book_icon

Ransomware as a Service Philadelphia reflete a habilidade de cibercriminosos

Pesquisador da SophosLabs desconstrói o popular Philadelphia para revelar como o ransomware como um serviço é capaz de proliferar o cibercrime
Ransomware as a Service Philadelphia reflete a habilidade de cibercriminosos
hacker em frente ao notebook

É cada vez mais fácil construir e lançar um ransomware, independentemente de qualquer habilidade. Tudo que é necessário é má intenção e acesso à dark web, mercado onde kits de malwares são vendidos como sapatos ou brinquedos na Amazon. A tendência também é conhecida como ransomware as a service e alguns exemplos são tão afiados e perigosos quanto o Philadelphia.

Os criadores do kit RaaS, os Rainmakers Labs, executam seus negócios da mesma forma que uma legítima empresa de software faz para vender seus produtos e serviços

Durante o Black Hat 2017, evento de tecnologia que apresenta as mais recentes pesquisas sobre o assunto, a Sophos lançou um relatório aprofundado intitulado “Ransomware as a Service (RaaS): descontruindo o Philadelphia”, escrito por Dorka Palotay, um pesquisador de ameaças baseado no escritório SophosLabs de Budapeste, Hungria. O estudo analisa profundamente os mecanismos internos de um ransomware kit que qualquer um pode comprar por U$ 400. Uma vez comprado, os cibercriminosos podem assumir o controle e armazenar dados do computador para pedir um resgate em troca de um pagamento.

Os criadores do kit RaaS, os Rainmakers Labs, executam seus negócios da mesma forma que uma legítima empresa de software faz para vender seus produtos e serviços. Enquanto vendem o Philadelphia em mercados escondidos na dark web, eles hospedam um vídeo de “introdução” no YouTube, com uma excelente qualidade de produção, explicando os componentes básicos do kit e como customizar o ransomware com uma variedade de opções. Um guia detalhado de ajuda, leva os clientes para baixar uma configuração disponível em um website .com.

Enquanto o ransomware as a service não é novidade, o brilhante marketing explícito no modelo “faça você mesmo um ataque ransomware” é. “É surpreendentemente sofisticado o que os Rainmakers Labs estão tentando fazer aqui. Detalhes sobre o Philadelphia estão livres no World Wide Web (www) em comparação à dark web, onde a maioria dos outros ransomware kits são comercializados. Você não precisa de um navegador Tor para encontrar o Philadelphia e o fato de que ele é vendido descaradamente é, infelizmente, um indicativo do que está por vir”, diz Palotay.

Além do marketing, o produto em si é avançado com diversas configurações que os compradores podem adaptar para melhor selecionar como eles vão atacar suas vítimas, incluindo opções de “Seguir as Vítimas no Google Maps” e “Ter Piedade”. Dicas de como construir uma campanha, configurar o centro de comando e controle e coletar dinheiro também são explicadas. Está tudo lá.

Ironicamente, o “Ter Piedade” não é uma característica que necessariamente ajuda as vítimas, mas sim auxilia os cibercriminosos a saírem de uma situação difícil. “Para a maior parte, a opção de piedade é dar aos cibercriminosos uma saída caso estejam em uma posição arriscada depois de um ataque em particular”, diz Palotay. Ele também serve para casos de amigos de um atacante que se encontrem enrolados acidentalmente ou para os cibercriminosos testarem seus ataques.

A opção “Acompanhar as vítimas no Google Maps”, que parece assustadora, dá um indício de como os cibercriminosos determinam a demografia daqueles que eles enganam, o que poderia ajudá-los a repetir um ataque, corrigir um já realizado ou pedir ança com a opção “Piedade”.

Recurso extras por dinheiro extra

As opções “piedade” e “rastreamento do Google”, além de outros aspectos do Philadelphia, não são únicas para esse ransomware. No entanto, elas também não estão generalizadas. Esse são exemplos do que se tornou mais comum nos kits e, como resultado, mostrar como o ransomware-as-a-service está se tornando um mercado de software do mundo real.

“O fato de que o Philadelphia custa $400 e outros kits de ransomware são executados por $39 a $200 é notável”, diz Palotay. “Dentro desse valor, que é muito bom para o que os compradores do Philadelphia estão prometendo fazer, estão inclusas constantes atualizações e opções ilimitadas de personalização e acesso. É como um serviço de software atual que dá suporte aos clientes com atualizações regulares.”

O Philadelphia também tem o que é chamado de “ponte” – um script PHP que gerencia a comunicação entre os hackers e as vítimas, guardando informações sobre os ataques. Recursos adicionais que os compradores do Philadelphia podem customizar incluem o texto de resgate que aparecerá para as vítimas e sua cor, se a mensagem aparecer antes dos dados da vítima serem criptografados, e uma roleta russa, que deleta alguns arquivos depois de um período predeterminado. A roleta russa é comum em ransomware kits e é usada para colocar os usuários em pânico e os induzirem a pagar rapidamente ao excluir arquivos depois de determinadas horas.

As opções de personalização e “pontes” impulsionam o lucro e adicionam uma nova dimensão ao cibercrime que pode aumentar a velocidade da inovação do ransomware, comentou Palotay. Em outros casos de RaaS analisados pelo SophosLabs, as estratégias de preços passam por dividir uma porcentagem do resgate proveniente de vítimas com clientes de kit para a venda de assinaturas de acesso seguidas por ataques.

Código roubado

O relatório também revela que alguns cibercriminosos têm “crackeado” ou pirateado o Philadelphia e vendido suas próprias versões roubadas por um custo menor. Enquanto crackear não é novidade, a escala é interessante. Ameaças prontas que não requerem conhecimento dos cibercriminosos sobre o que eles estão fazendo, estão facilmente disponíveis para compra e em constante evolução. A expectativa da Sophos é de que essa tendência de aumentar as apostas e cometer fraude contra fraudadores continue.

“Não é incomum para cibercriminosos roubar código de outros ou ter como base versões antigas de outros ransomware, como nós vimos com o recente ataque NotPetya”, diz Palotay. “O ataque NotPetya combinou o Golden Eye, uma versão anterior do Petya, com a façanha do Eternal Blue para espalhar e infectar computadores globalmente.

cibercriminosos

Ransomware as a service

segurança

SophosLab

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *


As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.
Revista Digital
Edição do mês

Leia nesta edição:

Leia nessa edição sobre tecnologia

CAPA | GESTÃO

A doce ditadura da Governança de Dados

Leia nessa edição sobre carreira

CARREIRA

Profissões do futuro

Leia nessa edição sobre setorial | saúde

SETORIAL

Área pública: desafios e lucros

Esta é para você leitor da Revista Digital:

Leia nessa edição sobre sustentabilidade

LEGISLAÇÃO

LGPD Ano Um: uma construção inacabada

Setembro | 2021 | #50 - Acesse:

Infor Channel Digital

Baixe o nosso aplicativo

Google Play
Apple Store

Agenda & Eventos

Cadastre seu Evento