A Trend Microlançou seu estudo The Internet of Things in the Cybercrime Underground, que analisou discussões relacionadas à IoT em diversas comunidades de cibercrime. Foram encontradas discussões que vão desde tutoriais até esquemas de monetização para ataques relacionados à IoT. Dispositivos expostos e vulnerabilidades eram de grande interesse para essas comunidades, que buscavam possíveis oportunidades de ataque.
A partir do estudo, que contou com a participação de Fernando Mercês, pesquisador da companhia, a Trend Micro traçou uma visão geral do que os cibercriminosos veem como aberturas perfeitas para ataques em tecnologias IoT. Foram identificadas cinco comunidades underground de cibercrime baseadas na linguagem usada nos fóruns. Começando com o grupo com a maior atividade e as discussões mais sofisticadas, estão o russo, português, inglês, árabe e espanhol.
Grupo português
A segunda comunidade mais ativa foi a portuguesa. O destaque das descobertas sobre ela inclui uma discussão sobre um serviço criminoso que se aproveita de infecções de roteador, que eles chamam de “KL DNS”. É um serviço de redirecionamento que permite que os atacantes roubem diversas informações, incluindo as bancárias. O que é interessante sobre esse serviço é que ele poderia estar monetizando uma infecção em massa de roteadores anterior, que aconteceu no Brasil em 2018 e explorou uma vulnerabilidade em roteadores MikroTik. Os ciberatacantes podem estar à procura de oportunidades para lançar ataques da mesma magnitude.
Grupo russo
A comunidade russa possui as discussões mais dinâmicas relacionadas a ataques IoT. Nela, os cibercriminosos frequentemente postam anúncios para serviços ou informações pelas quais eles estão dispostos a pagar – sendo vulnerabilidades uma delas. A monetização é o foco nessa comunidade e posts sobre dispositivos menos comuns mostram que há a exploração de novas oportunidades. Medidores inteligentes e bombas de gás foram mencionados, por exemplo, mas só foram oferecidas versões físicas modificadas.
Grupo inglês
Já a rede cibercriminosa inglesa está cheia de tutoriais para explorar vulnerabilidades. Há, por exemplo, fóruns de discussão sobre como explorar uma vulnerabilidade em certos roteadores Netgear que podiam expor credenciais de senha. Além dos tutoriais, a comunidade inglesa também continha códigos de exploit e mostrou interesse especial em explorar impressoras conectadas. Isso se deve provavelmente à forte presença em ambientes industriais e corporativos, o que as torna pontos de entrada potenciais.
Outro interesse dos cibercriminosos que frequentam a comunidade inglesa são as ferramentas de descoberta. A maioria das menções foi de ferramentas para roteadores, mas um post falava sobre o “aztarna”, uma ferramenta de descoberta automatizada para robôs industriais.
Grupo árabe
A comunidade árabe, em comparação com as outras, era muito menos agressiva. Porém, os cibercriminosos neste fórum mostraram interesse em vulnerabilidades IoT, compartilhando notícias sobre descobertas recentes.
Grupo espanhol
Por fim, a comunidade espanhola se interessava por métodos para encontrar dispositivos desprotegidos ou não autenticados que podem ser pontos de entrada para novos ataques. Um exemplo disso é uma discussão sobre como usar o Google Dorks para encontrar frigoríficos industriais desprotegidos.
Essa comunidade até mesmo produziu um software que supostamente poderia encontrar dispositivos específicos usando pesquisas Shodan. Essa ferramenta se chama “Simple Active Bot” e seu vendedor afirma que ela pode permitir acesso remoto aos dispositivos que ela encontra. Considerando que não é possível testar desse tipo de software, isso pode ser um golpe. O vendedor também estava oferecendo a ferramenta nos fóruns ingleses.
As descobertas do estudo mostram que os cibercriminosos de diferentes comunidades estão no processo de refinar seus ataques contra dispositivos IoT. Embora esquemas de monetização para ataques relacionados à IoT ainda não estejam em vigor para muitas das comunidades do cibercrime, o interesse encontrado aponta para essa direção. Basta uma abertura oportuna e um modelo empresarial rentável para que um grande ataque IoT ocorra.
O fato de que os cibercriminosos andam à procura de oportunidades relacionadas com IoT, desde novos dispositivos a vulnerabilidades, deixa claro que medidas de segurança fortes devem começar na fase de concepção e continuar na fase de implantação dos dispositivos. A gestão da vulnerabilidade para diferentes dispositivos IoT desempenha um papel crucial na minimização de aberturas de ataque.
Para os usuários e integradores, a visibilidade é a chave para obter o controle adequado sobre os muitos dispositivos que eles implantaram em seus respectivos ambientes IoT. Além disso, uma boa postura de segurança implica prudência na decisão sobre quais os dispositivos que devem ser ligados à internet pública e na sua adequada segurança. Neste caso, existem soluções de cibersegurança que proporcionam melhor visibilidade, bem como oferecem uma defesa mais forte contra possíveis ameaças.
Clique aqui para baixar a pesquisa completa.