Com o modelo RaaS, qualquer um pode entrar nesse mercado e lucrar com a destreza computacional de outros atores
Os ransomwares continuam sendo uma praga no mundo da cibersegurança e usam novos recursos para a alegria dos cibercriminosos.
Mesmo que o uso da computação em nuvem (também chamada de ransomware como serviço, ou RaaS) e técnicas de extorsão* não sejam novidades, esses recursos estão sendo usados com mais frequência e de formas mais inteligentes e direcionadas do que nunca. Isso provocou uma alta nos ataques de ransomwares e pedidos de resgates.
RaaS usa uma combinação de serviço de assinatura de software, semelhante a outros provedores de serviços em nuvem, e um programa de afiliados para atrair distribuidores de malwares. Os afiliados ganham comissões sobre as vendas, assim como acontece na Amazon com os livros ou, na Etsy com os itens disponíveis na plataforma. Normalmente, o percentual das comissões fica entre 10% e 40% do valor recebido pelo resgate. A grande diferença é a forma de pagamento, que, no caso dos ransomwares, é feito em criptomoedas.
Com o modelo RaaS, quase todo mundo pode entrar nesse mercado e lucrar com a destreza computacional de outros atores. Os afiliados não precisam se preocupar em construir e fazer a manutenção de nenhuma infraestrutura para malwares. Cada um deles recebe um código de identificação, como acontece em trabalhos de programação legítimos. Isso garante que o afiliado receba o crédito e colete sua comissão conforme os ataques realizados.
Em resumo, as diversas organizações RaaS podem ser categorizadas em três grupos:
- Os emergentes, que estão no início de suas operações, tendo poucos incidentes registrados. Assim foram o Exorcist, o Lolkek e o Rush.
- Centros em ascensão, com ataque bem-sucedidos e blogs que anunciam seus serviços e expõe suas vítimas. Essa categoria inclui o Darkside, o Thanos e o Clop.
- Organizações de primeira linha com diversos ataques famosos e que estão na mira da polícia, como o DoppelPaymer, o Revil e o Ryuk.
Uma análise mais detalhada do Darkside
O grupo Darkside merece atenção especial. Ele apresenta três características importantes:
- Segmentação de vítimas extremamente refinada, que busca extorquir as fontes de dados mais ricas;
- Operações mais focadas em empresas, incluindo uma operação de afiliados bem desenvolvida e pagamento de comissão de aproximadamente 25% aos afiliados;
- Entrega de ransomwares customizados para cada alvo e muito trabalho investigativo antes de selecionar as vítimas.
O Darksite alega não atacar hospitais ou escolas, mas o grupo não foi sempre assim. Eles também evitam alvos na língua russa e procuram recrutar programadores que falam esse idioma. O anúncio da sua criação se deu graças a um artigo publicado no Tor em meados de 2020.
Essa estratégia é bem inteligente, pois tende a atrair a cobertura da imprensa da área tecnológica e também pode ser usada para divulgar casos de roubos de dados. O grupo Revil também usa essa tática. Claro que não é uma boa ideia acreditar em tudo o que eles dizem.
O lançamento é apenas uma parte da operação do Darkside. O grupo também oferece suporte em chat a seus afiliados e cria mecanismos de armazenamento de dados customizados para esconder informações roubadas de suas vítimas. O Darkside também desenvolveu exploits tanto para Windows quando para Linux.
O comprometimento inicial de PCs Windows instala um código em PowerShell, que exclui imediatamente Cópias de Sombra de Volume, e prepara vários bancos de dados e repositórios de e-mail para criptografia e cópia fora do local de armazenamento. Tipicamente, o malware chega* por meio de uma conta comprometida em busca de acesso à seção da Área de Trabalho Virtual.
O Darksite também tentou fazer doações a duas instituições em meados de 2020, mas como seus recursos são obtidos de forma ilegal, as beneficiárias costumam devolver a quantia recebida. E por falar em roubo, um relatório mostra que o Darkside utilizava instalações de hospedagem iranianas para sua rede criminosa, onde hospeda servidores de comando e controle, e dados roubados. Isso ajuda a manter sua rede fora das mãos de autoridades dos EUA e da União Europeia, que provavelmente tentariam acabar com as atividades da organização criminosa.
O grupo teve um pico de atividade entre outubro e dezembro de 2020, quando a quantidade de envios de amostras do Darkside mais do que quadruplicou. No passado, pedidos de resgate ficavam entre US$ 200.000 a US$ 2 milhões, conforme o tamanho das organizações comprometidas.
Em março de 2021, a fornecedora de serviços gerenciados CompuCom foi vítima de um ataque da Darksite*. Em um post dirigido a seus clientes, a empresa revelou que o Darksite foi o responsável pela ação.
Se você for comprometido pelo Darkside, prepare-se para agir da mesma forma que faria com outras formas de ransomware. Mantenha seu backup sempre intacto e preciso, intensificando o esclarecimento e a educação dos funcionários e fazendo um lockdown das suas contas com autenticação multifator (MFA).