Especialistas observam aumento nos anúncios de pedidos para hackers black hat. Aqui está o que eles estão almejando e como responder à ameaça da Deep Web
“Preciso de um hacker de site por US$ 2.000”; “Quebre este site por US$ 10”; “Você pode coletar informações dos sites de nossos concorrentes?”; ou “Você pode excluir comentários? Budget US$ 300”.
Postagens como essas, em que indivíduos tentam contratar black hats, inundaram alguns dos fóruns de hackers mais ativos na dark web. A maioria dessas mensagens é sobre como atacar sites, comprar e vender bancos de dados de clientes ou obter acesso a recursos corporativos da web.
A maioria das pessoas quer comprar, mas algumas também vendem. Tanto os cibercriminosos novos quanto os experientes anunciam o que podem oferecer, revelando sua experiência e disposição para infringir a lei.
Pesquisadores da empresa de segurança Positive Technologies analisaram os dez fóruns mais notórios da dark web e disseram que, no ano passado, eles viram um aumento de postagens como essas.
Mais de oito milhões de usuários estão registrados nesses fóruns e publicaram mais de 80 milhões de mensagens no total.
“Analisamos serviços de hackers que representariam uma ameaça à segurança de sites corporativos ou aplicativos da web”, disse Vadim Solovyev, Analista Sênior de Segurança da Informação. “Percebemos um aumento no interesse em hackear sites”.
Roman Sannikov, Diretor do Insikt Group, Recorded Future, diz que sua empresa também notou um aumento nessas atividades na dark web. Tudo começou antes mesmo da pandemia, mas se intensificou ainda mais à medida que mais funcionários passaram a trabalhar remotamente.
Romper um site normal geralmente custa menos de US$ 10.000, enquanto bancos de dados personalizados custam entre US$ 100 e US$ 20.000, ou entre US$ 5 e US$ 50 por 1.000 entradas, disse o relatório da Positive Technologies.
Como sempre, alguns hackers que oferecem suas habilidades gostam de se gabar de sua forte “ética” de trabalho. “Eu ofereço um serviço de hackeamento direcionado aos recursos de seu interesse na rede […] Nenhum pagamento – pagamento somente após fornecer evidências de que acessou o banco de dados, o shell preenchido ou um servidor comprometido”, diz um dos anúncios.
Serviços comprados e vendidos na dark web
A grande maioria das postagens (90%) vem de pessoas interessadas em comprar serviços de hacking, enquanto 7% são escritas por criminosos anunciando o que podem fazer.
O restante é para vender ferramentas e programas de hacking (2%) e para encontrar cúmplices (1%) – pessoas dispostas a compartilhar sua experiência com “profissionais com ideias semelhantes”.
Solovyev diz, porém, que os 7% das postagens que oferecem serviços de hacking não devem ser subestimadas, pois é difícil saber quantos clientes eles atraem. Normalmente, os serviços oferecidos nesses fóruns são altamente especializados, diz ele, e pouquíssimas pessoas podem combinar várias competências.
“Se estamos falando sobre hackear sites, alguns [black hats] são bons em hackear sites para ter acesso a eles, enquanto outros sabem o que pode ser feito com esses acessos”, diz ele.
Sannikov, da Recorded Future, concorda. “Uma vez que os indivíduos obtêm acesso não autorizado, muitas vezes eles próprios não fazem nada com ele, isso está fora de sua área específica de especialização”, diz. “Em vez disso, eles vendem o acesso a terceiros, que então extraem informações confidenciais, descartam malware, criam um botnet ou bloqueiam sistemas”.
Quando os pesquisadores da Positive Technology analisaram os anúncios postados por compradores, eles notaram que 69% estavam relacionados à invasão de sites, enquanto 21% visavam obter bancos de dados de usuários ou clientes de um alvo – o tipo de informação em que os concorrentes e spammers geralmente estão interessados, de acordo com Solovyev.
Algumas pessoas, cerca de 4% do total, queriam injetar código malicioso em sites, um comportamento que pode estar relacionado a ataques de watering hole ou skimmers da web.
