Os cartéis do crime cibernético

As ciberameaças normalmente são conhecidas por atacar através de campanhas massivas de phishing que procuram alguma vítima que acredite no golpe e baixe automaticamente algum tipo de malware.

Esta forma de ataque foi a primeira a aparecer e ainda é uma das mais utilizadas, mas as formas de ataque evoluíram até o ponto em que hoje existe um crime verdadeiramente organizado, máfias de crackers com habilidades e ferramentas, e em alguns casos até patrocinados por organizações ou empresas de poder.

Muitos destes grupos nem são os que atacam diretamente às organizações e sim os que fornecem os contatos para os atacantes, ou seja, funcionam como vendedores no mercado negro cibernético. São chamados de corretores de acesso inicial e estes corretores são uma parte crucial da cadeia de suprimentos de ataques digitais.

Os corretores de acesso inicial

A função deste tipo de corretores é fornecer às gangues de ransomware (e outras) acesso a grandes coleções de sistemas comprometidos, como endpoints RDP hackeados, dispositivos de rede backdoor e computadores infectados por malware.

Graças a esses cartéis de vendedores, os crackers que irão atacar os sistemas comprados poderão acessar facilmente as redes corporativas e criptografar arquivos para exigir resgates enormes.

Existem três tipos de corretores

Vendedores de endpoints RDP comprometidos

Grupos de cibercriminosos começam a realizar ataques de força bruta contra estações de trabalho ou servidores configurados para acesso RDP (Remote Desktop Protocol) que foram deixados expostos na Internet com credenciais fracas.

Quando eles conseguem, vendem esses acessos nas chamadas “lojas RDP”, onde grupos de crackers dedicados a realizar ataques de ransomware geralmente selecionam e compram os sistemas que acreditam estar localizados dentro da rede de um alvo de alto valor.

Vendedores de dispositivos de rede hackeados

Neste caso, os cartéis usam exploits para vulnerabilidades conhecidas publicamente e assumem o controle dos equipamentos de rede de uma empresa, como servidores VPN, firewalls ou outros dispositivos periféricos. O acesso a esses dispositivos e às redes internas que eles protegem / conectam é vendido em fóruns de crackers ou para gangues de ransomware diretamente.

Vendedores de computadores já infectados com malware

Muitos dos botnets de malware atuais, dirigidos por cartéis de cibersegurança frequentemente procuram sistemas de redes corporativas nos computadores que infectam. Assim que eles encontram, vendem o acesso a esses sistemas de alto valor para outras operações do cibercrime, incluindo gangues de ransomware.

Como se proteger para não ser parte da lista destes corretores?

Em alguns casos é possível sim se proteger se as organizações diminuem as brechas de segurança, fortalecem as senhas e credenciais de acesso e utilizam boas soluções de proteção. Porém, em outros casos acaba sendo mais complicado, como é no caso dos botnets de malware, pois muitos destes são direcionados através de engenharia social em forma de phishing, vishing, smishing, pretexting, entre outros. E quando os ataques envolvem pessoas, é muito mais difícil ter uma proteção completa e robusta porque depende de muitos fatores, como a inocência do próprio usuário, o treinamento para identificar situações estranhas, a educação geral sobre o tema de cibersegurança, etc.

Através da engenharia social é muito mais fácil enganar os usuários para que eles sozinhos sejam os responsáveis por instalar softwares maliciosos sem saber.

É por isso, que, como sempre, os treinamentos e a educação do usuário deve ser mencionada uma vez mais, pois no final é a única forma de evitar os ataques de engenharia social que nem uma solução robusta de segurança pode evitar.

Os botnets, a forma mais sofisticada de ataque

Os malware que funcionam como downloaders de software maliciosos, também chamados de botnets, agora são uma forma de ataque que em alguns casos pode até ser melhor do que um ataque direto de ransomware. Por quê? É mais fácil instalar um “pequeno” malware através de um ataque de engenharia social, de forma silenciosa e imperceptível que comece a coletar dados da rede corporativa para logo serem compilados e vendidos a um preço elevado.

Estes botnets serão compiladores de informação e descobrirão acessos de redes e falhas.

Assim, as gangues de ransomware que usarão esses dados para atacar terão maiores possibilidades de “sucesso” e os cartéis vendedores de acesso gerarão lucros da operação também. É, como falamos, todo um sistema organizado em que uns são beneficiados dos outros e vice versa.

O melhor que podemos fazer

O melhor que podemos fazer não é nos resignar, mas sim entender que o cibercrime não vai parar, vai seguir aumentando e evoluindo. Então por isso a única solução é estar preparado, contar com plano b e c e, mais uma vez, treinar seus funcionários.

Conte com a Alus para ajudar sua empresa na proteção do seu ambiente corporativo.

Gostou desta matéria? Não perca! Proximamente falaremos sobre as maiores gangues do crime cibernético e estenderemos a informação sobre este tema.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima