A Kaspersky apresentou um novo estudo que revela que o ransomware é o malware de aluguel (malware como serviço – do inglês MaaS) predominante nos últimos sete anos, com cerca de 60% de todas as famílias distribuídas no período. O levantamento se baseia em pesquisas realizadas com 97 famílias de malware distribuídas de diferentes fontes, como a Dark Web. Os pesquisadores também constataram que muitas vezes os cibercriminosos alugam infostealers, botnets, loaders e backdoors para realizar seus ataques.
Malware como serviço (MaaS, Malware-as-a-Service) é um modelo de negócio ilícito que envolve a locação de software para realizar ciberataques. Normalmente, os clientes desses serviços recebem uma conta pessoal para controlar o ataque, além de suporte técnico. Isso reduz o limite inicial de expertise necessária para aspirantes a cibercriminosos.
Os especialistas da Kaspersky examinaram os volumes de vendas de diversas famílias de malware assim como menções, discussões, postagens e anúncios de pesquisa relacionados ao MaaS na Darknet e em outros recursos, a fim de identificar os tipos mais populares e se constatou que o líder é o ransomware. A popularidade do ransomware pode ser atribuída a sua grande capacidade de gerar lucros maiores que outros tipos de malware em um curto espaço de tempo.
Os cibercriminosos podem "assinar" o ransomware como serviço (RaaS, Ransomware-as-a-Service) gratuitamente e, quando se tornam parceiros do programa, pagam pelo serviço após a realização do ataque. O valor do pagamento é estabelecido como uma porcentagem do resgate pago pela vítima, normalmente algo entre 10 e 40% de cada transação. No entanto, não é simples entrar no programa, pois ele envolve requisitos rigorosos.
O segundo malware como serviço mais utilizado são os “infostealers”, ou dispositivos para roubar informações, corresponderam a 24% das famílias de malware distribuídas como serviço durante o período analisado. São programas maliciosos criados para roubar dados como credenciais, senhas, cartões e contas bancárias, históricos de navegadores, dados de carteiras criptografadas e outros. Os serviços de “infostealer” são pagos por meio de um modelo de assinatura. Seu preço varia entre US$ 100 e US$ 300 por mês.
Os infostealers também permitem que os afiliados (quem compra o serviço) criem seu próprio tipo de equipe. Os membros dessas equipes são chamados de “traffers”, ou seja, cibercriminosos que distribuem malware para aumentar lucros e obter juros, bônus e outros pagamentos dos afiliados. Os “traffers” não têm acesso ao painel de controle nem a outras ferramentas, pois seu único objetivo é ampliar a disseminação do malware. Na maioria das vezes, conseguem fazer isso disfarçando as amostras como itens menores e dando instruções de invasão de programas legítimos no YouTube e em outros sites.
 |
Exemplo de vídeo usado por “traffers” para disseminar um “infostealer”
“Os cibercriminosos negociam ativamente bens e serviços ilícitos, inclusive malware e dados roubados, nos segmentos mais obscuros da Internet. Ao compreender como esse mercado está estruturado, as empresas podem ter insights sobre os métodos e motivações de possíveis golpistas. Com essas informações, podemos ajudar as empresas a desenvolver estratégias mais eficazes para impedir ciberataques, identificando e monitorando as atividades de cibercriminosos, rastreando o fluxo de informações e mantendo-se sempre informadas sobre tendências e ameaças emergentes”, acrescentou Alexander Zabrovsky, analista de presença digital da Kaspersky.
Para proteger sua organização de ameaças relacionadas, os especialistas da Kaspersky recomendam:
- Sempre mantenha o software atualizado em todos os dispositivos usados para evitar que atacantes se infiltrem em sua rede por meio da exploração de vulnerabilidades. Instale os patches para novas vulnerabilidades assim que possível. Depois que forem baixados, os agentes de ameaças não poderão mais explorar a vulnerabilidade.
- Use as informações de Threat Intelligence mais recentes para conhecer as táticas, técnicas e procedimentos (TTPs) reais usados por agentes de ameaças.
- Use o Kaspersky Digital Footprint Intelligence para ajudar seus analistas de segurança a explorar o ponto de vista dos adversários em relação aos recursos da empresa e descobrir rapidamente os possíveis vetores de ataque disponíveis para eles. Ele também ajuda a melhorar a conscientização sobre ameaças existentes para ajustar suas defesas de maneira apropriada ou tomar medidas oportunas de defesa e eliminação.
- Se ocorrer algum incidente, o serviço Kaspersky Incident Response ajudará a reagir e minimizar as consequências, particularmente identificar os nós comprometidos e proteger toda a incidentes da Kaspersky de ataques semelhantes no futuro.
Saiba mais sobre a operação do malware como serviço em Securelist.
