A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, alerta que não são apenas ferramentas e ameaças de hacking ou de armas, drogas e informações pessoais e credenciais de login roubadas que são negociadas no lado obscuro da Internet. Também é na Darknet que diversos insiders e grupos de hackers continuamente oferecem seus serviços, enquanto cibercriminosos buscam colaboradores para ajudá-los a atacar organizações de dentro dela.
A Darknet é atraente para os cibercriminosos devido ao seu anonimato quase perfeito, tornando-a um espaço ideal para encontrar colaboradores e oferecer oportunidades de emprego ilegal. Muitas ofertas são direcionadas a pessoas internas às organizações, com conhecimento e acesso a sistemas confidenciais que podem ajudar os cibercriminosos a penetrar em redes protegidas. Embora seja possível imaginar que, com o avanço das ferramentas cibernéticas, as atividades internas diminuiriam, os pesquisadores observam que nos últimos dois anos elas continuam a prosperar na Darknet.
Ofertas de emprego na Darknet
“Os cibercriminosos frequentemente utilizam fóruns e marketplaces especializados na Darknet para divulgar ofertas de emprego. Essas ofertas podem atrair usuários com conhecimento em tecnologia desencantados com o mercado de trabalho tradicional ou dispostos a ultrapassar limites legais em busca de recompensa financeira”, informa Sergey Shykevich, gerente do Grupo de Inteligência de Ameaças da Check Point Research (CPR).
“As propostas podem variar desde invasões e roubo de dados até a implantação de malware e campanhas de ransomware. Grupos de hackers esperam que insiders forneçam acesso a sistemas-alvo, auxiliem na superação de medidas de segurança e ofereçam informações úteis para um ataque bem-sucedido. Ou até mesmo tentem sabotagem física”, alerta Shykevich.
Encontrando informações privilegiadas
Os insiders são valiosos para os cibercriminosos porque têm acesso a informações críticas e podem enfraquecer as medidas de segurança internamente. Os cibercriminosos frequentemente oferecem recompensas financeiras elevadas pela cooperação e podem até fornecer treinamento especializado para maximizar os danos. Por exemplo, ensinando como instalar malware ou sabotar os sistemas de segurança dos empregadores de alguma forma. Existem dezenas de anúncios semelhantes na Darknet. Muitas vezes, esses são anúncios provenientes da Rússia ou da Comunidade dos Estados Independentes (CEI).
Contratar um insider é caro e perigoso, e é por isso que, nesses casos, os cibercriminosos têm como alvo indústrias lucrativas e grandes empresas. Por exemplo, os setores financeiro, de telecomunicações ou de tecnologia são alvos populares.
Mas não são apenas os cibercriminosos que procuram colaboradores na Darknet; os insiders também oferecem os seus serviços de forma proativa. Por exemplo, um funcionário de uma importante operadora móvel na Rússia ofereceu troca de cartão SIM e outros serviços ilegais. Existem muitos anúncios semelhantes também para as operadoras de telecomunicações dos Estados Unidos.
As ofertas de serviços internos do setor financeiro e do mundo das criptomoedas também são populares, e o setor de tecnologia tem enfrentado tradicionalmente a ameaça dos insiders. Nenhum setor está isento de riscos.
Existem organizações de crimes cibernéticos na Rússia e na Europa Oriental que monitoram redes internas em várias organizações. Mas algumas delas também oferecem seus próprios funcionários que prestam serviços ilegais ou duvidosos em outros países. Um desses insiders é um hacker com o apelido de Videntis.
O Videntis possui um catálogo de mais de 11 páginas que oferecem serviços internos. Alguns dos serviços são muito comuns, como encontrar um número de celular por ₽ 2.500 (₽ é o símbolo para a moeda rublos) em 48 horas, listar todas as chamadas e SMS em 72 horas por ₽ 25.000 ou encaminhar todas as chamadas de um número específico por ₽ 19.000.
Outros serviços envolvem bancos russos específicos. Por ₽ 8.000 é possível descobrir uma palavra secreta em 72 horas ou obter um extrato de qualquer conta por ₽ 9.000. Por US$ 900, um hacker promete usar seus contatos para bloquear o WhatsApp de qualquer usuário, bloquear um cartão SIM com qualquer operadora ou, por US$ 850, bloquear qualquer conta pessoal do Instagram ou TikTok dentro de sete a 30 dias. Alguns serviços são mais versáteis, como a confirmação de vacinação no exterior ou a criação de documentos de saúde para viagens.
Um negócio lucrativo para ambas as partes
Para os insiders, trabalhar com cibercriminosos é uma atividade de alto risco; eles podem enfrentar processos criminais e perda de reputação profissional. E há recompensas correspondentes. Embora para alguns a principal motivação possa ser a vingança.
A recompensa pode ser na forma de pagamento direto ou de uma parte dos lucros provenientes dos dados roubados. Em alguns casos, as recompensas podem depender do sucesso do ataque ou da quantidade de dados recuperados.
O infame grupo de hackers Lapsus$, por exemplo, procurou alguém de dentro das empresas de telecomunicações e ofereceu recompensa e baixo risco tanto para o insider quanto para os hackers. Outro grupo, por sua vez, ofereceu entre US$ 2 mil e US$ 5 mil aos funcionários que tivessem acesso a motoristas em vários serviços de entrega de alimentos.
Mas montantes mais elevados, como até US$ 100 mil para pessoas de dentro de empresas de tecnologia, não são exceção. O impacto dos ataques envolvendo pessoas internas pode ser devastador. Conforme revela o Relatório Global de Custo das Ameaças Internas de 2022 do Ponemon Institute, os incidentes de ameaças internas aumentaram 44% nos últimos dois anos, com os custos por incidente associado à atividade interna aumentando mais de um terço, chegando a US$ 15,38 milhões.
| Clique Para Download |
Os insiders podem ser funcionários, fornecedores ou funcionários de empresas parceiras. Além disso, os seus motivos podem variar desde ganhos financeiros a vingança e até razões políticas ou ideológicas.
A colaboração entre cibercriminosos e pessoas internas na Darknet representa uma séria ameaça à segurança e infraestrutura dos dados das empresas. Este fenômeno exige a máxima atenção e uma abordagem proativa de cibersegurança, incluindo formação dos colaboradores, implementação de políticas de segurança adequadas, detecção de comportamentos suspeitos, monitoração de todo o ambiente e auditorias regulares. É importante compreender que a prevenção é fundamental na luta contra o crime cibernético.
