0
0
Existem milhares, se não milhões, dentro do ecossistema moderno de crimes cibernéticos. Poucos cérebros e um vasto exército de trabalhadores que vendem suas habilidades ao licitante mais alto. De onde eles vieram? Pesquisas mostram que o que começou como curiosidade inocente gradualmente levou a cruzar a linha para o lado negro.
O cibercrime moderno é perigosamente eficaz porque é um negócio. Ransomware, spyware, malware e qualquer tipo de ‘ware’ podem ser vendidos e comprados como um serviço. Os profissionais que criam o software podem nunca usá-lo, enquanto os atores de ameaças que operam o software podem não ter ideia de como fazê-lo.
Mas de onde vêm todas essas pessoas? Uma equipe de pesquisadores analisou milhares de mensagens em fóruns criminais para responder exatamente isso durante a conferência Black Hat USA 2021.
Força de trabalho informal
Uma equipe de pesquisadores de segurança descobriu um registro de bate-papo privado de mais de 6.000 mensagens enviadas ao longo de dois anos, onde atores de ameaças discutiram em particular como espalhar o botnet Geost, um malware bancário Android direcionado principalmente a cidadãos russos.
Mesmo que algumas pessoas possam derivar, elas favorecem a informalidade em detrimento dos fóruns de crimes cibernéticos. Isso nos diz que, se eles potencialmente tivessem uma escolha, provavelmente estariam ganhando dinheiro legal ou pelo menos informalmente,
Masarah Paquet-Clouston.
“O interessante é que no bate-papo privado, eles estavam discutindo conversas que aconteceram no espaço público”, disse Serge-Oliver Paquette, gerente sênior de ciência de dados da Secureweork, durante o briefing.
A equipe de pesquisadores descobriu que três pessoas-chave no chatlog vazado procuraram “trabalhadores” qualificados em uma plataforma de marketing na Internet de língua russa, onde os usuários procuram principalmente conselhos e oportunidades para ganhar dinheiro extra.
Os principais atores de ameaças procuraram uma chamada força de trabalho informal, ou qualquer pessoa que queira ganhar algum dinheiro ao lado, usando suas habilidades, seja codificação, desenvolvimento web ou qualquer outra coisa. Sem surpresa, as plataformas que permitem tais atividades são chamadas de plataformas informais.
No entanto, os atores de ameaças empregaram plataformas informais que buscavam ajuda para desenvolver portais Android que lhes permitissem espalhar APKs Android infectados, ou seja, o botnet Geost.
“Eles não eram os botmasters ou criminosos motivados por trás da botnet Geost, mas pareciam aqueles indivíduos na periferia do esquema criminoso, ajudando APKs a se espalharem na natureza”, disse Masarah Paquet-Clouston, pesquisadora de segurança da GoSecure, durante a apresentação.
A pesquisa mostra que, por si só, os infratores não teriam a capacidade ou as ferramentas para realizar o esquema. Mas uma força de trabalho informal permite que atores de ameaças pouco qualificados concluam tarefas ambiciosas.
Deriva perigosa
A análise do chatlog mostrou que o botnet Geost nunca foi mencionado em nenhuma das discussões entre autores e potenciais contratados, o que levanta a questão de saber se os membros da força de trabalho informal estavam cientes do uso dos serviços que prestavam ou não.
Para chegar ao fundo disso, os pesquisadores fizeram todas as interações entre o trio espalhando o botnet Geost e as pessoas com quem conversaram e cruzaram todos os seus apelidos com 38 plataformas relacionadas à disseminação do cibercrime.
A equipe descobriu que pelo menos 7% dos mais de 21 mil membros da “forço de trabalho informal” usavam plataformas associadas ao cibercrime. Devido à sua tendência de derivar entre plataformas informais e plataformas criminosas, esses usuários foram apelidados de ‘drifters’.
Indo ainda mais longe, a equipe coletou dados sobre a atividade on-line de andarilhos, abrangendo de 2012 a 2020, para avaliar onde a vida da criminalidade começa.
A pesquisa mostra que 75% dos chamados andarilhos tendem a se ater a plataformas informais e não criminosas ao longo do tempo, principalmente postando lá. No entanto, 15% dos andarilhos começaram postando e comentando em plataformas informais, mas gradualmente mudaram para a plataforma abertamente criminosa. 12% dos andarilhos começaram em plataformas informais, mas se voltaram para plataformas criminosas rapidamente.
