítimos invadidos de forma automatizada e ataques diretos na Internet de superfície ou na internet profunda. Na deep web, são hospedados os componentes de geração de chaves criptográficas, bem como os controladores da rede de ransomware que monitoram o tempo necessário para que todos os arquivos sejam criptografados de forma silenciosa. Só após este processo ser realizado, o usuário é avisado. Esta característica, aliás, foi herdada das botnets: controle.
Fase 3: servidores de pagamento
Tipicamente, os servidores de pagamento funcionam na deep web e indícios levam a crer que não são criados de forma automatizada. É difícil afirmar com precisão em quais países estão hospedados. Todos os endereços de DNS que apontam para os nodes de entrada na deep web são randomizados aleatoriamente e dinamicamente. Mas, detectou-se que a maioria dos nodes vai para a Europa, especialmente Alemanha e Suíça. Isto de fato é uma escolha consciente, já que estes países possuem leis rigorosas com relação a privacidade e que impedem análises financeiras de agentes externos. Ou seja, são como paraísos fiscais da indústria de ransomware.
Quanto mais cedo o ransomware for detectado, menores são os danos causados. Com toda essa estrutura, a motivação está clara: por um custo muito baixo e anonimato praticamente garantido, é possível gerar milhões de dólares em extorsões. Hoje, mais do que nunca, as empresas devem entender o potencial do seu novo inimigo – a indústria do ransomware.
* Wander Menezes é especialista em cybersecurity da Arcon
