Meio milhão de downloads em malwares para Android

Esta semana o pesquisador de malware Lukas Stefanko, da ESET, identificou 13 aplicativos para dispositivos móveis sem funcionalidade legítima no Google Play que, combinados, foram baixados mais de meio milhão de vezes. Eles já foram denunciados e não estão mais disponíveis na loja de aplicativos Android.

Passando-se por jogos, esses falsos aplicativos removem seus ícones da tela imediatamente após a instalação e começam a baixar de forma oculta outro aplicativo em segundo plano – identificado como Game Center – a partir de um endereço codificado. O próprio usuário acabava aprovando a sua instalação desconhecendo que o objetivo final era ganhar dinheiro exibindo anúncios não solicitados a partir do desbloqueio do dispositivo.

O chamado reempacotamento de aplicativos está em alta já há algum tempo. No início deste ano, foi relatado que aplicativos estavam sendo sequestrados para instalar mineradores de criptomoedas. “Vimos um declínio nesses ataques quando os governos começaram a lidar com o processo de conversão de criptomoedas e tornaram mais difícil os saques feitos por pessoas anônimas. No entanto, esses ataques de reempacotamento não pararam, ficaram mais sofisticados e voltaram a se concentrar em outros dados valiosos que podem ser convertidos em dinheiro com a mesma rapidez. Novos ataques de reempacotamento transformam aplicativos comuns ou simples em aplicativos nefastos de entrega de carga útil”, explica Will LaSala, diretor de soluções de segurança e evangelista em segurança da OneSpan.

Eles permitem que hackers instalem outros malwares nos telefones das vítimas sem o conhecimento delas, muitas vezes combinando ataques de sobreposição de tela. Tais aplicativos de malware concentram-se na coleta de credenciais e na injeção de bibliotecas que podem fazer com que os aplicativos entreguem informações confidenciais diretamente nas mãos dos criminosos.

Além da detecção de root e jailbreak, aplicativos em iOS e Android devem proteger-se com uma tecnologia capaz de identificar e impedir ativamente o reempacotamento. “Esse é um ataque avançado e nem todas as soluções podem impedi-lo sem que o app precise passar por grandes reformulações. É importante para o desenvolvedor procurar por uma tecnologia de proteção de aplicativos que facilite a incorporação de segurança para dispositivos móveis sem muito esforço”, conclui Will LaSala.

Site da Umbro é hackeado e tem ‘briga’ de scripts

Conforme o alerta das empresas RiskIQ e Flashpoint na semana passada, o esquema Magecart está mesmo atacando no Brasil: hoje o pesquisador Jerome Segura, da Malwarebytes, revelou que o site da Umbro Brasil está contaminado com dois scripts da família Magecart. E o pior: os dois estão disputando espaço. Isso significa em primeiro lugar que o site já foi hackeado duas vezes e que isso pode acontecer outras vezes. Quem quiser comprovar pode digitar a URL www.umbro.com.br no site check da Sucuri (https://sitecheck.sucuri.net) e verificar a contaminação.

O pesquisador alerta que a contaminação permite aos invasores surrupiar dados pessoais e números de cartões durante as transações online. Como o esquema é lucrativo, porque arrecada dados preciosos para venda na Dark Net, os cibercriminosos já disputam até mesmo os sites já invadidos. Esse é o caso do site da Umbro Brasil, que já tem dois scripts em ação. Há um deles que ao verificar a presença de outro script guarda o número do cartão de crédito inserido pela vítima e altera esse número na entrada de dados utilizada pelo outro script. Em outras palavras, um frauda o outro dentro do mesmo site, segundo Jerome Segura. 

Ao se acessar o site, são carregados dois scripts: bootstrap-js[.]com e g-statistic[.]com. O segundo é que faz a sabotagem, alterando o último algarismo do cartão capturado pelo primeiro.

Pelos dados do site check da Sucuri pode-se ver que o site da Umbro Brasil utuiliza a plataforma de publicação Magento, que sofre constantes ataques sobre suas vulnerabilidades.

Magecart rouba cartões em 100 mil e-commerces (inclusive aqui)

Segundo zero day no Windows em um mês

Em apenas um mês, a Kaspersky Lab detectou, em ciberataques no Oriente Médio, uma segunda exploração de vulnerabilidade desconhecida (zero-day) do Windows. Depois de ser reportada pela Kaspersky Lab, a vulnerabilidade foi corrigida pela Microsoft no dia 13 de novembro. Ataques que usam zero days são considerados extremamente perigosos, pois exploram vulnerabilidades desconhecidas (e consequentemente ainda não corrigidas). Isso dificulta sua detecção e prevenção.