Paquet-Clouston, Olivier Paquette, Sebastian Garcia e Maria Jose Erquiaga, da Universidade Técnica Tcheca, descobriram que a grande maioria das pessoas só está curiosa sobre o cibercrime, mas tende a se ater à economia informal, ganhando dinheiro extra com talvez poucas perguntas sobre onde seu trabalho é usado.
Um quarto das pessoas gravita em torno de atividades apenas criminosas ao longo do tempo, apoiando os cérebros por trás da pandemia de crimes cibernéticos. A principal conclusão é que essas pessoas não participam diretamente do cibercrime, mas oferecem seus serviços. Isso significa que eles têm motivações muito diferentes em comparação com as dos criminosos que espalham o malware.
Depois que a conferência chegou ao fim, nos sentamos com Masarah para discutir as implicações da pesquisa apresentada pela equipe e como combater a pandemia de crimes cibernéticos em andamento.
Trabalhadores que têm habilidades, mas não necessariamente têm oportunidades de emprego, podem derivar porque não têm opções. Então, uma maneira de combater o cibercrime seria garantir que esses indivíduos tenham oportunidades,
Masarah Paquet-Clouston.
Sua apresentação no Black Hat menciona o termo ‘drifter’ para definir pessoas em cima do muro entre a economia informal e atividades ilícitas. Você poderia explicar um pouco mais, o que você quer dizer com isso?
Na apresentação, ‘drifter’ é um indivíduo que participa de discussões nos fóruns informais que estudamos, mas também esteve nos fóruns de crimes cibernéticos. O conceito de deriva vem da criminologia, e diz que antes de cometer um crime, as pessoas precisam liberar restrições morais. Nessa fase, algumas dessas restrições morais estão sendo aliviadas.
Não temos certeza se eles cometeram atos criminosos. Não temos ideia, já que eles só falaram em um fórum de crimes cibernéticos. Mas se o fórum de crimes cibernéticos é autoproclamado criminoso, fica óbvio. E pelo menos sabemos que eles, vagabundos, liberaram suas restrições morais. Há uma diferença entre navegar no fórum criminal, mas comentar sobre isso é mais um passo.
Esta análise não está indo em suas conversas para ver se eles reconhecem ou não que estão cometendo um crime. Esse seria o próximo passo, verificando o que eles estão fazendo. Mas é a ideia de que algumas dessas pessoas estão na linha. Até agora, sabemos que algumas pessoas, com uma boa oportunidade de ganhar dinheiro, ficarão à deriva.
Você acha que as pessoas que você pesquisou estavam cientes de que alguns dos serviços que eles fornecem eram destinados a criminosos ou ilícitos?
Eles sabiam que era obscuro. Eles falaram sobre os aplicativos obscuros e estavam meio cientes de que algo estava errado. No entanto, quer você coloque algo em um site, seja algo bom ou não, isso não muda nada. Não é como se você estivesse batendo na cabeça de alguém ou fazendo algo abertamente criminoso. A linha é muito cinza.
Você também falou sobre como cerca de um quarto das pessoas se movem para passar seu tempo em fóruns criminais ao longo do tempo. Para que essa descoberta aponta, o que podemos fazer com ela?
O próximo passo é entrar e ver se podemos ou não diferenciar essas pessoas que ficam com um reino informal daquelas que derivam. Acho que a principal conclusão dessa análise específica é ver que, mesmo que algumas pessoas possam derivar, elas favorecem a informalidade em detrimento dos fóruns de crimes cibernéticos. Isso nos diz que, se eles potencialmente tivessem uma escolha, provavelmente estariam ganhando dinheiro legal ou pelo menos informalmente.
Isso é algo que eu particularmente gostei na sua apresentação, que a maioria das pessoas provavelmente não quer ir e fazer atividades criminosas. Você acha que existe uma maneira de segmentar pessoas que não são mentores por trás da operação, mas apoiam o ecossistema que os cérebros usam?
Acho que sim. Trabalhadores que têm habilidades, mas não necessariamente têm oportunidades de emprego, podem derivar porque não têm opções. Então, uma maneira de combater o cibercrime seria garantir que esses indivíduos tenham oportunidades.
E eu sei que é algo que vemos agora. A partir de entrevistas que faço com indivíduos, por exemplo, na Rússia, aprendi que as empresas de segurança cibernética contratam muitas pessoas. E isso ajuda porque você tem oportunidades em segurança cibernética. Então, por que você entraria no crime se pudesse fazê-lo legalmente? Então, sim, acho que uma maneira de combater isso é realmente dar-lhes empregos.
FONTE: CYBERNEWS