Um grupo menor de criminosos (3%) procurou alguém disposto a invadir um site para excluir dados específicos, como avaliações negativas sobre uma empresa. Por último, outra classe menor de postagens oferecia programas prontos e scripts de hacking para venda.
Websites, um alvo popular de atacantes de aluguel
Solovyev não se surpreende com o fato de os usuários em fóruns de hackers quererem ter como alvo sites. “Quando as empresas lançam sites, na maioria das vezes a segurança não é a preocupação número um”, diz ele.
“Gostaríamos que as empresas entendessem que a segurança do site e do usuário deve receber muita atenção porque a reputação de uma empresa, a estabilidade dos negócios e a satisfação do cliente dependem disso”.
Hackear um site pode custar até US$ 10.000, de acordo com os anúncios encontrados pela equipe de Solovyev. No entanto, alguns compradores orçam apenas algumas centenas de dólares para esses trabalhos. O mercado é diversificado e tudo o que possa ser comprado para fins criminosos, será, possivelmente, por uma pechincha.
As pessoas querem adquirir shells da web, acessar as interfaces de administração de sites ou exploits prontos que podem ser usados para injetar código SQL.
Shells da web (arquivos carregados em um servidor que um invasor pode usar para executar comandos do sistema operacional por meio da interface da web), por exemplo, podem custar entre alguns centavos a US$ 1.000, um preço baixo porque os privilégios obtidos são limitados, explica Solovyev.
O mercado da dark web para dados pessoais está prosperando
Entre os anúncios mais comuns estão aqueles que segmentam lojas on-line. Hackear essas empresas geralmente custa entre US$ 50 e US$ 2.000. Os invasores geralmente desejam injetar código JavaScript malicioso em sites para capturar dados inseridos pelos compradores.
“Os clientes se cadastram nesses sites deixando seus dados pessoais. Eles fazem compras inserindo informações de cartão de crédito e usam serviços em nuvem para armazenar informações”, diz Solovyev.
Sua equipe notou que bancos de dados que já foram hackeados podem custar até US$ 20.000 ou até US$ 50 por 1.000 entradas. As entradas do usuário geralmente contêm informações como nome de usuário, endereço de e-mail, nome completo, número de telefone, endereço residencial, data de nascimento e, às vezes, até mesmo número do social security (documento do cidadão estadunidense correspondente ao CPF brasileiro).
“A compra e venda tradicional de bancos de dados roubados ou vazados ainda é amplamente comum devido às oportunidades criminosas em potencial que podem surgir delas”, de acordo com Stefano DiBlasi, Pesquisador de Ameaças da Digital Shadows.
“Por exemplo, adversários com motivação financeira podem explorar detalhes de cartões de crédito roubados extraídos de um banco de dados para lavar dinheiro roubado. Além disso, as informações de identificação pessoal podem ser aproveitadas por cibercriminosos para vários fins, incluindo desemprego e fraudes fiscais, bem como roubo de identidade e apropriação de contas”, diz ele.
Por essas razões, DiBlasi diz que o mercado de banco de dados está prosperando mais do que o mercado de hacking de sites, que é caracterizado por alta demanda e baixo fornecimento.
Como mitigar o risco de crimes cibernéticos de aluguel
Obviamente, as empresas devem monitorar as postagens de anúncios da dark web para solicitações ou ofertas direcionadas a elas ou ao seu setor. Além disso, aqui está o que os especialistas acreditam que as organizações devem se concentrar em:
Melhore a segurança do site
A equipe de Solovyev encontrou muitos anúncios direcionados a recursos da web. As empresas, diz ele, não os protegem o suficiente e as consequências podem ser devastadoras.
Se o serviço da web estiver hospedado em um servidor conectado à rede interna, o invasor poderá teoricamente penetrar na infraestrutura corporativa. “Se um hacker obtém controle sobre um recurso da web, ele pode alterar as informações nele, colocar software malicioso e interceptar os números de cartão de crédito que os usuários inserem ao pagar por bens e serviços”, diz ele.