Quando um zero day é descoberto por criminosos, essa vulnerabilidade pode ser usada na criação de exploits – programas maliciosos que usam a vulverabilidade para acessar todo o sistema. Este tipo de “ameaça oculta” é amplamente utilizado por grupos especializados em ataques APT (advanced persistent threats) sofisticados.

Nesse caso do Oriente Médio, embora o método de distribuição ainda seja desconhecido, a análise da Kaspersky Lab descobriu que o exploit utilizando o zero-day é executado no primeiro estágio de instalação do malware, com o objetivo de conseguir os privilégios necessários para se manter no sistema da vítima. O golpe funciona apenas na versão 32-bits do Windows 7.

De acordo com os especialistas da empresa, não é possível determinar qual grupo hacker descobriu a vulnerabilidade, já que o exploit que opera sobre essa vulnerabilidade está sendo usado em ataques APT de vários grupos.

Após a descoberta, a Kaspersky Lab notificou a Microsoft. Poucas semanas antes, no início de outubro, outro exploit explorando uma vulnerabilidade zero day havia sido descoberto. Ele infectava as vítimas por meio de um backdoor no PowerShell do Microsoft Windows. A Kaspersky Lab identificou a ameaça e também notificou a Microsoft.

Em um mês, descobrimos duas novas vulnerabilidades de dia zero e diversos ataques mirando uma mesma região. A discrição dos cibercriminosos nos faz lembrar que é extremamente importante contar com ferramentas e soluções inteligentes que consigam proteger as empresas contras ameaças sofisticadas como estas. Caso contrário, elas podem se tornar vítimas de ataques direcionados”, afirma Anton Ivanov, especialista em segurança da Kaspersky Lab.

As encrencas do ano que vem

A empresa Forcepoint fez para 2019 previsões em sete temas relevantes: Inteligência Artificial, disrupção em IoT industrial, falsificação, problemas legais, uma nova guerra fria, computação de borda e cibercultura. Numa entrevista exclusiva ao Ciso Advisor, William Rodrigues, Sales Engineer da Forcepoint, detalhou alguns aspectos dessas previsões.

Proposição do relatório da Forcepoint: As promessas em torno de Machine Learning e da Inteligência Artificial encantam os profissionais de marketing e a mídia. Se a IA trata da reprodução da cognição, a cibersegurança na IA realmente faz sentido? Como os atacantes capitalizarão em torno da redução das verbas destinadas à IA?

Pergunta: O cibercrime também já utiliza Inteligência Artificial. Eles têm acesso a ferramentas, plataformas e todos os outros recursos em open source e as-a-service. Como você acha que a indústria pode estar sempre um passo à frente ao menos em IA?

R-> A principal aposta na detecção de novos ataques e ameaças é a análise comportamental. Através da análise comportamental será possível identificar padrões de comportamento corretos e, a partir desses padrões, identificar anomalias. Toda e qualquer anomalia comportamental provavelmente dará indícios de ações maliciosas. Dessa forma poderemos obter uma efetividade maior contra ataques avançados e possíveis variações.

Proposição do relatório da Forcepoint: A disrupção da IoT industrial em escala. Os ataques à IoT de produtos de consumo prevalecem, mas a possibilidade de disrupção em setores de manufatura e similares torna a ameaça ainda mais séria. Meltdown e Spectre deram aos invasores uma forma de atuar nas vulnerabilidades de hardware — agora a infraestrutura de nuvem pode ser o próximo alvo.

Pergunta: Como você poderia descrever a disrupção de infraestruturas de nuvem e suas consequências mais imediatas? E como a indústra em geral – e a Forcepoint em particular – respondem a esse risco?

R-> As consequências mais imediatas para possíveis ataques a estruturas de IoT industriais seriam alterações de equipamentos de controle industriais e, possivelmente, o corrompimento de linhas de produção. No entanto, essas são algumas possibilidades em meio a muitas outras. A Forcepoint criou uma unidade dedicada à infraestruturas críticas, a Forcepoint Critical Infrastructure, já prevendo o crescimento de ameaças nesses setores, que visa desenvolver soluções e inteligência para endereçar essas demandas.

