Como se fosse um modelo de negócio, Ransomware as a Service possibilita pessoas sem conhecimento técnico pressionarem empresas a entregar um valor em troca dos dados sequestrados.
Foi com uma abordagem Ransomware as a Service (RaaS) que a Colonial Pipeline, maior sistema de oleoduto para produtos petrolíferos refinados nos Estados Unidos, teve seus dados sequestrados, decidindo pagar um resgate de 75 bitcoins (média de US$ 4,4 milhões) por eles.
RaaS não é uma técnica recente, mas começou a chamar atenção de pessoas mal-intencionadas a partir de 2020. Os ataques ransomware aumentaram 150% no mundo inteiro, segundo o relatório “Ransomware Uncovered 2020-2021” do Group-IB, provedora de soluções de cibersegurança.
O relatório mostrou ainda que o modelo Ransomware as a Service foi responsável por 64% do total de ataques em 2020. A expectativa é que essa abordagem continue crescendo, com cibercriminosos focando no acesso à rede para realizar a exfiltração de dados (saiba mais aqui).
E por que essa técnica pode crescer? Porque assim como um Software as a Service, em que você paga uma assinatura para usar uma aplicação, o RaaS tem a mesma premissa. Ainda mais que não exige do criminoso um conhecimento técnico em codificação de sistemas e plataformas.
Um exemplo simples e prático para explicar como funciona esse modelo de negócio. Imagine um serviço que demanda o pagamento de uma assinatura e que te oferece, em troca, as ferramentas necessárias para tirar proveito daquele serviço.
Só que no caso, o serviço — ilegal — é um ransomware criado por desenvolvedores com alta chance de penetração e baixa chance de ser descoberto. Esse arquivo malicioso é codificado em um aplicativo licenciado, podendo ser comprado com uma taxa única ou mensalidade.
Ransomare as a Service na prática
Antes de um RaaS ser licenciado, um grupo de especialistas é responsável pelo desenvolvimento dele. No mínimo é necessário alguém que escreva o software de criptografia e queteste a penetração de rede para encontrar um alvo e comprometê-lo.
Ao “público final” dessas aplicações, grupos hackers podem criar suas próprias regras para ter afiliados. Por exemplo, alguns criminosos não pedem dinheiro como garantia de entrada, mas podem exigir do criminoso uma comissão em cima de cada resgate pago por uma empresa.
Sem contar que os afiliados ainda têm suporte a uma documentação sobre o RaaS e um passo a passo de como lançar ataques com o software malicioso. Além disso, há hackers que fornecem um painel para que o atacante monitore o status de cada tentativa de golpe.
No entanto, existe a possibilidade de hackers recrutarem somente pessoas com habilidades específicas, deixando de fora quem não tem conhecimento sobre códigos e aplicações. A imagem abaixo é do grupo Circus Spider, que recruta afiliados a partir de “chamada pública” na dark web.
Caso Colonial Pipeline pressiona modelo RaaS
Se de um lado o relatório do Group-IB prevê aumento de ataques baseados em RaaS, do outro, a resposta do governo americano ao ataque à Colonial Pipeline dificultou o recrutamento de afiliados em fóruns na dark web.
Desde que o caso ocorreu, lá em maio deste ano, dos 75 bitcoins pagos, o Departamento de Justiça conseguiu recuperar 63,7 deles (média de US$ 2,3 milhões na cotação atual, uma vez que o valor da criptomoeda caiu recentemente).
Um artigo recente da TechRepublic, escrito pela jornalista Veronica Combs, destaca que, além das medidas do governo, fóruns hackers também baniram alguns grupos que atuam recrutando afiliados para ataques RaaS.
Em entrevista a Combs, Bryan Oliver, analista sênior da Flashpoint, companhia de inteligência de risco, comentou: “o principal resultado da ação do governo foi a proibição do recrutamento de grupos de ransomware nos fóruns undergrounds (dark web) russos de primeira categoria.”
Oliver afirma que grupos hackersperderam acesso aos fóruns Exploit e XXS – que sempre eram usados para encontrar afiliados. “Perder acesso a eles significa perder acesso a novos parceiros”, disse o analista.
Ele ainda comentou que os administradores desses fóruns baniram o DarkSide, coletivo responsável em sequestrar os dados da Colonial Pipeline, em maio. O Exploit e o XXS distribuíram US$ 1 milhão depositados pelo coletivo aos “parceiros” dele, que alegaram não terem sido pagos.
“Se os governos forem capazes de ‘anonimizar’ as transações de criptomoedas e confiscar fundos roubados, os ataques de ransomware de repente podem se tornar insustentáveis financeiramente”, disse Amit Serper, vice-presidente da Guardicore.
Quem é DarkSide?
O grupo DarkSide foi o responsável em sequestrar os dados da Colonial Pipeline. A gangue tem a motivação financeira para atacar empresas, mas geralmente tenta doar parte dos valores resgatados para instituições de caridade – que recusam o dinheiro.
A gangue DarkSide surgiu em meados de 2020 e tem chamado atenção da comunidade de segurança. Os afiliados são “profissionais” e “organizados” e os lucros pelos ataques variam entre US$ 200 mil a US$ 2 milhões.
Já sobre a abordagem, o coletivo usa duas táticas: exigem resgate para descriptografar os dados da vítima e ameaçam vazar as informações publicamente caso o dinheiro não seja transferido.
Segundo o coletivo, existe uma política de conduta em que ataques a hospitais, escolas, organizações sem fins lucrativos e entidades governamentais não são permitidos. Somente o setor privado que impacte a cadeia de abastecimento.
No More Ransom
O que fazer se o seu negócio for atingido por um ransomware?
O que especialistas e autoridades dizem é “não pagar pelo resgate”. Não há garantias de que a chave de recuperação será concedida. Mas há uma saída.
No More Ransom é um projeto global, com representantes do setor público e privado, que visa auxiliar vítimas deste tipo de ataque a recuperar as informações sequestradas sem que exista um pagamento de resgate.
O site conta com chaves e aplicações que ajudam a desbloquear alguns arquivos maliciosos, como Lorenz, Avaddon, Ziggy, Fonix, Judge/NoCry, DarkSide, ThunderX, Crypt32, Cyborg, Checkmail7, Spartcrypt e Crycryotor.
A iniciativa tem também um caráter educativo para que todos os usuários saibam mais sobre o golpe e o que pode ser feito como medida de prevenção.
Principais destaques desta matéria
- Ransomware as a Service (RaaS) é uma abordagem em que um criminoso sem conhecimentos técnicos pode contratar um software para lançar ataques.
- Foi com essa técnica que o grupo DarkSide conseguiu sequestrar os dados da Colonial Pipeline.
- Conheça conceito de RaaS e como ele acontece na prática.
- Saiba o que fazer caso você seja vítima de um ransomware.