A Trend Micro produziu estudo que mostra como criminosos cibernéticos agem no submundo da internet para promover atos ilícitos e lucrar com essas atividades. A pesquisa mostra que tanto servidores locais (on-premise) como os baseados em nuvem são comprometidos, utilizados e até mesmo alugados como parte de um sofisticado esquema de monetização criminosa em ambiente digital.
O estudo alerta para a realidade de que os cibercriminosos podem tentar explorar vulnerabilidades em software de servidores, usar ataques de “força bruta” para comprometer credenciais ou roubar logins e introduzir arquivos maliciosos (malwares) por meio de ataques de phishing. Os criminosos podem até ter como alvo software de gerenciamento de infraestrutura (chaves de API em nuvem), o que lhes permite inserir novas instâncias de máquinas virtuais ou fornecer recursos. O estudo mostra que, uma vez comprometidos, esses ativos em nuvem podem ser vendidos em fóruns clandestinos, mercados dedicados e até mesmo redes sociais para uso em várias formas de ataque.
Além disso, o relatório joga luz sobre tendências emergentes negociadas no submundo virtual, tais como abuso de serviços de telefonia, infraestrutura de satélite e computação “parasita” para aluguel, incluindo RDP (protocolo multicanal que permite que um usuário se conecte a um computador rodando sistema Microsoft) e VNC (sistema de compartilhamento gráfico para controlar remotamente outro computador) ocultos.
Essas atividades são realizadas globalmente, e o Brasil não fica de fora do alvo desses criminosos. A Trend Micro identificou cibercriminosos comercializando servidores dedicados brasileiros comprometidos com acesso via RDP com a garantia de que a máquina funcionará por 24 horas a partir o momento da venda. “Nossa equipe de pesquisa também detectou postagem de usuários com a intenção de comprar máquinas de países específicos para que pudessem executar ataques de ransomware nelas. A lista de países inclui o Brasil”, afirma Flávio Silva, coordenador e especialista em Segurança da Informação da Trend Micro.
O levantamento – que faz parte de uma série de estudos realizados pela Trend Micro para demonstrar essas atividades criminosas – revela como funciona o mercado de hospedagem clandestina. Os resultados mostram que a atividade de mineração de criptomoedas deve ser o principal parâmetro de indicação para alerta máximo das equipes de segurança em tecnologia da informação.
O estudo revela que, embora a mineração de criptomoedas possa não causar interrupções ou perdas financeiras por si só, o software empregado geralmente é introduzido para monetizar servidores comprometidos que estão ociosos enquanto os criminosos planejam esquemas maiores de geração de dinheiro. Isso inclui a extração de dados valiosos, a venda de acesso ao servidor para abuso adicional ou a preparação para um ataque de ransomware direcionado. Quaisquer servidores que contenham criptomineradores devem ser sinalizados para correção e investigação imediata, reforçam os pesquisadores da Trend Micro.
O relatório lista os principais serviços de hospedagem clandestina disponíveis atualmente, e fornece detalhes técnicos de funcionamento e de como os criminosos os utilizam para administrar seus negócios. A pesquisa mostra que os servidores em nuvem estão particularmente expostos ao comprometimento e ao uso de sua infraestrutura de hospedagem no submundo virtual, pois podem não ter a proteção de seus equivalentes on-premise.
Os cibercriminosos hospedam sites considerados regulares. Mas essas páginas de internet podem ser fóruns clandestinos e plataformas de compras on-line em que os cibercriminosos vendem ativos e serviços digitais, como credenciais, cartões de crédito inutilizados, acesso a sistemas comprometidos, redes privadas virtuais (VPNs), sistemas privados virtuais (VPSs) e hospedagem “à prova de balas” (BPH, na sigla em inglês). Pesquisadores da Trend Micro identificaram cartões de crédito de origem brasileira e digitalizações de passaportes entre alguns dos itens mais vendidos nesse submundo do crime virtual.
“Com servidores de hospedagem blindados e serviços que fornecem anonimato, além comprometimento de domínios e outros endereços de web ativos, o submundo do crime cibernético oferece uma gama sofisticada de ofertas de infraestrutura para garantir operações ilícitas que geram monetização a partir da oferta dessas atividades”, avalia Silva. Segundo ele, objetivo do estudo é aumentar a conscientização e a compreensão da forma como os cibercriminosos atuam para ajudar autoridades, empresas e outros pesquisadores a impedir que o submundo do crime cibernético continue a atuar.
