Os novos ransomwares não se vendem sozinhos: como é o marketing no mercado negro

Lisandro Carmona de Souza, 7 Outubro 2016

A Avast mergulha a fundo em como Petya e Mischa venderam seus ransomwares no mercado negro

Meus colegas do Laboratório de Ameaças da Avast publicaram um interessante (e detalhado) artigo em nosso blog sobre o ransomware Petya e seu irmãozinho, Mischa. Eles trabalham juntos para criptografar discos e arquivos, levando vítimas inocentes a pagar milhares de dólares para obter novamente acesso aos seus computadores e arquivos. Particularmente interessante é que os autores dos ransomwares têm uma estratégia de marketing para promover o Petya e o Mischa. Eles criaram uma marca para os seus ransomware, bem como um programa de afiliação que permite que outros técnicos de TI possam distribuir o ransomware.Malwares deixaram de ser um hobby para se transformar em um negócio muito lucrativo com verdadeiras más intenções, criados, vendidos e distribuídos por gangues de cibercriminosos no mercado negro.

Como foi mencionado naquele artigo, o grupo por trás do Petya e do Mischa chamam a si mesmos de Janus Cybercrime Solutions™, e parecem ser fãs do filme Goldeneye de James Bond. Como muitas outras gangues de cibercriminosos do mercado negro, Janus está aí para ganhar dinheiro. Com estratégias de marketing, eles difundem as marcas dos seus produtos para garantir que o seu negócio siga lucrativo e crescendo. Já que o mercado de malwares continua se tornando cada vez mais sofisticado, os criadores de malwares devem utilizar as melhores técnicas de marketing.

Fortalecendo uma marca maliciosa

Assim como muitas empresas utilizam táticas e estratégias para fazer crescer suas marcas, a Janus utiliza o seu próprio conjunto de truques para que o seu malware prevaleça sobre todos os outros concorrentes.

Uma marca torna uma empresa ou produto algo exclusivo, diferente de todos os outros competidores. Marcas ajudam as pessoas reconhecer rapidamente as empresas, seja pelo seu nome, logotipo ou slogan.

Há centenas de cibercriminosos vendendo seus malwares no mercado negro. Criar uma marca é muito importante se você deseja que o seu malware ganhe o maior espaço possível no mercado.

Na primeira versão do Petya, a Janus escolheu o vermelho como a cor da sua marca.

Petya ransomware

Esta imagem de uma caveira aparece nos computadores infectados pelo Petya. A caveira pisca a cada segundo, invertendo suas cores.

Petya lock screen

A tela acima (em inglês) aparece quando uma tecla for pressionada e mostra as instruções de como pagar o resgate. Há um problema extra aqui. Quando alguém é infectado com o Petya, é impossível copiar e colar o código de criptografia porque a mensagem aparece durante o processo de início do computador, antes de que o Windows seja carregado. Isto exige que a vítima tenha de manualmente redigitar os mais de 90 caracteres da chave de criptografia no navegador TOR. Como se haver sido infectado por um ransomware não seja dor de cabeça suficiente...

Criando reconhecimento da marca

Com frequência, as empresas trocam suas marcas para mudar como elas são vistas e reconhecidas pelo público. Depois da primeira versão do Petya, a Janus parece ter seguido um processo de melhoria da marca, escolhendo o verde em vez do vermelho.

002_petya_skull.png

Escolhendo os melhores logotipos

Os logotipos ou logos são importantes quando o assunto são marcas. Os logos ajudam as empresas a serem imediatamente reconhecidas e, geralmente, elas trabalham muito para construir um logo.

001_peyta_mischa_janus_logos.png

Podemos associar rapidamente o verde da caveira com os logotipos acima. A Janus claramente deseja que todos saibam a que país ela pertence e o que eles fazem. O uso de caracteres Cirílicos, assim como a foice e o martelo, quer mostrar o país natal da Janus, ou não?

Buscando parceiros

O marketing de afiliação ocorre quando um negócio premia outros por fazer marketing dos seus produtos, aumentando o número de clientes.

A Janus criou um programa de marketing de afiliação para o Petya e o Mischa. Eles criaram uma interface web onde os afiliados podem ver as últimas infecções, definir preços de resgate, alterar a criptografia dos programas, gerar endereços de Bitcoins e chaves de criptografia para o sistema de pagamento. O sistema de pagamento que a Janus criou é muito profissional se for comparado com outros que são oferecidos no mercado negro. Eles também mantêm uma equipe de suporte para responder qualquer pergunta que os seus afiliados tiverem.

A Janus pode pagar por estes serviços ganhando uma porcentagem do lucro que os afiliados ganham. Se, por exemplo, você ganha 125 Bitcoins com o Petya, a Janus lhe dá 85% do lucro, que hoje seria mais de 60.000 dólares.

“O cibercrime é semelhante ao tráfico de drogas na vida real. Você não precisa ser um químico para mexer com drogas; você começa a participar unindo-se a uma gangue. Os hackers costumavam fazer os seus próprios malwares, mas agora você não precisa saber como escrever um código de malware e distribuí-lo. Você pode comprar um no mercado negro e utilizá-lo”, disse Michal Salat, Diretor de Inteligência de Ameaças do Avast.

027_service.png

Com relação a como o malware está se espalhando, é ainda mais preocupante que os nossos pesquisadores suspeitam que os afiliados da Janus estão espalhando o ransomware entre as próprias empresas onde trabalham, com base nas conversas que eles mantêm nos sites da Janus.

028_support.png

Você não pode esquecer da mídia social

Hoje em dia, já não é possível promover a sua marca sem utilizar as redes sociais. Até os cibercriminosos sabem disso! A Janus está no Twitter promovendo seus produtos, além de estarem comentando sobre o que os especialistas de segurança estão dizendo sobre o Petya e o Mischa em suas conversas.

029_janus_twitter.png

Não caia na tentação

Nós desaconselhamos vivamente que as pessoas distribuam malwares. Ainda que ganhar dinheiro possa ser tentador, distribuir malwares como o Petya e o Mischa é ilegal e criminoso.

O Avast protege contra o Petya e o Mischa

O Avast detecta e bloqueia o Petya e o seu irmãozinho Mischa. Além de utilizar o Avast, você pode se proteger assim:

  • Não abra nenhum anexo de email que for suspeito (p.ex., arquivos zip contendo outros arquivos .js, .wsf ou .vbs)
  • Desative as macros do Microsoft Office de se executarem automaticamente e nunca habilite macros de anexos estranhos/desconhecidos que você receber por email
  • Faça cópias (backup) dos seus dados importantes em um lugar seguro (online ou off-line)
  • Garanta que o seu sistema operacional e os seus programas estão todos atualizados

Artigos relacionados