Segurança > Cibercrime

Relatório mostra como se dá a proliferação de Ransomware as a Service

Estudo da Sophos desconstrói o popular Philadelphia para revelar como o kit de ransomware ajuda a proliferar o cibercrime

31 de Julho de 2017 - 17h58

Relatório recente da SophosLab, unidade de análises de dados e ameaças da Sophos, aborda como o Philadelphia e outros ransomwares são capazes de ajudar na profileração do cibercrime com facilidade. Intitulado “Ransomware as a Service (RaaS): Desconstruindo o Philadelphia”, o estudo traz em detalhe a atuação do Rainmakers Labs, organização cibercriminosa baseada na Rússia, para a venda do Philadelphia. O grupo executa os seus negócios da mesma forma que uma legítima empresa de software faz para vender seus produtos e serviços.

O ransomware Philadelphia pode ser facilmente encontrado na dark web, onde kits de malware são vendidos como sapatos ou brinquedos. Uma vez comprado, os cibercriminosos podem assumir o controle e armazenar dados do computador para pedir um resgate em troca de um pagamento.

“É surpreendentemente sofisticado o que os Rainmakers Labs estão fazendo. Detalhes sobre o Philadelphia estão livres na web, ao contrário da maioria dos outros kits de ransomware que são comercializados na dark web. Não é preciso de um navegador Tor para encontrar o Philadelphia, pois ele é vendido descaradamente, o que infelizmente serve como um indicativo do que está por vir”, diz Dorka Palotay, pesquisador de ameaças do SophosLab responsável pelo estudo.

O Philadelphia é vendido por US$ 400, enquanto outros kits de ransomware podem ser encontrados por US$ 39 a US$ 200. “Dentro desse valor, que é até pouco para o que os compradores do Philadelphia estão esperando, estão incluídas constantes atualizações, acesso e construções ilimitadas. É como um serviço de software atual que dá suporte aos clientes com atualizações regulares”, complementa Palotay.

Na dark web, o grupo hospeda um vídeo de “introdução” no YouTube, com uma excelente qualidade de produção, explicando os componentes básicos do kit e como customizar o ransomware com uma variedade de opções. Um guia detalhado de ajuda, encaminhando os consumidores através da configuração também disponível em um website.

A tendência de venda de malwares, conhecida como Ransomware as a Service (RaaS), está crescendo rapidamente, se tornando um mercado de software do mundo real e alguns exemplos são tão perigosos quanto o Philadelphia. O grande diferencial deste ataque está no investimento de marketing e na comercialização do modelo “faça você mesmo”. Além disso, o produto em si é muito avançado com diversas configurações que os compradores podem adaptar para melhor selecionar como eles vão atacar suas vítimas, incluindo opções de “Seguir as Vítimas no Google Maps” e “Ter Piedade”. Dicas de como construir uma campanha, configurar o centro de comando e controle e coletar dinheiro também são explicadas.

“Para a maior parte, a opção de piedade é dar aos cibercriminosos uma ‘saída’ caso eles estejam em uma posição arriscada depois de um ataque em particular”, explica Palotay. A opção “Acompanhar as vítimas no Google Maps”, que parece assustadora, dá um indício de como os cibercriminosos determinam a demografia daqueles que eles enganam, o que poderia ajudá-los a decidir repetir um ataque, corrigir um já realizado ou oferecer fiança com a opção “Piedade”.

O Philadelphia também tem o que é chamado de “ponte” — um script PHP que gerencia a comunicação entre os hackers e as vítimas, guardando informações sobre os ataques. Recursos adicionais que os compradores do Philadelphia podem customizar inclui o texto de resgate que aparecerá para as vítimas e sua cor, se a mensagem aparecer antes dos dados da vítima serem criptografados, e uma roleta russa, que deleta alguns arquivos depois de um período predeterminado. A roleta russa é comum em ransomware kits e é usada para colocar os usuários em pânico e os induzirem a pagar rapidamente ao excluir arquivos depois de determinadas horas.

O relatório também revela que alguns cibercriminosos têm “crackeado” ou pirateado o Philadelphia e vendido suas próprias versões roubadas por um custo menor. A verdade é que ameaças prontas que não requerem conhecimento dos cibercriminosos estão facilmente disponíveis para compra. A expectativa da Sophos é de que essa tendência cometer fraude contra fraudadores continue.

“Não é incomum para cibercriminosos roubar código de outros ou ter como base versões antigas de outros ransomware, como nós vimos com o recente ataque NotPetya”, diz Palotay. “O ataque NotPetya combinou o Golden Eye, uma versão anterior do Petya, com a façanha do Eternal Blue para espalhar e infectar computadores globalmente”, diz Palotay.

Para finalizar, o relatório aponta alguns métodos de prevenção para evitar qualquer tipo de ransomware, como: fazer backup regularmente e manter a cópia mais recente fora do local de trabalho; não habilitar macros nos documentos anexados recebidos por e-mail; ter cautela com arquivos anexos não solicitados; e utilizar o patch rápido e com frequência.