0
0
Esta semana, a polícia nacional holandesa fechou o serviço de mensagens criminosas Exclu em conjunto com uma repressão abrangente que incluiu 79 buscas e 42 prisões na Holanda, Alemanha e Bélgica. A paralisação destaca os esforços que as autoridades estão fazendo para interromper o uso de aplicativos de mensagens no ecossistema cibercriminoso. Esse serviço em particular era único por ser domínio exclusivo de criminosos cibernéticos e traficantes de drogas, mas oferece um vislumbre da evolução dos métodos de comunicação do cibercrime em 2023.
No ano passado, os especialistas descobriram cada vez mais que os cibercriminosos estão se afastando dos fóruns da Dark Web em favor de aplicativos de mensagens e canais de comunicação criptografados. E, de forma mais ampla, analistas e pesquisadores de segurança divulgaram detalhes mostrando como plataformas legítimas como Telegram, WhatsApp e Discord estão se tornando um foco de atividades criminosas – não apenas para comunicações cibercriminosas, mas também para uma ampla gama de golpes e campanhas de exploração.
Morte dos Excluídos
Segundo as autoridades holandesas , a ação contra o Exclu, seus criadores e seus usuários foi o culminar de uma investigação que durou quase dois anos. As autoridades estimam que o aplicativo tenha cerca de 3.000 usuários, que utilizaram o Exclu em smartphones por meio de um esquema de licenciamento de cerca de € 800 (aproximadamente US$ 857) a cada seis meses. Em troca, eles obtiveram acesso a uma plataforma altamente segura e criptografada que lhes permitiu trocar mensagens, fotos, notas, bate-papos e outras informações de forma privada para apoiar sua atividade criminosa.
A polícia da Holanda disse que trabalhou em estreita colaboração com diferentes agências em toda a Europa, incluindo Eurojust, Europol e forças policiais na Itália, Suécia, França e Alemanha. As autoridades holandesas agradeceram particularmente ao Landeskriminalamt alemão (LKA) Rheinland-Pfalz por suas primeiras investigações em junho de 2020, que primeiro chamaram a atenção para Exclu e forneceram evidências importantes para a investigação. Eles dizem que a operação de longa data foi capaz de quebrar o Exclu usando métodos de hacking e trabalho investigativo tradicional da polícia.
A repressão segue relativamente de perto os fechamentos semelhantes de serviços como Sky ECC e EncroChat .
A migração do aplicativo de mensagens
Muitos cibercriminosos não estão recorrendo a redes privadas de mensagens criminosas Excluir quando podem facilmente (e barato) usar e abusar de aplicativos legítimos de mensagens como Telegram, WhatsApp e Discord.
Na semana passada, analistas da empresa de inteligência contra ameaças Flare classificaram o Telegram como uma das principais fontes ilícitas para monitorar atividades cibercriminosas em 2023. Eles relatam que os cibercriminosos estão começando a utilizar os Grupos do Telegram como uma extensão do alcance dos fóruns da Dark Web para seu anonimato. e comunicações criptografadas.
“O Telegram não tem administradores tradicionais monitorando seus grupos e bate-papos individuais, o que é atraente para o anonimato. Os atores de ameaças também podem ocultar seus números de telefone no serviço”, de acordo com a análise de Flare em uma postagem recente no blog. “O Telegram oferece criptografia de ponta a ponta para mensagens por padrão, o que ajuda a evitar possíveis ataques man-in-the-middle que podem bisbilhotar mensagens em trânsito. Os fóruns e mercados da Dark Web também têm uma opção de criptografia, mas os agentes de ameaças precisam use algo como Pretty Good Privacy (PGP) para garantir a criptografia, o que é menos conveniente.”
Isso ecoa uma pesquisa semelhante realizada no verão passado pela Intel 471, que observou que os grupos cibercriminosos que estava observando estavam se inclinando para o Telegram como o método preferido de comunicação anônima em comparação com os serviços de mensagens no fórum.
“Dos grupos cibercriminosos que a Intel 471 observou, o Telegram é considerado o método preferido de comunicação anônima em oposição aos serviços de mensagens no fórum monitorados pelos administradores. O Telegram fornece aos atores comunicação criptografada quase em tempo real se ambas as partes estiverem online simultaneamente, enquanto as mensagens no fórum exigem a espera de notificações de e-mail não criptografadas”, escreveram os pesquisadores do Intel471 . “Esse tempo de atraso, juntamente com outros riscos de segurança associados às comunicações do fórum, incentiva regularmente os atores a fornecer outros detalhes de contato nos anúncios do fórum, como endereços de e-mail e IDs do Telegram”.
Essa descoberta veio logo após outra desses pesquisadores, que apontou que o Telegram e o Discord não são apenas para comunicados – eles também estão sendo sequestrados para lançar uma série de ataques cibernéticos . Mais recentemente, os pesquisadores da KELA relataram que o Telegram em particular está sendo usado para vender e vazar dados roubados, usá-lo como um canal para vender outros produtos ilegais, divulgar informações sobre seus ataques e construir bots para reforçar sua infraestrutura que lança ataques e exfiltra dados. .
O problema do bot do Telegram tem crescido particularmente em seu perfil nos radares dos analistas de segurança.
“Os bots do Telegram se tornaram uma escolha popular para os agentes de ameaças, pois são uma solução de painel único de baixo custo ou gratuita”, diz Joe Gallop, gerente de análise de inteligência da Cofense, que aponta para o relatório recente de sua empresa que observou que o uso de bots do Telegram como destinos de exfiltração para informações de phishing explodiu em mais de 800% entre 2021 e 2022. “Os bots do Telegram são fáceis de configurar em chats privados e em grupo, são compatíveis com uma ampla variedade de linguagens de programação e são fáceis de para integrar em mídia maliciosa, como malware ou kits de phishing de credenciais.”
FONTE: DARK READING