O que o LeaseWeb, o Galkahost e o Spamz têm em comum? Todos eles, em um ponto ou outro, funcionam como esconderijos para cibercriminosos sob a forma de serviços de hospedagem à prova de balas (BPHS). E, para analisar o papel silencioso desses serviços de hospedagem, a Trend Micro, empresa especializada na defesa de ameaças digitais e segurança na era da nuvem, lança seu novo relatório Cybercriminal Hideouts for Lease: Bulletproof Hosting Services.
Simplificando, BPHS é qualquer instalação de hospedagem que pode armazenar qualquer tipo de conteúdo malicioso como sites de phishing, pornografia e infraestrutura de comando-e-controle (C&C). Se fosse para compará-los às gangues criminosas da vida real, os BPHSs seriam os esconderijos que criminosos utilizam para realizar suas atividades ilegais de forma privada. No contexto de crimes cibernéticos é muito comum que se menospreze o papel dos BPHSs em operações cibercriminosas e que se concentre somente em revelar as identidades dos criminosos ou que se discuta apenas seu modus operandi. Mas a verdade é que os BPHSs são tão cruciais que, na verdade, muitos dos principais grupos cibercriminosos não seriam capazes de atuar sem eles.
A pergunta que fica é: e por que não apenas removê-los? O problema é que remover os BPHS é fácil em teoria, mas difícil na prática.
No artigo, "Esconderijos de Aluguel para Criminosos: Serviços de Hospedagem à Prova de Balas", o pesquisador sênior da Trend Micro – Maxim Goncharov - cita vários fatores que tornam os BPHSs um desafio imponente para as organizações de segurança e para a polícia. Por outro lado, muitos provedores de BPHS podem operar disfarçados de provedores de hospedagem legítimos e legais. Isso torna o rastreamento deles muito complicado.
Gerir um BPHS como um Negócio
Provedores de BPHS geralmente escolhem um dos três modelos de negócios abaixo na construção de seus serviços:
Modelo 1: Servidores especializados à prova de balas
Provedores de BPHS criam uma frente de negócios convincente para evitar suspeitas e problemas com a polícia. Eles costumam fornecer serviços para clientes que precisam hospedar conteúdos que podem ser considerados ilegais em alguns países.
Modelo 2: Servidores especializados comprometidos
Provedores BPHS optam por servidores especializados comprometidos e alugam estes para terceiros que desejam hospedar conteúdos maliciosos.
Modelo 3: Serviços que abusam da hospedagem na nuvem
Os cibercriminosos abusam de serviços de hospedagem na nuvem, tais como Amazon Web Services (AWS), Hetzner, OVH e LeaseWeb para hospedar servidores C&C ou armazenar dados roubados, entre outros fins maliciosos.
É importante para esses prestadores de BPHS que eles sejam capazes de manter o seu nome ou seu domínio por um longo tempo, para mostrar que eles conseguem manter as atividades dos clientes confidenciais, particularmente de pesquisadores de segurança e policiais. Provedores de longa data geralmente conseguem se manter por sua capacidade de fornecer suporte técnico imediato, de migrar rapidamente caso eles entrem na lista negra, de proteger contra-ataques DDoS e de anunciar de forma inteligente para atingir sua clientela específica.
Os custos de hospedagem
O preço dos BPHSs depende dos riscos envolvidos na hospedagem de determinado conteúdo. Provedores em vários países oferecem um preço tão baixo quanto US$ 2 por mês para conteúdos com um baixo índice de risco, enquanto servidores com base na China, Bolívia, Irã e Ucrânia podem chegar a preços como US$ 300 por mês para os projetos de infraestruturas críticas ou conteúdos de alto risco.
Impossível de Derrubar
Outro desafio para as organizações de segurança e para a polícia é o fato de que esses serviços funcionam em locais que não policiam muito as atividades cibercriminosas. Os BPHSs são muitas vezes baseados em países com regulamentações e leis vagas de penalização e proteção contra atividades cibercriminosas.
A Trend Micro analisou vários provedores de BPHS em diferentes países e observou os tipos de conteúdo malicioso hospedados com mais frequência. Há muitos mais hosts à prova de balas que operam em outros países não citados aqui.
Figura: Conteúdo malicioso encontrado em servidores BPHS em certos países
Panamá | Líbano | Ucrânia | Rússia | Irã | Luxemburgo | Suíça | Holanda | |
Arquivos que violam DMCA | X | X | X | X | X | X | X | |
VPNs | X | X | X | X | X | |||
Sites de
compras falsos |
X | X | X | X | ||||
Spam | X | X | ||||||
Componentes de C&C | X | X | X | |||||
Sites para
download de torrents |
X | X | X | |||||
Pseudosites de SEO
Blackhat |
X | X | X | |||||
Fóruns Warez | X | X | X | |||||
Ferramentas de Força
Bruta |
X | X | X | X |