A Trend Micro apresentou estudo que aponta as principais formas de identificar e interromper as operações do mercado criminoso de hospedagem clandestina. No relatório, que conclui uma série de três documentos elaborados pela companhia sobre o assunto, os pesquisadores descrevem as abordagens de negócios dos atacantes para ajudar as equipes de segurança das empresas e de órgãos policiais e governamentais a reconhecê-los, armar a defesa contra eles e interrompê-los.
Segundo o relatório, compreender as operações criminosas, as motivações e os modelos de negócio é primordial para desmantelar a indústria de provedores de hospedagem à prova de balas (BPHS, na sigla em inglês), ambiente no qual a maior parte do cibercrime mundial é construída.
De acordo com Robert McArdle, diretor de pesquisa de ameaças futuras da Trend Micro, cada vez mais as organizações dispõem de recursos de Centro de Operações de Segurança (SOC) e de Detecção e Resposta (XDR) — isso significa que as equipes de segurança das empresas também passaram a ter papel de investigação e denúncia. “Nesse nível de sofisticação de segurança, é preciso entender como os criminosos operam para se defender estrategicamente contra invasores”, ressalta McArdle.
O relatório da Trend Micro destacou que os BPHs são a raiz da infraestrutura dos cibercriminosos, que usam um modelo de negócios sofisticado para sobreviver aos esforços de remoção. Isso inclui flexibilidade, profissionalismo e oferta de uma variedade de serviços para atender a uma ampla gama de necessidades do cliente. O documento detalha ainda vários métodos eficazes para ajudar os investigadores a identificar esses serviços de hospedagem do submundo da internet, que incluem:
• Como identificar quais intervalos de IP estão em listas públicas de negação de bloqueio ou aqueles associados a um grande número de solicitações públicas de abuso, pois podem ser indicativos de BPH;
• Como analisar o comportamento de sistema autônomo e os padrões de informações de serviços pares para sinalizar a atividade que provavelmente está associada ao BPH;
• A partir do momento em que uma hospedagem BPH for detectada, como utilizar a impressão digital da máquina para identificar outros que podem estar vinculados ao mesmo provedor.
O relatório também lista métodos para que as autoridades e as empresas possam se basear para interromper negócios de hospedagem clandestina, sem necessariamente precisar identificar ou remover seus servidores. Esses incluem:
• Envio de solicitações de abuso devidamente documentadas ao provedor de hospedagem clandestina suspeito e aos seus pares;
