CaaS: revelando os bastidores do ‘crime as a service’

Ao mesmo tempo que os avanços da tecnologia trouxeram crescimento e prosperidade para a população, empresas e governos, os cibercriminosos também tiraram vantagem desses recursos para elevar o nível de sofisticação dos ataques.

A transformação digital é um conceito que transcende o mundo corporativo e se aplica à sociedade, transformando vidas e, infelizmente, gerando novas possibilidades para práticas criminosas tradicionais, como roubo e lavagem de dinheiro. Isso deu origem ao Crime como um Serviço (CaaS), modelo adotado por cibercriminosos experientes que criam e desenvolvem ferramentas, plataformas e recursos sofisticados e, em seguida, vendem ou alugam para outros criminosos com conhecimentos técnicos menos avançados.

Seja por meio de uma ação individual ou de forma organizada, esses hackers não são regulamentados ou controlados, mas são muito bem coordenados e financiados. E é esse o maior desafio atual das equipes de segurança cibernética para empresas e governos. O CaaS impulsiona o volume e a sofisticação dos ataques no cenário atual de ameaças e, por consequência, a barreira que limita o crime cibernético e a economia subterrânea está cada vez mais frágil.

A maioria das pessoas não acessam a Dark Web, e pode parecer surreal falar de um mercado de ferramentas para ciberataques como algo comum, mas é exatamente o que acontece. Abaixo estão alguns dos serviços mais comuns que podem ser facilmente adquiridos como CaaS atualmente:

Kits e plataformas de phishing

Phishing é um dos principais vetores de ataque usados para comprometer empresas. Por esse motivo, não é de se admirar que esses recursos tenham se tornado uma mercadoria de alta procura. Kits e plataformas de phishing estão disponíveis na Dark Web por uma valor que varia entre 2 e 10 dólares para incentivar esses ataques. São ferramentas personalizáveis que requerem pouco conhecimento ou habilidade e possuem vários níveis de automação, tornando-se atrativa para criminosos.

Exploits

Isso inclui o desenvolvimento de código (script) de exploit, e ferramentas para explorar vulnerabilidades conhecidas. Um dos kits mais populares, o RIG, é encontrado por apenas 150 dólares por semana, e é utilizado para espalhar ransomware, trojans e outras formas de malware. Possui uma grande rede de revendedores com uma estrutura complexa de negócios que o torna ainda mais acessível aos criminosos. Felizmente, devido ao aumento das atualizações automáticas nos navegadores, esses kits tornaram-se menos comuns desde 2016.

Serviços DDoS

Um grupo criminoso não precisa mais criar um botnet para lançar um ataque. Hoje, eles podem alugar esses serviços sob demanda. O tempo que leva para lançar um ataque é mínimo e a infraestrutura pode ser acelerada e desativada de forma rápida e eficiente usando a infraestrutura em nuvem e dificultando o rastreamento e a defesa contra eles.

Os serviços DDoS também são baratos e acessíveis, com muitos provedores que oferecem planos de assinatura na Dark Web. Alguns exemplos incluem uma lista de planos desde 5 dólares por mês para um ataque com duração de 300 segundos, até o plano mais caro e abrangente por 60 dólares por mês, para um ataque simultâneo com um tempo de 10.800 segundos.

Ainda existem outros provedores que se envolvem em ataques DDoS em servidores ou sites protegidos e, por cerca de 400 dólares por dia oferecem um pacote que inclui ataques específicos a recursos governamentais direcionados. A facilidade de execução por agentes maliciosos e a margem de lucro – em média 95% por ataque – torna os serviços DDoS ainda mais perigosos para as organizações de todos os níveis.

Ransomware como um serviço

Similar aos serviços de DDoS, os cibercriminosos também aproveitam os serviços específicos de ransomware para atingir um alvo, sem a necessidade de muito conhecimento técnico. Esses serviços fornecem não apenas a profundidade e as habilidades técnicas, mas também todas as informações necessárias para realizar um ataque. Em alguns casos, incluem até painel e relatórios de status. São os KPIs e SLAs no submundo do crime!

O Ransomware como serviço é encontrado a preços e modelos de pagamento variados, alguns deles baseados em assinatura, taxa fixa ou participação nos lucros. Os preços podem variar de 40 a milhões de dólares, dependendo do alvo.

Pesquisa como um serviço

Essa modalidade envolve a coleta legal ou ilegal de informações sobre as vítimas e a revenda de dados pessoais roubados, como credenciais comprometidas. Também pode incluir a venda de informações relacionadas aos exploits potenciais dentro de software ou sistemas.

Observar esse “menu criminoso” é uma experiência reveladora. Para quem atua com tanta dedicação construindo e protegendo redes contra esses ataques, é quase um insulto assistir essas ferramentas perigosas sendo comercializadas a um valor tão baixo. E os mecanismos de compra também são muito simples. O setor de CaaS possui sistema de pagamento não rastreável em criptomoedas – fácil de usar, anônimo e desvinculado de fronteiras internacionais ou restrições.

Mesmo que esse lado da história seja desconfortável, o mais importante é o quão esclarecedor é dominar esse assunto. Os profissionais de segurança e rede precisam entender o modelo operacional dos ataques para desenvolver a melhor estratégia para combatê-los. Assim como os cibercriminosos compartilham informações, coordenam e desenvolvem seus recursos, entendendo seus alvos e operacionalizando técnicas de ponta rapidamente, as equipes de segurança também precisam fazer isso.

Os ataques estarão cada vez mais acessíveis, e o papel das equipes de segurança é estar sempre um passo à frente para garantir a proteção adequada.

* David Fairman é Chief Security Officer da Netskope para região APAC