0
0
Ultimamente, atores da dark web têm mais uma preocupação: ser pego pela polícia. Rastrear atividades ilegais na dark web tem sido um jogo de gato e rato para as autoridades, mas no final, eles muitas vezes pegam seus adversários e aproveitam o dinheiro desonesto. Na noite das eleições presidenciais de 2020, por exemplo, funcionários do governo dos EUA conseguiram esvaziar uma carteira de Bitcoin de US$ 1 bilhão recuperando fundos ligados à Silk Road, sete anos após o fechamento do mercado. Silk Road era um mercado subterrâneo popular que lidava com bens e serviços ilegais, como narcóticos, hacking para alugar e assassinatos de contratos.
Golpes de fechamento e saída de grupos de cibercriminosos
Eventos como esses têm obrigado os cibercriminosos a traçar novas estratégias, que às vezes envolvem fechar lojas e sacar antes de entrarem no radar dos federais. Em outubro de 2020, o grupo de ransomware Maze, que invadiu centenas de empresas, incluindo Xerox, LG e Canon, fechou-se durante um período de seis semanas afirmando que havia aposentado suas atividades. No entanto, especialistas sugeriram que esta é provavelmente uma fachada. Os operadores de ransomware geralmente encerram uma operação para se juntar a outra em vez de sair completamente do negócio.
“Nos últimos anos, a rede escura mudou drasticamente, bastante organicamente, devido ao aumento do uso de fóruns e marketplaces anônimos por organizações criminosas organizadas, à crescente presença de jovens aspirantes a criminosos inspirados no YouTube, e, naturalmente, ao aumento subsequente da presença da polícia e suas tentativas de se infiltrar, desanimizar e derrubar tais grupos e serviços ocultos”, diz Mark Turnage, CEO da DarkOwl , um mecanismo de busca na dark web.
Dark web se tornando um canal de recrutamento
De acordo com Turnage, a dark web evoluiu para um terreno intermediário onde os cibercriminosos interagem minimamente para caçar novos membros para seu grupo. Eles então movem as comunicações para canais privados e criptografados, como Telegram,Jabber e WickR. “Desenvolvedores de malware e fraudes financeiras [criminosos] dependem menos de mercados da dark net para distribuir suas explorações e, em vez disso, cobram fóruns de chapéu preto em toda a deep web e darknet para estabelecer sua marca, desenvolver influência em toda a comunidade e recrutar novos membros”, diz Turnage. “Muitas organizações criminosas usam a rede escura apenas para vetar potenciais afiliados, particularmente no setor de ransomware-as-a-service, e seus [co-conspiradores].”https://imasdk.googleapis.com/js/core/bridge3.453.0_en.html#goog_1523915739Volume 0%
Turnage diz que a DarkOwl viu criminosos mais tecnicamente experientes aumentarem seu uso de redes escuras descentralizadas alternativas e redes de malha, como Lokinet e Yggdrasil. Ele atribui isso à curta vida útil de mercados e serviços da dark net em tor e apreensões de servidores por agências de aplicação da lei coordenadas globalmente.
A mudança de mercados de nódulos Tor para serviços de mensagens privadas também pode vir com vantagens técnicas, como proteções de negação de serviço distribuída(DDoS). Essas salvaguardas técnicas podem atrair administradores da dark web, já que mercados subterrâneos como o Empire foram forçados a se desligar após ataques de DDoS por outros cibercriminosos em tentativas de extorsão bastante irônicas. A saída abrupta do Empire também tornou o seu chamado vazio de garantia “custódia”, levando alguns clientes a rotular o encerramento como um “golpe de saída”.
Ao mudar os clientes para serviços legítimos de mensagens criptografadas, os cibercriminosos aproveitam a infraestrutura distribuída confiável dessas plataformas, mantendo-se discretos e evitando o escrutínio da aplicação da lei. É certo que plataformas de mensagens como o Telegram podem não ser totalmente imunes a ataques DDoS, protegendo contra tais ataques e, em seguida, torna-se responsabilidade dos proprietários de plataformas em vez de operações na dark web.
Aproveitando conversas subterrâneas para coleta de informações
De acordo com Raveed Laeb, gerente de produto da KELA, a dark web de hoje representa uma grande variedade de bens e serviços. Embora tradicionalmente concentradas em fóruns, as comunicações e transações da dark web mudaram-se para diferentes meios, incluindo plataformas de IM, lojas automatizadas e comunidades fechadas. Os atores de ameaças estão compartilhando informações secretas em redes comprometidas, dados roubados, bancos de dados vazados e outros produtos de crimes cibernéticos monetizáveis através desses meios.
