Dark web e Ransomware as a Service

Ransomware as a Service ou RaaS não é diferente de qualquer serviço legítimo hospedado na nuvem usado por empresas e pessoas todos os dias. Em vez de comprar software, você se inscreve em um modelo de prestação de serviços para reduzir o CapEx, sempre tem as últimas ofertas, obtém preços previsíveis e recebe suporte.

Legítimo ou não, os modelos de negócios sempre têm de resolver o desafio da distribuição. Os fornecedores vão vender diretamente para os usuários finais, através de um canal de distribuição ou um mix de ambos? O mesmo acontece com os desenvolvedores de ransomware. Muitos estão optando por vender seu código como um kit. Essa estratégia elimina muitos riscos e o árduo trabalho de distribuição.

O RaaS é baseado em portais da Dark Web com malware em formato de serviço

A Dark Web é uma área da Internet totalmente encriptada, com portais Web que não podem ser encontrados e abertos por browsers comuns como Chrome ou Firefox. A Dark Web provê um ambiente onde os usuários têm garantias de anonimidade, com a certeza de que não serão detectados por tecnologias de monitoração ou de análise de tráfego.

A soma do modelo de negócios “as a Service” com a Dark Web permite que o cibercriminoso pague para se afiliar ao serviço de ransomware e a partir daí, tenha acesso a novas tecnologias de invasão. Acima de tudo, esse “cliente” criminoso deseja ele mesmo disparar ataques e, ao final do dia, colher os resultados, normalmente em moedas digitais, do seu crime. Um detalhe importante é que os lucros do “cliente” serão compartilhados com o dono do site original. Esse costuma ser o pagamento do desenvolvedor do kit.

Um artigo do portal Bleeping Computer mostra que já existem variações neste modelo de negócios. Em alguns portais da Dark Web, antes de acessar os kits, o criminoso tem de pagar uma taxa de associação e, a partir daí, tornar-se um assinante mensal do serviço. Esses pacotes variam de US$ 90, onde o afiliado recebe 85% dos pagamentos de resgate, até US$ 300 e US$ 600 onde os afiliados têm o direito de ficar com toda a receita e obter vantagens extras, como criptografia Salsa20, variantes diferentes de ransomware e opções diferentes de pagamento em criptomoedas.

Fica claro que há uma indústria criminosa por trás de cada nova vítima de ransomware

É o que aponta a Atualização Semestral do Relatório de Ameaças Cibernéticas da SonicWall 2019: em relação ao mesmo período em 2018, o volume de ransomware cresceu 15%, atingindo 110.9 milhões de ataques. Em locais como o Reino Unido, foi detectado um aumento de 195% no volume de ransomware. Essa escalada tem sido sustentada pela disseminação de uso de kits de ransomware-as-a-Service e malware de código aberto.

Um dos malwares que têm sido disseminado por meio de estratégias de RaaS é o Cerber, uma das famílias de ransomwares mais poderosas e destruidoras em uso. Isso ocorre principalmente porque está disponível “as a Service” por preços mensais baixos. Outros ransomwares – como HiddenTear e Cryptojoker – estão disponíveis através de kits de código aberto.

A ideia é que criminosos com habilidades de codificação muito básicas possam pegar um malware de código aberto e personalizá-lo para atingir seus objetivos. Em muitos casos, altera-se o núcleo do malware para enganar os controles de segurança exclusivos, por assinatura. É o caso de soluções de segurança baseadas em antivírus e de firewalls sem suporte. Somente em junho de 2019, os experts do SonicWall Capture Labs registraram mais de 3 milhões de acessos apenas pela assinatura Cerber.G_5 RaaS.

Quanto mais opções de RaaS e código aberto estiverem disponíveis, maiores serão o volume e a ferocidade dos ataques de ransomware. Há uma indústria de desenvolvedores de malware criando continuamente ransomwares – isso garante aos cibercriminosos acesso a novas variantes.

Desde o início de 2019 o uso de RaaS não cessa de crescer. Há criminosos de todo o mundo explorando essa oportunidade de lucro. Para enfrentar essa onda, é necessário seguir adotando as soluções que conseguem identificar os padrões de ataques e bloqueá-los, de modo a proteger os ambientes. E, em paralelo, seguir investindo na educação do usuário: ransomware e phishing são estratégias irmãs, e que continuam causando prejuízos.

*Por Geoff Blaine, diretor de comunicações corporativas da SonicWall.