Além disso, um relatório anterior publicado pela Positive Technologies em agosto de 2020 mostrou que 86% das empresas que foram submetidas à pentestação provaram ser vulneráveis devido à proteção insuficiente de aplicativos da web.
“Os aplicativos da web são frequentemente criados internamente por empresas com pouca ou nenhuma experiência no desenvolvimento de software comercial e consideram a segurança apenas como uma reflexão tardia, então não é surpresa que os sites tenham se tornado o ponto de entrada preferido para os ladrões cibernéticos”, diz Solovyev.
Hackear os aplicativos da web de uma empresa pode levar a vazamentos de dados ou violações da regulamentação de privacidade, mas um invasor também pode usar os recursos dessa organização como uma plataforma para espalhar malware ou para armazenar ferramentas que serão baixadas durante outros ataques.
Revise a abordagem para segurança de aplicativos da web
A probabilidade de uma empresa se tornar vítima de um ataque aumentou significativamente porque os grupos criminosos não precisam mais invadir sites propositalmente: eles podem simplesmente comprar um pacote de acessos na dark web inteiros, diz Solovyev.
Ele acredita que as empresas podem se encontrar “sob ataques intensos de hackers pouco qualificados que procuram em massa por vulnerabilidades conhecidas em sites”.
“Para minimizar os ataques aos recursos da web, as organizações devem empregar uma abordagem abrangente para a segurança de aplicativos da web que inclui análises e testes detalhados, bem como implementar tecnologias como firewalls de aplicativos da web ou proteção proativa contra ataques”, diz Solovyev.
Ao construir um sistema de segurança, ele recomenda seguir os princípios de uma abordagem orientada ao risco, que leva em conta a magnitude das consequências negativas que a empresa pode tolerar.
Proteja-se contra phishing e comprometimento de e-mail comercial
Sannikov, da Recorded Future, argumenta que uma das maiores áreas de preocupação para as organizações deve ser o phishing e o comprometimento do e-mail comercial.
“Com tantas informações disponíveis por meio de credenciais comprometidas via coisas como sniffers e web injects, bem como documentos vazados em sites de extorsão, tornou-se muito mais fácil para os atacantes acessarem contas de funcionários e, em seguida, moverem-se lateralmente pela empresa para realizar escalonamento de privilégios ou comprometimento de e-mail de negócios”, diz ele.
“Além disso, com os documentos vazados em sites de extorsão, os atores de ameaça podem desenvolver mais facilmente iscas convincentes para atingir as organizações parceiras das empresas vítimas. Se um ator de ameaça encontrar uma fatura da vítima para um terceiro, ele pode facilmente falsificá-la e enviá-la para a mesma pessoa do terceiro que estava trabalhando nela”, diz Sannikov.
Ele aconselha as empresas a se manterem informadas e a acompanhar todas as web injects anunciadas nas plataformas dark web. “Ficar de olho nos sites de extorsão para ver se um terceiro com o qual você está trabalhando foi vitimado o ajudará a colocar alertas vermelhos em qualquer comunicação ou interação que você possa ter tido com essa empresa”, diz Sannikov.
Corrija e siga uma boa higiene de segurança
DiBlasi acrescenta que os hackers black hat costumam ser oportunistas e provavelmente tentarão atacar primeiro as frutas mais fáceis de se alcançar. “A maneira mais eficaz de prevenir esses ataques é garantir que sua empresa seja um alvo seguro, instalando patches de segurança atualizados e implementando as melhores práticas de higiene cibernética”, disse ele.
“Além disso, ter uma equipe de inteligência de ameaças cibernéticas interna ou terceirizada pode apoiar os esforços das equipes de segurança para priorizar medidas de segurança e mitigar ameaças potenciais”.
De acordo com DiBlasi, as empresas que operam on-line devem sempre presumir que os cibercriminosos estão ativamente direcionando seus dados ou o farão no futuro.
Fonte: Computerworld
ISH Tecnologia anuncia novo produto que monitora deep e dark web em busca de vazamento de dados
Dark Web Analysis: Healthcare Risks Tied to Database Leaks, Credentials
Darknet, dark web, deep web e surface web – qual é a diferença?