Atualmente, as estruturas cibercriminosas estão se tornando cada vez mais complexas e a indústria do cibercrime é uma das que mais cresce. De acordo com um estudo realizado pela Cybersecurity Ventures, o cibercrime custará ao mundo cerca de 8 trilhões de dólares durante o ano de 2023, um aumento de 25% em relação a 2021.

Um grupo de cibercriminosos é composto por pelo menos 10 pessoas, cada uma com funções e tarefas diferentes:

  • Os desenvolvedores de malware são responsáveis por programar códigos maliciosos, empacotá-los e aplicar diferentes técnicas para evitar a detecção por antivírus.
  • Os spammers lidam com a distribuição, seja enviando e-mails, gerando links de download ou anúncios falsos, entre outros.
  • A equipe de infraestrutura fornece suporte para manter os servidores e redes utilizados pelo grupo anônimos e operacionais.
  • Por fim, a equipe financeira lida com a lavagem de criptomoedas e o recrutamento de mulas: o último elo e muitas vezes o mais importante, pois permite que o dinheiro arrecadado chegue finalmente aos criminosos.

Segundo uma investigação do FBI, as mulas são recrutadas por meio de anúncios falsos de emprego que oferecem posições como agentes de pagamento e transferência, ou prometem ganhar dinheiro navegando na internet. É extremamente importante estar alerta e não acreditar nesses anúncios falsos nem aceitar transferências de dinheiro de pessoas desconhecidas.

Produtos e serviços na dark web

Os maiores lucros desses grupos organizados vêm da venda de produtos e serviços na dark web, tais como:

Serviços de Hacking

Em sites como Rent-A-Hacker ou Hacker's Bay, é possível contratar uma variedade de serviços. Os criminosos se promovem destacando suas habilidades técnicas e conhecimentos em diferentes linguagens de programação. Eles afirmam ter acesso a exploits zero-day e todo tipo de ferramentas para realizar ataques cibernéticos: acesso ilegal a sites ou organizações, acesso a telefones celulares, e-mails ou redes sociais.

Imagem 1: Site do Rent-A-Hacker.

Além desses serviços mencionados, a maioria dos criminosos também oferece trabalhos personalizados, cujo valor depende da complexidade. Se o problema a ser resolvido é urgente, é oferecido um serviço premium que garante uma resposta em 30 minutos.

Venda de malware

Na sombria arena do mercado digital, códigos maliciosos como vírus, trojans, ransomware e outros tipos de malware são colocados à venda. Estes códigos são projetados para se infiltrar em sistemas de computador, comprometer a privacidade e a segurança dos usuários, roubar informações e causar danos a indivíduos, empresas e até mesmo órgãos governamentais.

A oferta de malware na dark web é ampla e diversificada, incluindo desde kits de exploits (programas que exploram vulnerabilidades ou falhas de segurança) até botnets (que permitem ao invasor controlar remotamente o dispositivo infectado).

Um aspecto fundamental da venda de malware na dark web é que ela facilita a entrada de indivíduos com pouco conhecimento técnico no mundo do cibercrime, permitindo-lhes lançar ataques sofisticados devido à facilidade das transações para adquirir esses códigos sem restrições e a um baixo custo. Além disso, os vendedores geralmente oferecem serviços de suporte e aconselhamento sobre como contornar sistemas de segurança e manter o controle sobre as infecções, a fim de maximizar o impacto dos ataques.

Imagem 2: Venda de um código malicioso do tipo RAT.

Imagem 3: Venda de um código malicioso (do tipo botnet) para mineração de criptomoedas.

Malware e phishing como serviço

Na dark web, também é possível encontrar a venda de malware e phishing como serviço (MaaS ou PaaS), que permite alugar serviços de malware ou phishing de forma simples e rápida, realizando ataques cibernéticos sem a necessidade de ter conhecimentos avançados em programação ou hacking.

Essa "contratação" de uma equipe de cibercriminosos também inclui a configuração da infraestrutura, a aplicação de técnicas de evasão, entre outras facilidades. Uma porcentagem do dinheiro obtido pelo cibercriminoso que contrata o serviço é repassada ao grupo "proprietário" do malware.

Um exemplo de grande visibilidade nos últimos anos é o ransomware como serviço, que afetou organizações em todo o mundo, atuando sob o nome de um grupo que trabalha com programas de "parcerias" e divisão dos lucros.

Imagem 4: Anúncio do programa de afiliados do grupo de ransomware LockBit.

Também é possível encontrar ofertas de ataques de negação de serviço (DDoS) realizados por meio de grandes botnets distribuídas para derrubar um site.

Imagem 5: Servicios de DDoS.