Proposição do relatório da Forcepoint: Uma reflexão sobre falsificação. À medida que os ataques de phishing persistem, os “SIM swaps” prejudicam a eficácia da autenticação de dois fatores (2FA). A biometria oferece segurança adicional usando dados exclusivos para cada usuário final, mas novas vulnerabilidades no software de reconhecimento facial levam os especialistas a apostarem na biometria comportamental.

Pergunta: você pessoalmente não acha que a biometria comportamental também falhará?

R-> A biometria comportamental é uma evolução na área da autenticação que com certeza vai reduzir as vulnerabilidades e fraudes de identidades. No entanto, assim como qualquer tecnologia, será passível de uma curva de evolução. À medida que os analíticos inteligentes de comportamento evoluírem, essas técnicas ficarão cada vez mais precisas.

Proposição do relatório da Forcepoint: As culturas de cibersegurança que não se adaptarem fracassarão. Nenhuma parceria acontece sem a devida diligência, o que até agora não considerava os programas de cibersegurança de um parceiro. A introdução das chamadas “classificações de confiança em segurança” indicarão aos potenciais parceiros o quão seguro é permitir que os fornecedores manipulem informações pessoais ou outros dados críticos. Qual será o papel da cultura da cibersegurança nestas classificações? Como elas afetarão as cadeias de suprimentos?

Pergunta: como você acha que o binômio cultura/classificações pode ajudar as empresas em geral, inclusive na seleção das parcerias?

R-> Na verdade, um tema dependente do outro. Através da criação de classificações de segurança é que vamos contribuir para uma cultura de segurança de informações melhor. A ideia dessas classificações é funcionar de forma similar como as agências internacionais de classificação de grau de investimento. Esse tipo de classificação ajudaria as empresas a fazer parcerias e negócios com órgãos que possuem notas de classificação de segurança mais altas, criando assim uma cultura de investimento em cibersegurança mais eficiente.

Como um roubo com e-Mail rendeu 19 milhões de Euros

Documentos da justiça holandesa indicam que a empresa francesa de cinema Pathé perdeu 19 milhões de euros na sua operação na Holanda – o equivalente a R$ 84 milhões. O golpe, no estilo ‘business e-mail compromise’, custou os empregos do diretor executivo e do diretor financeiro, e ainda não se sabe se algum dinheiro foi recuperado. O caso apareceu na mídia porque o diretor financeiro demitido, Edwin Slutter, processou a empresa e seu processo mostra em detalhes como os ladrões começaram a dar o golpe na Pathé Nederland no início deste ano.

Segundo o processo, o primeiro e-mail chegou em 8 de março e aparentemente havia sido enviado pelo presidente do grupo, um executivo que fica na França. A mensagem foi destinada à diretora da operação holandesa, Dertje Meijer.

Esse e-Mail perguntava se a consultoria KPMG (uma das maiores do mundo) havia entrado em contato com Meijer naquela manhã. Depois de discutir o assunto com o diretor financeiro Edwin Slutter, Meijer respondeu ao e-mail: “Não recebemos nada, nem uma ligação deles. Se você quiser que eu entre em contato com eles, você tem detalhes de contato?” O suposto presidente francês respondeu que a Pathé estava envolvida em uma aquisição em Dubai, e precisava que a filial da Holanda fizesse um pagamento confidencial de € 826.521. O dinheiro seria reembolsado no dia 26 do mesmo mês.

O “presidente” francês informou que a transação deveria permanecer “estritamente confidencial. Ninguém mais deve estar ciente disso por enquanto para nos dar uma vantagem sobre nossos concorrentes. Eu e mais ninguém notificarei as partes afetadas no devido tempo.” Depois de mais algumas trocas de correspondência, Meijer enviou a correspondência para Slutter, o diretor de finanças, com o comentário “estranho, você não acha?”. No dia 9 de março ela recebeu um novo e-mail, confirmando a aquisição e uma fatura cobrando o valor, que representaria 10% do preço de aquisição. O dinheiro deveria ser enviado à conta bancária operada pela Towering Stars General Trading LLC em Dubai.

Em 13 de março, foi pedido um segundo pagamento de € 2.479.563 para a mesma conta, seguido por um terceiro e quarto pagamentos. Em 27 de março, a Pathé Nederland havia pago um total de € 19.244.304. Ou 82,4 milhões de reais.

