A Trend Micro acaba de lançar o whitepaper “Digital Souks: A Glimpse to the Middle Eastern and North African Underground“, detalhando atividades criminosas no mercado digital clandestino do Oriente Médio e do Norte da África. Nesta pesquisa a Trend Micro delineou o mundo clandestino do MENA (Middle East North Africa) incluindo mercados, sites e fóruns hospedados nas regiões.
São também explorados os diferenciais deste mercado: enquanto um keylogger no mercado clandestino da América do Norte é vendido de US$ 1 a US$ 4, a mesma oferta no mercado underground do Oriente Médio e Norte da África sai por US$ 19. Além disso, a predisposição de membros dos fóruns clandestinos em compartilhar conteúdo com um objetivo comum equilibra as diferenças de preços.
Outro ponto notável foi a prevalência no fornecimento de serviços e malware oferecidos gratuitamente.
Cultura e cibercrime se encontram
O mercado underground do Oriente Médio e Norte da África são notavelmente reconhecidos por serem um local em que a ideologia cultural e religião refletem em como o cibercrime é praticado. Isso se traduz em uma mentalidade de “espírito de compartilhamento” e aliança religiosa que transcende as transações ilícitas que ocorrem.
“Ainda um mercado de propagação, a região não está atualizada em termos de dimensão e alcance quando comparada com outras regiões, mas os produtos e serviços disponíveis são comuns e sofisticados”, disse Ihab Moawad, vice-presidente da Trend Micro, Mediterrâneo, Oriente Médio & África. “Agora contamos com uma melhor visibilidade da região, o que nos permite coletar e analisar a inteligência de ameaças para que possamos ajudar a região e fortalecer suas defesas cibernéticas. A Trend Micro continuará a monitorar os mercados regionais para capacitar nosso ecossistema proativamente e oferecer mais clareza às agências policiais, em âmbito regional e global”, finaliza Moawad.
Hacking como serviço
O hacking como um serviço é uma oferta exclusiva do mercado clandestino do MENA (Middle East North Africa) devido à ideologia que impulsiona seu comércio. Em outros mercados, por exemplo, como na Rússia, os fornecedores se concentram individualmente na venda de suas mercadorias e os participantes do fórum não se unem para planejar ataques cibernéticos.
O Hacktivismo, ataques DDoS (negação de serviço) e desfigurações de sites são comuns nesta região. Essas táticas são muitas vezes usadas por membros que desconfiam ideologicamente de países ocidentais, bem como de governos locais.
Cashout, hacktivismo e IDs roubadas
A região tem um lucro significativo com a venda de espaços de hospedagem regionalizados, que permitem configurar o idioma e o horário locais, além de velocidades de conexão mais rápidas. Uma única conexão IP e 50 GB de espaço no disco rígido, por exemplo, são vendidos por US$ 50. Há planos mais baratos, a partir de apenas US$ 3 dólares. Até certo ponto, o preço está alinhado com outros mercados clandestinos, como o da China.
Os serviços de cashout (que consiste no roubo de informações relacionadas a contas bancárias) são também abundantes. É a partir dessas plataformas que itens físicos, geralmente roubados, são convertidos em dinheiro. Esses serviços são pagos com cartões bancários, Bitcoins (BTC) ou através de transações diretas em dinheiro.
Um aspecto exclusivo dos serviços de cashout aqui é como eles são usados para ignorar os mecanismos de segurança e os requisitos legais na região, como os que estão em vigor para a compra de celulares e cartões SIM descartáveis. No mercado clandestino de MENA, os serviços de DDoS podem ser comprados por hacktivistas e criminosos para promover sua ideologia.
O malware como um serviço (MaaS) geralmente inclui um fornecedor, um desenvolvedor de malware que vende um único binário ou uma combinação de um binário e um construtor comercializado como totalmente indetectável (FUD). Os preços médios são de US$ 20 dólares por um binário e de US$ 30 a US$ 110 dólares por um binário com infraestrutura de C&C.
Identidades roubadas são vendidas em fóruns em toda a região. O fórum árabe hack-int no Egito vende identidades roubadas por US$ 18 dólares. A demanda por documentos de identificação pessoal é influenciada pelas tensões geopolíticas – seus compradores querem fugir das zonas de guerra ativas, por exemplo, usando estes documentos para migrar para outros países como refugiados. Por outro lado, os cibercriminosos também podem comprar documentos falsos para executar fraudes de seguros ou provar o status de residente.
Uma implicação assustadora do mundo real é de uma pessoa perigosa comprar esses documentos falsos e ir para outros países se passando por refugiado.
Além disso, as Virtual Private Networks (VPNs) são alicerces da atividade cibernética e podem ser compradas devido ao anonimato que fornecem. As VPN oferecidas aqui são supostamente seguras e não armazenam registros. Os cibercriminosos normalmente usam esses servidores como parte de uma botnet ou uma plataforma jump-off para novos ataques.
Segundo a Trend Micro, o árabe é a língua predominante, embora alguns sites estejam em turco, farsi, inglês e ocasionalmente francês. Apesar dos criminosos venderem commodities para o Oriente Médio e o Norte da África, eles também operam globalmente.