Além disso, é possível adquirir um pacote para montar sua própria botnet, que inclui painel de controle, construtor e plugins para controle remoto, um manual de instruções, suporte e atualizações.

Imagem 6: Pacote para montagem de uma botnet.

Venda de Exploits

Existem também no mercado bases de dados com todo tipo de exploits. Uma delas é a 0day.today, que oferece uma coleção de milhares de kits para vulnerabilidades conhecidas.

Imagem 7: Site 0day.today de venda de exploits.

Existem exploits gratuitos que visam vulnerabilidades antigas, e pagos que se aproveitam de falhas descobertas mais recentemente; os preços estão dentro da faixa de 0,07 a 0,2 créditos (uma equivalência que o site tem em criptomoedas).

Imagem 8: Exemplos de exploits à venda no 0day.today.

Se você estiver procurando pelos cobiçados exploits para vulnerabilidades zero-day (**), é necessário fazer um depósito de 1000 dólares para ter acesso a essa área restrita; muitos nesta seção provavelmente serão ainda mais caros.

Imagem 9: Área restrita de venda de zero-days.

Venda de informações roubadas

Além de códigos maliciosos, exploits e todos os tipos de serviços para realizar ataques cibernéticos, os cibercriminosos também comercializam contas e informações de usuários que conseguiram roubar. Na maioria dos casos, são vendidas em pacotes de centenas, a menos que sejam credenciais valiosas, como dados de login internos de alguma organização.

Por alguns poucos dólares, um cibercriminoso tem a possibilidade de criar uma identidade falsa, que inclui endereço de e-mail, senha, endereço, documento de identidade e até números de seguro social ou de registro civil.

Imagem 10: Venda de login interno de uma corporação canadense.

Imagem 11: Venda de passaportes para identidades falsas.

Da mesma forma, existe a possibilidade de comprar contas criadas de forma massiva, para poder controlá-las em massa e, por exemplo, aumentar o número de seguidores ou disseminar conteúdo próprio do comprador em uma plataforma específica.

Imagem 12: Venda de um milhão de contas recém-criadas para a plataforma WordPress.

No entanto, essa não é a única informação pessoal que é comercializada. Contas da Amazon, Paypal e outros serviços de pagamento on-line também são vendidas por aproximadamente 10% do saldo disponível na conta.

Imagem 13: Vendas de contas do Paypal.

Em outro site, o C2Bit, são comercializados cartões de débito e crédito obtidos por meio de golpes, como o phishing. O valor varia de 15 a 40 dólares, dependendo do país de emissão, do tipo de cartão e do saldo disponível para uso.

Imagem 14: Venda de cartões de crédito e débito.

Serviços financeiros e lavagem de criptomoedas

Todo negócio sujo precisa ser lavado para que os cibercriminosos possam usar esse dinheiro em suas despesas diárias, por isso os serviços de lavagem de Bitcoin, também conhecidos como Bitcoin Mixers, estão se tornando cada vez mais populares.

O mecanismo é bastante simples: como a blockchain que armazena as transações em bitcoins é pública e rastreável, as lavanderias oferecem a realização de várias pequenas transações entre o dinheiro "sujo" e o dinheiro "limpo" de suas reservas. Dessa forma, a rastreabilidade e a continuidade das transações são perdidas, proporcionando maior privacidade e dificultando o rastreamento do dinheiro.

Imagem 15: Serviço de lavagem de Bitcoins.

Nesses serviços, o usuário paga 0,5% do valor a ser lavado, mais uma pequena taxa adicional por cada endereço de destino onde o dinheiro limpo será depositado. Eles até oferecem um serviço de atraso nas transações, adicionando um maior número de confirmações. Dessa forma, quanto maior o atraso, mais difícil é rastrear a transação.

Conclusão

O cibercrime é hoje uma indústria em expansão que movimenta milhões, e é algo que tanto empresas quanto usuários finais devem ter em mente. As informações de qualquer indivíduo, assim como as de grandes empresas, têm valor e são comercializadas no mercado clandestino.

Não é mais necessário ter conhecimentos técnicos ou ser um especialista em segurança digital para realizar ataques e comprometer a segurança de uma organização. Por exemplo, um funcionário insatisfeito pode, em questão de horas, ter acesso aos serviços de cibercriminosos e infectar a rede com códigos maliciosos ou ataques de negação de serviço.

Conhecer a indústria do cibercrime e como esses grupos criminosos operam permite estar mais consciente e melhorar as ferramentas de proteção.

Qualquer um pode ser vítima de um ataque cibernético ou de uma infecção por malware, portanto, é essencial ter medidas básicas de segurança, como um antivírus, autenticação em dois fatores e dispositivos atualizados.