SophosLab revela como Ransomware as a Service é vendido na dark web

A SophosLab, unidade de análises de dados e ameaças da Sophos, acaba de divulgar o relatório “Ransomware as a Service (RaaS): descontruindo o Philadelphia” para demonstrar como o Philadelphia e outros ransomwares são capazes de profilerar o cibercrime com facilidade. O relatório traz em detalhe a atuação do Rainmakers Labs, organização cibercriminosa baseada na Rússia, para a venda do ransomware Philadelphia.

O grupo executa os seus negócios da mesma forma que uma legítima empresa de software faz para vender seus produtos e serviços. O ransomware Philadelphia pode ser facilmente encontrado na dark web, um mercado onde kits de malware são vendidos como sapatos ou brinquedos. Uma vez comprado, os cibercriminosos podem assumir o controle e armazenar dados do computador para pedir um resgate em troca de um pagamento.

“É surpreendentemente sofisticado o que os Rainmakers Labs estão fazendo. Detalhes sobre o Philadelphia estão livres no World Wide Web (www) ao contrário da maioria dos outros ransomware kits que são comercializados na dark web. Você não precisa de um navegador Tor para encontrar o Philadelphia, pois ele é vendido descaradamente, o que infelizmente serve como um indicativo do que está por vir”, diz Dorka Palotay, pesquisador de ameaças do SophosLab responsável pelo estudo.

O Philadelphia é vendido pelo preço $400, enquanto outros ransomware kits podem ser encontrados por $39 a $200. “Dentro desse valor, que é até pouco para o que os compradores do Philadelphia estão esperando, estão incluídas constantes atualizações, acesso e construções ilimitadas. É como um serviço de software atual que dá suporte aos clientes com atualizações regulares”, complementa Palotay.

Na dark web, o grupo hospeda um vídeo de “introdução” no YouTube, com uma excelente qualidade de produção, explicando os componentes básicos do kit e como customizar o ransomware com uma variedade de opções. Um guia detalhado de ajuda, encaminhando os consumidores através da configuração também disponível em um website.

A tendência de venda de malwares, conhecida como Ransomware as a Service (RaaS), está crescendo rapidamente, se tornando um mercado de software do mundo real e alguns exemplos são tão perigosos quanto o Philadelphia. O grande diferencial deste ataque está no investimento de marketing e na comercialização do modelo “faça você mesmo”.

Além disso, o produto em si é muito avançado com diversas configurações que os compradores podem adaptar para melhor selecionar como eles vão atacar suas vítimas, incluindo opções de “Seguir as Vítimas no Google Maps” e “Ter Piedade”. Dicas de como construir uma campanha, configurar o centro de comando e controle e coletar dinheiro também são explicadas.

“Para a maior parte, a opção de piedade é dar aos cibercriminosos uma saída caso eles estejam em uma posição arriscada depois de um ataque em particular”, explica Palotay. A opção “Acompanhar as vítimas no Google Maps”, que parece assustadora, dá um indício de como os cibercriminosos determinam a demografia daqueles que eles enganam, o que poderia ajudá-los a decidir repetir um ataque, corrigir um já realizado ou oferecer fiança com a opção “Piedade”.

O Philadelphia também tem o que é chamado de “ponte”, um script PHP que gerencia a comunicação entre os hackers e as vítimas, guardando informações sobre os ataques. Recursos adicionais que os compradores do Philadelphia podem customizar inclui o texto de resgate que aparecerá para as vítimas e sua cor, se a mensagem aparecer antes dos dados da vítima serem criptografados, e uma roleta russa, que deleta alguns arquivos depois de um período predeterminado. A roleta russa é comum em ransomware kits e é usada para colocar os usuários em pânico e os induzirem a pagar rapidamente ao excluir arquivos depois de determinadas horas.

O relatório também revela que alguns cibercriminosos têm “crackeado” ou pirateado o Philadelphia e vendido suas próprias versões roubadas por um custo menor. A verdade é que ameaças prontas que não requerem conhecimento dos cibercriminosos estão facilmente disponíveis para compra. A expectativa da Sophos é de que essa tendência cometer fraude contra fraudadores continue.

“Não é incomum para cibercriminosos roubar código de outros ou ter como base versões antigas de outros ransomware, como nós vimos com o recente ataque NotPetya”, diz Palotay. “O ataque NotPetya combinou o Golden Eye, uma versão anterior do Petya, com a façanha do Eternal Blue para espalhar e infectar computadores globalmente”.

Para finalizar, o relatório aponta alguns métodos de prevenção para evitar qualquer tipo de ransomware, como: fazer back up regularmente e manter a cópia mais recente fora do local de trabalho; não habilitar macros nos documentos anexados recebidos por e-mail; ter cautela com arquivos anexos não solicitados; e utilizar o patch rápido e com frequência.