O malware já não é apenas uma ferramenta para causar prejuízos; atualmente, é um negócio bilionário que opera em um ecossistema altamente estruturado. Do ransomware ao malware como serviço (MaaS), os cibercriminosos desenvolveram modelos de negócio sofisticados para maximizar seus lucros. Neste post, vamos explorar as estratégias utilizadas na economia do cibercrime, os grupos mais relevantes e casos recentes de grande impacto.

Embora o termo "cibercrime" seja frequentemente associado a prejuízos financeiros e danos à reputação de empresas e até de governos, os cidadãos comuns também sofrem com os ataques de agentes maliciosos. Provavelmente conhecemos alguém próximo que foi vítima de roubos via internet banking ou carteiras virtuais - ou até pode ter acontecido conosco. A cibersegurança é uma preocupação para todos os tipos de usuários.

Podemos dizer que essa problemática não é nova e vem se formando há várias décadas, talvez desde o início da hiperconectividade nos anos 1990. Com o tempo, nossas informações foram se digitalizando cada vez mais, e os cibercriminosos, que sempre estiveram à espreita, transformaram os dados no "ouro" dos tempos atuais.

A quantidade de sistemas e dispositivos que armazenam informações sensíveis se multiplicou: desde os clássicos computadores e dispositivos móveis até o vasto ecossistema de IoT, que inclui câmeras IP, carros modernos, smartwatches, entre outros. Com essa expansão, os cibercriminosos desenvolveram perfis cada vez mais variados e sofisticados para o roubo e a exploração desse bem tão valioso.

Assim como ocorre com o crime tradicional, existem diferentes perfis de criminosos, e o grupos cibercriminosos mais sofisticados agem de forma tão organizada e com orçamentos tão robustos quanto grandes empresas de diversos setores. Isso pôde ser observado em vários casos, como a exfiltração de dados do grupo cibercriminoso Conti, entre muitos outros.

Por isso, convidamos você a mergulhar conosco no universo do malware e na complexa organização dos grupos de cibercrime.

O ecossistema do malware

O negócio do malware se sustenta em uma cadeia de valor bem definida, que inclui o desenvolvimento, a distribuição, a monetização e os serviços de suporte. Podemos destacar entre os principais atores:

  • Desenvolvedores de malware: Criam softwares maliciosos, desde trojans bancários até ransomwares.
  • Distribuidores e afiliados: Utilizam táticas como phishing, exploits e botnets para propagar malwares.
  • Operadores de infraestrutura: Fornecem servidores de comando e controle (C2), hospedagem clandestina e proxies anônimos.
  • Lavadores de dinheiro: Facilitam a movimentação de fundos por meio de criptomoedas e sistemas financeiros alternativos.

Impacto financeiro do malware

Segundo um relatório da Cybersecurity Ventures, o custo do cibercrime em nível mundial deve atingir 10,5 trilhões de dólares por ano até 2025. Em relação aos pagamentos por ransomware nos Estados Unidos em 2023, o Internet Complaint Center (IC3) informou que os valores registrados chegaram a 59,6 milhões de dólares, representando um aumento de 74% em comparação ao ano anterior.

Principais modelos de negócio do malware

1. Ransomware como Serviço (RaaS)

Um dos esquemas mais lucrativos do cibercrime. Grupos como LockBit ou Conti oferecem seu malware em um modelo de afiliação, no qual operadores sem conhecimentos avançados podem lançar ataques em troca de uma porcentagem dos resgates arrecadados.

Exemplo real: A variante do ransomware REvil agia nesse modelo, gerando milhões em pagamentos de resgate. Um caso recente foi o ataque à empresa Kaseya, em 2021, no qual o grupo REvil exigiu 70 milhões de dólares como resgate.

2. Malware como Serviço (MaaS)

Plataformas na darkweb permitem o aluguel de malwares sofisticados com funcionalidades avançadas, como keyloggers, trojans bancários e stealers de credenciais. Esse modelo reduz a barreira de entrada para o cibercrime.

Exemplo real: O Emotet, inicialmente um trojan bancário, evoluiu para atuar como um serviço de entrega de outros tipos de malware. Sua infraestrutura foi desmantelada em 2021, mas ele voltou a surgir em diferentes formas desde então.

3. Exploits e Zero-Days como Serviço

Mercados clandestinos vendem vulnerabilidades zero-day e kits de exploits que permitem comprometer sistemas antes que existam correções disponíveis.

Exemplo real: O exploit EternalBlue, desenvolvido originalmente pela NSA e vazado em 2017, foi utilizado em ataques massivos como WannaCry e NotPetya, causando prejuízos de bilhões de dólares.

4. Botnets e Ataques DDoS como Serviço

As botnets permitem a realização de ataques de negação de serviço (DDoS) por meio de um modelo de aluguel. Esse tipo de serviço é explorado tanto por cibercriminosos quanto por agentes estatais, com o objetivo de desestabilizar infraestruturas críticas.

Exemplo real: A botnet Mirai, que comprometeu milhões de dispositivos IoT, foi usada em ataques DDoS em larga escala. Mais recentemente, a botnet Mantis se destacou como uma das mais poderosas, afetando serviços de grande porte.

5. Phishing como Serviço (PhaaS)

São comercializados kits de phishing que incluem modelos de sites falsos e painéis de administração para roubo de credenciais de acesso.

Exemplo real: Grupos como o BulletProofLink ofereceram serviços de phishing na darkweb com milhares de campanhas ativas. Em 2023, foi detectada uma onda massiva de phishing direcionada a instituições bancárias na América Latina.

Grupos de malware mais destacados

Alguns dos grupos de cibercriminosas mais ativos e sofisticados incluem:

  • LockBit: Especializado em ransomware, o grupo já atacou organizações ao redor do mundo.
  • Lazarus Group: Vinculado à Coreia do Norte, é responsável pelo roubo de centenas de milhões de dólares em criptomoedas.
  • FIN7: Focado no roubo de dados de cartões de crédito e em ataques a empresas do setor varejista.
  • Evil Corp: Responsável por diversos ataques de ransomware direcionados a grandes corporações.

Estratégias de defesa para organizações e usuários

Para mitigar esses riscos, empresas e usuários devem adotar uma estratégia de defesa em camadas:

  • Conscientização e capacitação: A educação em cibersegurança é essencial para evitar ataques de phishing e ransomware.
  • Autenticação multifator (MFA): Adicionar uma camada extra de segurança ajuda a proteger contra o roubo de credenciais.
  • Monitoramento e detecção precoce: Soluções de inteligência de ameaças e análise de comportamento podem identificar padrões suspeitos com antecedência.
  • Gerenciamento de patches: Manter os sistemas atualizados é fundamental para reduzir a superfície de ataque.
  • Backups seguros: Cópias de segurança off-line são essenciais para prevenir a perda de dados em caso de ataque de ransomware.

Conclusão

O malware evoluiu para se tornar um ecossistema comercial complexo e bem organizado. Com modelos de negócios semelhantes aos de empresas legítimas, os cibercriminosos conseguiram diversificar suas fontes de renda e reduzir o risco de serem detectados. Para as organizações, a única forma eficaz de enfrentar essa ameaça é por meio de uma abordagem proativa e uma cultura de cibersegurança sólida.

O futuro do cibercrime continuará marcado pelo jogo de gato e rato. No entanto, é importante destacar que, em grande medida, a conscientização da sociedade, a evolução das defesas cibernéticas e a capacidade das autoridades de desmantelar essas redes podem mudar o rumo dessa disputa constante. Enquanto isso, a conscientização e a adoção de boas práticas seguirão sendo as melhores armas nessa luta contra o crime digital.