“As mudanças de mercado são focadas em automação e servitização [modelos de assinatura], visando ajudar o negócio de crimes cibernéticos a crescer em escala”, diz Laeb. “Como pode ser testemunhado pelo aumento exponencial dos ataques de ransomware que alavancam o ecossistema financeiro subterrâneo, os mercados cibercriminosos para cibercriminosos permitem que os atores criem perfeitamente uma cadeia de suprimentos que suporte invasões de crimes cibernéticos descentralizadas e eficazes — dando aos atacantes uma vantagem inerente.”
Pelo lado positivo, profissionais de segurança e analistas de ameaças podem acessar essas informações para identificar e corrigir as fraquezas do sistema antes que os atores de ameaças possam explorá-las. “Os defensores podem explorar esses ecossistemas robustos e dinâmicos, ganhando visibilidade sobre o funcionamento interno do ecossistema subterrâneo — permitindo que eles rastreiem as mesmas vulnerabilidades, exposições e compromissos que seriam aproveitados pelos atores de ameaças e os remediariam antes de serem explorados”, diz Laeb.
Isso pode ser feito monitorando fóruns e sites da darknet onde os atores de ameaças são mais propensos a espreitar, discutir ameaças futuras e colocar explorações à venda. Um hacker postou recentemente explorações para mais de 49.000 VPNs Fortinet vulneráveis em um fórum, por exemplo, algumas das quais pertenciam a telecomunicações proeminentes, bancos e organizações governamentais. Isso foi seguido por um segundo post no fórum no qual outro ator de ameaças expôs credenciais de texto simples para todos os dispositivos VPN para qualquer adversário explorar. Embora a vulnerabilidade em questão seja um bug de dois anos atrás, provavelmente não no radar de ninguém, milhares de VPNs corporativas presentes na lista permaneceram vulneráveis a essa questão crítica.
Tocar em tais fóruns e monitorar tais informações pode dar avisos às equipes de segurança das organizações para fazer suas devidas diligências para onde os adversários podem estar indo em seguida.
Rastreamento de atividades ilícitas disfarçadas em programas legítimos
Grupos avançados de ameaças persistentes(APT)estão agora usando a dark web para coletar conhecimento de seus alvos e, em seguida, usar protocolos e programas de rede legítimos para fins de exfiltração de dados secretos. “No passado, as organizações tendiam a se preocupar apenas com seus próprios dados aparecendo na dark web, e mesmo assim, só tocaria sinos de alarme se dados significativos fossem localizados. No entanto, muitos dos grupos de ameaças persistentes avançadas apoiados pela Nação Chinesa e Rússia estão agora usando a rede escura para realizar o reconhecimento de alvos potenciais e, em seguida, fornecer uma cobertura para exfiltrar dados”, diz Vince Warrington, CEO da Dark Intelligence.
“Desde o início de 2020, o uso de SSH por esses grupos APT aumentou mais de 200%. Nossa pesquisa indicou que os grupos APT estão usando o SSH via porta 22 para se infiltrar em organizações sem serem notados e, uma vez dentro, estão usando sistemas mal monitorados e mantidos — especialmente sistemas de controle industrial — para roubar quantidades significativas de dados. Vários ataques recentes são acusados de terem roubado mais de 1 terabyte de dados de empresas individuais, uma enorme quantidade que as organizações não estão conseguindo detectar porque são incapazes de monitorar efetivamente para conexões de rede escura”, diz Warrington.
Este ponto foi comprovado pela descoberta no mês passado do ataque maciço da cadeia de suprimentos SolarWinds atribuído ao grupo de espionagem russo APT29, também conhecido como Urso Aconchegante. Ao explorar a confiança dentro de um programa legítimo como o SolarWinds Orion e seus canais de atualização seguras (ou protocolos), atacantes sofisticados conseguiram invadir silenciosamente mais de 18.000 dos 300.000 clientes da SolarWinds e permaneceram sem serem detectados por meses. Suas atividades sinistras conduzidas como parte deste ataque poderiam ter envolvido vigilância secreta e exfiltração de dados sem deixar rastros óbvios.
Isso é diferente dos casos em que atores de ameaças fazem barulho em fóruns públicos ou escuros da web ao vazar despejos de dados. Então, monitorar a dark web sozinho para sinais de exfiltração de dados não é suficiente.
Analistas de ameaças e pesquisadores de segurança são, portanto, encorajados a reavaliar suas estratégias de monitoramento. Em vez de se concentrar apenas na detecção de anomalias em redes corporativas, como IPs estrangeiros e números de porta ímpares, ou esperar que dados proprietários apareçam na dark web, vale a pena monitorar programas e serviços confiáveis, incluindo suas atualizações de segurança, e as cadeias de fornecimento de software da sua organização, onde os atores de ameaças podem estar se escondendo despercebidos.
FONTE: CSO