Em 28 de março, Meijer recebeu um e-mail final do falso presidente, prometendo pagar o dinheiro. Mas nesse mesmo dia começaram a surgir perguntas da sede da Pathé em Paris.

Ficou imediatamente claro que Meijer e Slutter haviam sido vítimas de fraude. Ambos foram suspensos. Meijer, que dirigia a autoridade portuária de Amsterdã, estava no cargo há menos de um ano. Slutter tinha anos de experiência como contador da KPMG. Investigadores externos trazidos pela Pathé disseram não encontrar provas de que Meijer ou Slutter estivessem envolvidos na fraude.

Magecart rouba cartões em 100 mil e-commerces (inclusive aqui)

O Magecart, um esquema de captura de cartões usado por sete grupos de cibercriminosos, já está implantado em pelo menos 100 mil endereços de e-Commerce no mundo inteiro – inclusive no Brasil. Essa é a conclusão de um estudo que acaba de ser publicado pelas empresas RiskIQ e Flashpoint. “Magecart é um termo abrangente dado a pelo menos sete grupos cibercriminosos que estão colocando skimmers de cartão de crédito em sites de e-commerce comprometidos, a uma taxa sem precedentes e com sucesso assustador”, afirma o relatório.

No ano passado, houve um aumento na implantação de código em sites, tal como aconteceu nos da British Airways, Newegg e Ticketmaster, por exemplo. Vários grupos de ataque compartilham esse esquema.”Magecart é simplesmente o termo que temos para ‘Webskimming de informações de pagamento'”, disse Yonathan Klijnsma, pesquisador de ameaças da RiskIQ.

A RiskIQ diferencia os grupos com base na infra-estrutura, skimmers e táticas de segmentação de cada um. “Os diferentes grupos não estão de forma alguma associados, além de serem concorrentes uns dos outros no campo do cartão de pagamento”, diz Klijnsma. Os ataques de Magecart são caracterizados por invasores que usam certos tipos de “skimmers digitais”, um código projetado para roubar informações utilizadas nas transações de comércio eletrônico. Até agora, a RiskIQ contou pelo menos sete grupos, mas pode haver mais.

Os pesquisadores dizem que seguraram algumas informações sobre os grupos e sobre suas vítimas por causa de investigações em andamento, da legislação ou da incapacidade de notificar algumas vítimas. Embora muitas tenham sido avisadas, a grande escala de ataques de Magecart torna difícil alcançar todas. “Por esse motivo, nos concentramos em pegar o Magecart em sua origem, derrubando sua infraestrutura com a ajuda do AbuseCH e ShadowServer”, diz o relatório, referindo-se a dois sites que trabalham para combater malware, botnets e fraudes online.

O relatório pode ser baixado em:

https://go.flashpoint-intel.com/docs/inside-magecart-by-Flashpoint-and-RiskIQ

Mais de 800 mil “armas” de DDoS na América Latina

A equipe de pesquisa de ameaças cibernéticas da A10 Networks identificou nos últimos três meses 804.744 “armas” de DDoS na América Latina em sua pesquisa sobre vulnerabilidades. São dispositivos em rede com vulnerabilidades, podendo ser utilizados em ataques com amplificação de DDoS e ataques via IoT, para atingir websites corporativos de qualquer lugar do mundo.

A pesquisa também apontou que o Brasil está entre as 10 regiões que mais recebem ataques, embora não seja um dos maiores produtores de ameaças. As outras localidades que compõem essa lista são Estados Unidos, França, China, Grã-Bretanha, Holanda, Arábia Saudita, Singapura, Hong Kong e Ásia-Pacífico.

Embora os ataques de DDoS não resultem em roubos de dados, eles são perigosos porque servem como arma de distração, abrindo brecha para ações de grandes proporções. “Um dos maiores exemplos disto foi o ataque feito a uma instituição financeira da Califórnia. O site da companhia ficou fora do ar por cerda de 24 horas e mais de US$900,000 foram roubados. Os hackers mantiveram os analistas de segurança ocupados com a invasão, mascarando assim o verdadeiro intuito deles”, conta Paul Nicholson, gerente de Marketing e Estratégia de Produtos da A10 Networks.

