Este gráfico mostra as conexões entre grupos de crimes cibernéticos

Views: 76
0 0
Read Time:6 Minute, 32 Second

Relatórios de cibersegurança frequentemente falam sobre atores de ameaças e suas operações de malware/hacking como eventos independentes, mas, na realidade, o ecossistema de crimes cibernéticos é muito menor e muito mais interconectado do que o leigo pode imaginar.

Grupos de crimes cibernéticos geralmente têm cadeias de suprimentos complexas, como empresas de software reais, e desenvolvem regularmente relacionamentos dentro do resto do ecossistema de crimes eletrônicos para adquirir acesso a tecnologia essencial que permita suas operações ou maximize seus lucros.

De acordo com a empresa de segurança cibernética CrowdStrike, essas tecnologias de terceiros podem ser classificadas em três categorias: serviços, distribuição e monetização.

Quebrando cada um, a categoria de serviços geralmente inclui:

  • Corretores de acesso – atores de ameaça que violam redes corporativas e vendem acesso à rede interna de uma empresa para outras gangues.
  • As ferramentas de ataque DDoS – também conhecidas como booters DDoS ou DDoS-for-hire, esses grupos fornecem acesso a painéis baseados na Web de onde qualquer pessoa pode lançar um ataque DDoS contra um alvo.
  • Anonimato e criptografia – atores de ameaças que vendem acesso a redes privadas de proxy e VPN, para que os hackers possam disfarçar sua localização e origem de seus ataques.
  • Kits de phishing – atores de ameaças que criam e mantêm kits de phishing,ferramentas baseadas na Web usadas para automatizar ataques de phishing e a coleção de credenciais phished.
  • Hardware à venda – atores de ameaças que vendem hardware personalizado, como skimmers atm, dispositivos de farejador de rede e muito mais.
  • Ransomware – também conhecido como Ransomware-as-a-Service, ou RaaS, esses grupos vendem acesso a cepas de ransomware ou um painel baseado na Web onde outras gangues podem construir seu próprio ransomware personalizado.
  • Crime-as-a-Service – semelhante ao RaaS, mas esses grupos fornecem acesso a trojans bancários ou outras formas de malware.
  • Carregadores – também conhecidos como “instalações de bots”, são atores de ameaças que já infectaram computadores, smartphones e servidores com seu próprio malware e oferecem “carregar/instalar” o malware de outro grupo no mesmo sistema, para que o outro grupo possa monetizá-lo através de ransomware, trojans bancários, ladrões de informações, etc.
  • Contra-serviços/verificadores antivírus – estes são portais privados da Web onde os devs de malware podem carregar suas amostras e testá-las contra os motores dos modernos sistemas antivírus sem o medo da detecção do malware ser compartilhada com o fabricante de AV.
  • Serviços de embalagem de malware – essas são ferramentas baseadas na Web ou baseadas em desktop que os desenvolvedores de malware usam para embaralhar o código de sua variedade de malware e dificultar a detecção por software antivírus.
  • Serviços de teste de cartão de crédito/débito – estas são ferramentas que os hackers usam para testar se os números do cartão de pagamento que adquiriram estão em um formato válido e se o cartão é (ainda) válido.
  • Kits webinject – estas são ferramentas especializadas, geralmente usadas em conjunto com trojans bancários, para permitir que uma gangue de trojan bancário insira código malicioso dentro do navegador da vítima enquanto eles visitam um site de e-banking (ou qualquer outro).
  • Hospedagem & infraestrutura – também conhecidos como provedores de hospedagem à prova de balas, seu nome é evidente, pois fornecem infraestrutura privada de hospedagem web especificamente adaptada para gangues criminosas.
  • Recrutamento para fins criminosos – estes são grupos especializados que recrutam, subornam ou enganam cidadãos normais para participar em uma operação de crimes cibernéticos (por exemplo, alguém que viaja para os EUA na tentativa de subornar um funcionário da Tesla para executar uma ferramenta maliciosa dentro da rede interna da empresa).

Por outro lado, os serviços de distribuição incluem os tipos de:

  • Grupos que executam campanhas de spam em redes sociais ou aplicativos de mensagens instantâneas.
  • Grupos especializados em distribuição de spam de e-mail.
  • Grupos que desenvolvem e vendem kits de exploração.
  • Grupos que compram tráfego de sites hackeados e o distribuem para páginas da Web maliciosas que geralmente hospedam kits de exploração, golpes de suporte técnico, golpes financeiros, kits de phishing e outros.

