Conforme análises detalhadas da Unit 42, em janeiro de 2017, o Exploit Kit (também conhecidos pela sigla EK – programas maliciosos usados para identificar vulnerabilidades em softwares) denominado “Rig” estava no seu auge. Porém, em abril do mesmo ano, a equipe de pesquisa da Palo Alto Networks constatou uma forte queda no seu uso, como podemos ver no gráfico abaixo:
Inicialmente, os pesquisadores da Unit 42 observaram esta tendência na pesquisa “Declínio no Rig Exploit Kit” de junho de 2017. Agora, uma nova pesquisa, “Rig EK um ano depois: de Ransomware para Minerador de Moedas e Roubo de Informações”, aponta que o declínio de abril de 2017 não foi uma anomalia, mas sim o começo de uma mudança do Rig EK e outros exploit kits como os conhecíamos.
Existem muitas razões prováveis para isso. No entanto, como o pesquisador da Unit 42, Brad Duncan, observou em junho de 2017 e janeiro de 2018, as razões prováveis para o declínio do Rig EK incluem uma queda no uso do navegador alvo, falta de novas vulnerabilidades, esforços para combater o domain shadowing (técnica que rouba credenciais de domínios legítimos para fins criminosos), prisão de cibercriminosos e o trabalho contínuo dos desenvolvedores para aprimorar os navegadores.
Mas, além deste cenário, o aumento súbito de mineradores de criptomoeda (que são cada vez mais valorizadas) entrou na trama do cibercrime. O Rig EK está caindo, mas ainda não está completamente fora do jogo. Os pesquisadores observaram que os resquícios do exploit kit migraram da distribuição de ransomware, para o roubo de informações e mineradores de criptomoeda.
A mudança para roubo de informações não é nova. Em muitos aspectos, isso é uma tendência para exploit kits em geral. Eles estavam em uso antes do aumento de ransomware – a partir de 2013 – e na distribuição de Information Stealers (roubo de informação) e trojans bancários nos primeiros dias.
Mas a adoção de mineração é uma coisa nova para Rig e EKs. Dadas as tendências que já vimos, com a súbita onda de táticas e técnicas de coinmining, isso não é surpreendente. Como mostrado abaixo, o volume de mineração aumenta quase 2.800% em um ano.
Os criminosos por trás do Rig e outros EKs sempre foram focados em maximizar o retorno financeiro sobre seu investimento nas ferramentas. E assim, podemos olhar para essa mudança de Ransomware de volta ao roubo de dados e no futuro para mineração de criptomoeda como um possível sinal de que a era do sequestro de arquivos está passando.
Não podemos afirmar porque essa mudança está acontecendo. Poderia haver uma alteração de Ransomware devido a um declínio no retorno do investimento porque as pessoas não querem mais pagar resgates depois do WannaCry/ WanaCrypt0r e Petya/NotPetya. Ou pode haver um efeito na rede de trabalho e os atacantes estão se concentrando em criptomoedas e mantendo a distância de ransomware porque outros estão fazendo o mesmo.
Seja qual for o motivo, as últimas tendências de declínio no Rig EK nos dão alguns indicadores do cenário global de futuras ameaças. O primeiro é que o ransomware está finalmente a caminho do fim e o segundo, é que a mineração de criptomoedas está assumindo seu papel como foco principal para os cibercriminosos e, portanto, é a ameaça para a qual devemos dar foco e maiores esforços de prevenção.