Um novo relatório da empresa de segurança cibernética da Intsights destaca o próspero mercado da dark web para invasão a redes que rende aos cibercriminosos milhares de dólares.
O consultor de inteligência de ameaças cibernéticas da IntSights, Paul Prudhomme, examinou as vendas de acesso a redes em fóruns clandestinos em russo e inglês antes de compilar um estudo sobre por que os cibercriminosos vendem seu acesso à rede e como eles transferem seu acesso à rede aos compradores.
Segundo o levantamento feito por ele, mais de 37% de todas as vítimas em uma amostra dos dados eram da América do Norte, sendo que o acesso é usado mais comumente para ataques de ransomware em todo o mundo. Os fóruns da dark web operam com sistema descentralizado em que os cibercriminosos menos habilidosos podem contar uns com os outros mais experientes para diferentes tarefas, permitindo que a maioria dos operadores de ransomware compre o acesso de outros.
O acesso à rede comercializado na dark web varia desde as credenciais de administradores de sistemas até o acesso remoto a uma rede feito normalmente por Remote Desktop Protocol (RDP) ou rede virtual privada (VPN). Com milhões ainda trabalhando em casa devido à pandemia, a venda de acesso à rede aumentou significativamente nos últimos 18 meses.
Embora o preço médio das credenciais de acesso seja de US$ 9.640, os pesquisadores da IntSights disseram que a maioria dos preços oscilava em torno de US$ 3.000. Apenas dez dos preços ultrapassavam US$ 10 mil e a maioria foi para acesso a operadoras de telecomunicações ou empresas de tecnologia. Muitas ofertas estavam na casa das centenas e a menor oferta foi de US$ 240 para acesso a uma empresa de saúde na Colômbia. O pico de preço verificado no estudo foi de US$ 95 mil para acesso a uma grande operadora de serviços de telecomunicações na Ásia, com receita superior a US$ 1 bilhão.
Em fóruns e mercados da dark web, os cibercriminosos compartilham acesso a uma lista de malware, ferramentas maliciosas, infraestrutura ilícita e dados, contas e detalhes de cartões de pagamento. Muitos dos fóruns e mercados mais sofisticados estão em russo, mas também existem fóruns em inglês, espanhol, português e alemão.
Veja isso
Ransomware Ryuk rende mais de US$ 150 milhões a hackers em 2,5 anos
e-Mail falso rende US$ 4,2 milhões a criminosos
Os cibercriminosos raramente têm uma equipe completa de invasores experientes em cada estágio de um ataque, tornando os fóruns da dark web ideais, pois eles vendem o que já roubaram ou procuram cargas de malware, infraestrutura de hospedagem e acesso a redes comprometidas.
“Este fator é particularmente aplicável a compromissos de ambientes especializados, como aqueles com tecnologia operacional (OT), sistemas de controle industrial, sistemas de controle de supervisão e aquisição de dados (SCADA) ou outra tecnologia menos comum ou menos convencional que pode ser desconhecida para muitos hackers”, explica Prudhomme.
Segundo a empresa, às vezes, os invasores percebem que invadiram uma rede sem dados que podem ser roubados ou vendidos e decidem vender o acesso a grupos de ransomware. As postagens que oferecem acesso à rede comprometida incluem a vítima, a forma e o nível de acesso para venda, bem como os preços e outros detalhes da transação. Às vezes, as vítimas são identificadas por localização, indústria ou setor e as informações de receita costumam ser incluídas.
As descrições também podem incluir o número e tipos de máquinas nele ou os tipos de arquivos e dados que ele contém. Frequentemente, os hackers mencionam explicitamente algo como um alvo potencial de ransomware em anúncios.Alguns acessos são vendidos em leilão, enquanto outros são negociados ao longo do tempo. Os recursos mais comuns dessas vendas são as credenciais RDP e as credenciais VPN, ambas sendo usadas consideravelmente mais devido à pandemia. Os shells da web também são usados como mecanismos de persistência que podem ser transferidos. Com agências de notícias internacionais.