O estudo foi capaz de identificar também 74 tipos únicos de malware lançadores de DDoS e 174 variações de botnets conhecidas, entre elasMirai e Reaper. No mundo todo, o número de armas de DDoS frequentemente usadas, segundo o estudo, é de mais de 22 milhões. “Os ataques são imprevisíveis e cada vez mais complexos. A solução para mitigar estas ações está na adoção de uma proteção híbrida, inteligente e escalável para adaptar eficientemente as estratégias de mitigação nas mudanças de cenário de um ataque DDoS”, explica Nicholson.

A A10 possuí soluções avançadas para mitigar ataques DDoS. Usando contramedidas híbridas com serviço de scrubbing na nuvem (limpeza de tráfego), o Thunder TPS pode mitigar os ataques mais modernos que ultrapassam um Terabyte por segundo, desviando o trafego malicioso e mantendo os serviços on-premise.

[box type=”info” style=”rounded” border=”full”]A A10 Networks (NYSE: ATEN) é uma empresa de Serviços de Aplicações Seguras, que fornece um portfólio de soluções de aplicação de rede de alta performance que ajudam organizações a garantir que suas aplicações de data center e redes para mantê-las altamente disponíveis, aceleradas e seguras. Fundada em 2004, a A10 Networks está baseada em São José, Califórnia, e atende clientes globalmente. Para mais informações, visite: www.a10networks.com e @A10Networks.[/box]

Sites encontros: 29M de perfis à venda. Ou mais

Cerca de 29 milhões de perfis de usuários do Badoo, OKCupid, LavaLife, Spark, Cupid, SaucyDates e muitos outros estão sendo vendidos abertamente na Internet. São perto de 150 milhões de fotos, nomes de usuário, endereços de e-mail, nacionalidade, sexo, idade e informações pessoais detalhadas sobre todas as pessoas que criaram os perfis, como orientação sexual, interesses, profissão, características físicas completas e traços de personalidade.

Algumas fotos do lote adquirido

A revelação foi feita pelo projeto “The Dating Brokers: An autopsy of online love“, que acaba de ser publicada no site da Tactical Tech, uma organização sem fins lucrativos com sede em Berlim que trabalha na intersecção entre tecnologia, direitos humanos e liberdades civis. O projeto contou com a colaboração da artista espanhola Joana Moll. Em Maio do ano passado o projeto adquiriu da empresa USDate, supostamente baseada nos EUA, um lote de um milhão de perfis por 136 Euros. A análise dos dados expôs uma vasta rede de empresas que estão ganhando dinheiro vendendo e revendendo essas informações sem o consentimento consciente dos usuários, afirma o projeto.

O intercâmbio e venda de perfis de namoro on-line parece ter-se tornado uma prática comum na indústria dos encontros. O método é freqüentemente usado para rechear novos sites logo no seu início, para que não dependam apenas de cadastramentos. Ao mesmo tempo, segundo informações do projeto, “os sites de namoro em operação estão continuamente intercambiando perfis – a fim de obter novos rostos em seus serviços e, assim, aumentar as probabilidades de combinação entre seus usuários, assim como conseguir novos assinantes”. De acordo com especialistas do setor, existem dois modos de adquirir novos perfis: usando os bancos de dados de “White Label Dating Services”, ou através de serviços mais sombrios, chamados de “Black Hat Dating”.

Segundo o projeto, a USDate não revelou de onde veio o lote vendido. Mesmo assim, com base na lista de “parceiros” oficiais da empresa e na análise forense de imagens foi possível descobrir que boa parte vinha do site Plenty of Fish, o segundo maior dos EUA depois do Tinder: a empresa tem 150 milhões de usuários registrados e recebe uma média de 65.000 novas assinaturas por dia.

Para piorar, conta o relatório, “a política de privacidade do Plenty of Fish declara que compartilha informações do usuário (o que provavelmente implica em perfis de usuário) com sua controladora, Match Group e outras empresas do Match Group. Assim, mesmo que não seja especificamente declarado na política de privacidade da Plenty of Fish, se você tiver um perfil na Plenty of Fish, é possível que ele seja vendido, compartilhado ou usado em outros serviços de encontros pertencentes ao Match Group.”

