Cibercriminosos abrem e-commerce para vender ‘malware do mês’

Equipe Shadow Brokers, a mesma que liberou os exploits usados como base para o ransomware WannaCry, inaugura serviço que lembra os clubes de vinho ou de cervejas; todo mês, associados terão direito às ferramentas roubadas da NSA

Compartilhar:

A equipe de hackers Shadow Brokers, a mesma que liberou na internet os exploits usados como base pelo ransomware WannaCrypt (exploits são programas ou conjunto de comandos que aproveitam vulnerabilidades em computadores) está em cena novamente. Para ganhar dinheiro, os hackers informaram que estão inaugurando um serviço que lembra os clubes de vinho ou de cervejas. Assim, a partir deste mês poderão publicar mensalmente mais ferramentas roubadas da NSA, a Agência de Segurança Nacional dos EUA. Só os sócios pagantes terão direito exclusivo de acesso a esse “dump do mês”.

 

Tanto cibercriminosos quanto pesquisadores de segurança têm interesse no material: dois dos supostos pesquisadores – Hacker Fantastic e  x0rz – abriram uma campanha de crowdfunding para poder pagar a assinatura do ‘clube’ e assim analisar os dados, possivelmente evitando outro ataque como o do ransomware WannaCry.

 

Michal Salat, Diretor de Threat Intelligence da Avast, considera a iniciativa um pouco complicada: “Os Shadow Brokers não estão procurando vender os exploits para a Microsoft e outras empresas afetadas, para que elas possam corrigir as vulnerabilidades e proteger seus usuários. O grupo poderia ter informado essas vulnerabilidades para os programas de recompensa das empresas (chamados programas de Bug Bounty), mas eles querem mais dinheiro do que o oferecido nesses programas”, observa.

 

Inicialmente eles tentaram leiloar o material por uma fortuna: US$ 500 milhões, muito distante do que geralmente pagam esses programas. “Por isso, agora oferecem acesso como numa assinatura do clube de vinhos, onde os membros receberão exploits todos os meses, em vez de vinho. Já vimos uma iniciativa de crowdfunding para isso através da Patreon para aquisição da primeira assinatura mensal. Os dois principais personagens afirmam ser pesquisadores de segurança que desejam comprar os exploits para analisar os dados, verificar os riscos e divulgar informações às empresas. Eles podem ter boas intenções, mas é importante questionar se alguém deve ou não pagar e recompensar o Shadow Brokers por suas atividades criminosas”, acrescenta Michal Salat.

 

Para ele, é bom que pesquisadores de segurança tenham os exploits antes dos cibercriminosos, mas ele ressalta: “Temos de considerar que pagar os Shadow Brokers pelos exploits seria quase como recompensá-los por suas atividades criminosas e incentivá-los a continuar”. O diretor da Avast  observa que a iniciativa é completamente diferente de um programa de bug bounty. “Nos programas Bug Bounty as empresas se oferecem para comprar os bugs ou vulnerabilidades descobertos pelos pesquisadores ou white hat hackers. Em geral, os programas oferecem a eles a oportunidade de denunciar bugs ou vulnerabilidades em troca de uma boa compensação. Isso motiva esse pessoal a informar os erros às empresas, ao invés de vendê-los na dark net, onde essas iniformações podem ser abusadas por cibercriminosos. Por outro lado, essas descobertas permitem que as empresas resolvam os bugs mais rapidamente, para proteger seus dados e seus clientes”, completa.

 

Na opinião de Michal Salat, as recompensas pela descoberta de erros deveriam se tornar uma prática regular de qualquer empresa que desenvolva software ou produza dispositivos contendo software, e não apenas empresas de segurança de informações: “Existem empresas especializadas em adquirir informações sobre bugs e vulnerabilidades, para venda às grandes corporações de defesa, tecnologia e finanças, o que é um bom começo. Infelizmente, poucas empresas oferecem esses programas internos de recompensas”.

 

Até pesquisadores de governos podem localizar essas vulnerabilidades, mas eles podem explorá-las para fins de espionagem e portanto não têm motivação para vender suas descobertas: “Os pesquisadores em geral podem ganhar dinheiro com recompensas dos programas de bug bounty, mas quando isso não acontece podem tentar vendê-las ao ‘lado negro’ para ganhar dinheiro. Por isso, esperamos que cada vez mais empresas adotem programas de recompensas, especialmente as mais novas, que lidam com dispositivos da Internet das Coisas, e não esperem para adotar a iniciativa só depois de um grande incidente de segurança”, alerta o diretor da Avast.

 

No entanto, até hackers podem se aproximar de uma empresa para vender informações sobre vulnerabilidades potencialmente capazes de causar danos a ela e aos seus clientes: “Num caso desses pode ser uma boa ideia pagar os hackers e resolver o problema. Mas pagar os Shadow Brokers por dados roubados na minha opinião não é uma boa ideia, já que, de certa forma, isso irá validar e recompensar o que eles fizeram”, finaliza Michal Salat.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

Toyota Brasil apura possível vazamento de documentos internos

Desde o último fim de semana, grupos de threat intel presentes na Dark Web apontaram que a gangue de ransomware...
Security Report | Destaques

Soft skills são próximos passos na evolução da confiança em Cyber, avaliam CISOs

Pesquisa da consultoria Kroll aponta que os gestores corporativos confiam integralmente nas pessoas de Segurança para responder aos riscos Cibernéticos....
Security Report | Destaques

Insegurança cibernética e IA são destaques do Security Leaders em BH

O Congresso será realizado no dia 23 deste mês com discussões pautadas na imaturidade em Cyber Security e o quanto...
Security Report | Destaques

Polícia Civil do DF prende suspeitos de roubar 76 milhões de senhas pessoais e governamentais

De acordo com a corporação, os hackers chegaram a incluir todas as credenciais comprometidas em um banco de dados, visando...