Quanto aos serviços de monetização, crowdstrike diz que esta categoria geralmente inclui:

  • Serviços de mulas de dinheiro – grupos que se oferecem para aparecer fisicamente e pegar dinheiro de caixas eletrônicos hackeados, receber dinheiro em suas contas bancárias e, em seguida, redirecionados para os hackers, seu serviço de lavagem de dinheiro preferido ou reshipping fraud.
  • Lavagem de dinheiro – grupos que muitas vezes operam redes de empresas de fachada através das quais eles movimentam fundos de contas bancárias hackeadas, saques em caixas eletrônicos ou roubos de criptomoedas. Alguns serviços de lavagem de dinheiro também operam na dark web como serviços de mistura de Bitcoin.
  • Redes de fraudes de reshipping – grupos que pegam fundos roubados, compram produtos reais, enviam os produtos para outro país. Os produtos, geralmente artigos de luxo, como carros, eletrônicos ou joias, são então revendidos e convertidos em moeda fiduciária limpa que é transferida para os hackers que contrataram seus serviços.
  • Lojas de despejo – grupos que vendem dados de empresas hackeadas através de sites especializados e canais de mídia social.
  • Pagamentos de resgate e extorsão – grupos especializados em extorquir vítimas, e que podem ser contratados por outras gangues em posse de dados roubados.
  • Coleta e venda de informações de cartão de pagamento – também conhecidas como lojas de cartões, estes são tipicamente fóruns onde grupos de crimes cibernéticos vão vender dados de cartões de pagamento roubados.
  • Serviços de criptomoedas – uma forma de lavagem de dinheiro, esses serviços oferecem para “misturar” fundos roubados e ajudar hackers a perder o rastro de fundos roubados.
  • Fraude eletrônica – como o nome diz, grupos especializados na realização de fraudes bancárias, como golpes do BEC.
crowdstrike-services.png
Imagem: CrowdStrike

Acompanhamento de todas as conexões entre grupos e seus fornecedores e quem trabalha com quem é quase impossível hoje devido ao amplo uso de canais de comunicação criptografados entre as partes.

No entanto, no domínio dos ataques de malware,alguns sinais de cooperação podem ser observados pela maneira como o malware passa de invasores para hosts infectados.

Embora essas conexões nunca possam ser totalmente verificadas, também é bastante óbvio que quando o malware Emotet está baixando o malware TrickBot que as duas gangues estão cooperando como parte de um mecanismo de “carregador” fornecido pela equipe Emotet para a gangue TrickBot.

Em seu Relatório global de ameaças de 2021,divulgado na segunda-feira, a empresa de segurança CrowdStrike resumiu, pela primeira vez, algumas das conexões que existem atualmente no submundo do crime cibernético entre vários operadores de crimes eletrônicos.

A empresa usa sua própria nomenclatura para grupos de crimes eletrônicos, então alguns nomes de grupos podem soar diferentes do que vimos antes. No entanto, o CrowdStrike também fornece um índice interativo para que qualquer pessoa possa aprender mais sobre cada grupo e vinculá-lo aos nomes usados por outras empresas.

crowdstrike-table.png
Imagem: CrowdStrike

O que o gráfico acima mostra é que os facilitadores desempenham um papel tão importante nas invasões cibernéticas quanto os grupos que executam a intrusão.

Como a Chainalysis apontou em um relatório separado no mês passado, as agências de aplicação da lei são mais propensas a obter melhores resultados na interrupção das operações de crimes cibernéticos ao atingir esses fornecedores de serviços compartilhados, pois eles podem acabar interrompendo as atividades de vários grupos de crimes cibernéticos ao mesmo tempo.

Além disso, há também outros benefícios. Por exemplo, enquanto as gangues de crimes cibernéticos de alto nível geralmente têm segurança operacional de primeira linha (OpSec) e não revelam detalhes sobre suas operações, visando ativadores de nível inferior, que nem sempre protegem suas identidades, poderia fornecer às agências de aplicação da lei dados que poderiam ajudá-los a desmascarar e rastrear os grupos maiores.

FONTE: ZDNET

Previous post 661 multas emitidas desde que o GDPR se tornou aplicável, totalizando € 292 milhões
Next post Novo hack permite que atacantes contornem MASTERCard PIN usando-os como cartão visa

Deixe um comentário