 

Veja como malware libera saque em caixa eletrônico

O componente-chave usado utilizado nos ataques do grupo Lazarus a instituições financeiras na Ásia e na África foi descoberto por pesquisadores da Symantec no dia 2 de Novembro. É o Trojan.Fastcash, um malware até agora desconhecido, e que é implantado nos servidores de switch dos bancos. É isso que permite roubos com o que aconteceu com o Cosmos Bank, da Índia, e com varios outros bancos desses dois continentes: com o malware implantado, todos os pedidos de autenticação dos caixas automáticos enviados pelos bandidos são liberados pelo trojan (veja infográfico com o esquema).

[box type=”info” style=”rounded” border=”full”] O grupo Lazarus, conhecido também com Hidden Cobra pela inteligência dos EUA e supostamente a serviço do governo da Coreia do Norte, foi inicialmente identificado em operações de inteligência e ataques pesados, incluindo o de 2014 à Sony Entertainment. O Lazarus, segundo as investigações, também está envolvido em ataques como o roubo de US $ 81 milhões do Banco Central de Bangladesh e no ataque do ransomware com o WannaCry em Maio de 2017.[/box]

De acordo com o alerta do CERT americano, um incidente em 2017 registrou retiradas simultâneas de dinheiro em caixas eletrônicos de 30 países diferentes. Em outro grande incidente em 2018, o dinheiro foi retirado de caixas eletrônicos em 23 países. Estima-se que a operação FASTCash do Lazarus tenha roubado dezenas de milhões de dólares.

A investigação da Symantec indica que para permitir as retiradas, os invasores injetam no servidor de switch um executável AIX (Advanced Interactive eXecutive), em um processo legítimo que esteja rodando ali. O executável contém a lógica para se comunicar com mensagens ISO 8583 fraudulentas (o ISO 8583 é o padrão para mensagens de transações financeiras). A finalidade deste executável, diz a Symantec, não havia sido documentada anteriormente. Acreditava-se, antes, que os invasores usavam scripts para manipular software legítimo no servidor, para assim acionar a atividade fraudulenta.

O Trojan.Fastcash tem duas funções principais segundo as investigações da empresa:

  1. Ele monitora mensagens recebidas e intercepta as solicitações de transações fraudulentas geradas pelos criminosos, para impedir que elas cheguem ao aplicativo de switch que processa transações.
  2. Ele contém a lógica que gera uma das três possíveis respostas a solicitações de transações fraudulentas

“Depois de instalado, o Trojan.Fastcash lê todo o tráfego de entrada, procurando mensagens de solicitação ISO 8583. Vai ler o Número da Conta Principal (PAN) em todas as mensagens e, se encontrar algum contendo um número PAN usado pelos invasores, o malware irá modificar essas mensagens. O modo pelo qual são modificadas depende de cada organização atacada. Em seguida, o malware transmitirá para o caixa automático a mensagem de resposta falsa, aprovando as solicitações de retirada”, acrescenta o documento da Symantec.

 

Ransomware chega oferecendo 75% de comissão

Um alerta da Inteligência de Segurança da IBM indica que os autores do ransomware FilesLocker estão recrutando pessoas pelo mundo todo para agirem como distribuidores do vírus. O esquema é bastante agressivo, já que a oferta para os comparsas é de uma comissão de 75% dos ganhos para aqueles que conseguirem um mínimo de dez infecções por mês com as suas campanhas de phishing. Se não conseguirem, a comissão fica em 60%.

Esse tipo de oferta, no entanto, não é exatamente uma novidade: em agosto, por exemplo, os cibercriminosos lançaram uma ameaça similar de ransomware como serviço, chamado Princess Evolution, propondo aos parceiros em potencial uma participação de 60% na receita dos pagamentos de resgate.

O FilesLocker entrou no noticiário pela vez na última semana de Outubro, com a informação de que está sendo oferecido como serviço na Dark Web. Ele é escrito em C# e está disponível em chinês e inglês. O fórum onde é oferecido diz que entre seus recursos estão criptografia forte, capacidade de limpar as cópias de segurança do Windows e vários recursos de personalização.

Depois de se instalar na máquina da vítima, ele codifica os arquivos e acrescenta a eles uma extensão “.locked”. A seguir, exibe um aviso exigindo 0,18 bitcoin como pagamento, um endereço de e-mail específico para a comunicação e um ID da vítima, gerado automaticamente para fins de rastreamento. A notícia indica no mínimo que as operações estão se tornando ainda mais sofisticadas, já que os criminosos agora têm de administrar a plataforma de distribuição, os servidores, os recebimentos, os pagamentos. Em resumo: o negócio cresceu.