Entenda a venda e distribuição de ransomware em mercados e fóruns da Deep e Dark Web

Por Caique Barqueta: O software malicioso do tipo ransomware é uma ameaça que restringe o acesso a arquivos do host, sistemas ou até redes corporativas, sendo “liberado” apenas mediante ao pagamento de resgate do ataque. Essa lógica de ataque possui um mercado altamente lucrativo aos atores maliciosos.

Em síntese, o mercado de venda de ransomware funciona da seguinte forma:

  1. O desenvolvedor cria/codifica o ransomware, sendo possível a criação em diversas linguagens da programação (Rust, C, Pyhton, .NET, C# e outros).
  2. Realiza a venda do ransomware por meio de fóruns clandestinos na Dark/Deep Web ou sua divulgação, se o meio em questão forem grupos de ransomwares do programa de afiliados em sites próprios ou fóruns.
  3. Atores compram o ransomware como serviço ou compilador, e podem utilizá-lo para fins de ataques cibernéticos em determinadas organizações ou, em outros casos, aderem ao programa de afiliados de Ransomware-as-a-Service.
  4. O criminoso autor do ataque encaminha a chave para a descriptografia mediante ao recebimento do pagamento de resgate ou, no caso de não pagamento, realiza a publicação de dados exfiltrados e/ou a venda dos dados em mercados clandestinos.
Figura 1. Rotina de mercado de venda de ransomware, como venda de builders ou programa de afiliados.

Análise das vendas de ransomware

A mercantilização do ransomware por meio de mercados e fóruns na Deep e Dark Web acaba por fornecer aos criminosos oportunidades de venda e compra de serviços sem a possibilidade de serem identificados, o que amplia o acesso a objetos e serviços ilícitos àqueles interessados.

Um exemplo é a venda de serviços como o ransomware, sendo que a venda ilícita deste software pode ocasionar um grande valor a ser recebido pelos criminosos que o anunciam, bem como um grande prejuízo para organizações que são alvos deste tipo de ataque cibernético.

Venda de ransomware de modo “fechado” em mercados clandestinos

Nos fóruns da Deep e Dark Web são realizados anúncios de diversas formas, como a venda de um software malicioso “fechado”, ou seja, uma vez adquirido terá somente aquele tipo de versão e compilação (builder).

Figura 2. Exemplo da venda do Ransomware Locky em um mercado na Darknet.
Figura 3. Venda do Ransomware como serviço em um site de mercado clandestino.

Anúncio de vendas em fóruns clandestinos

Além da venda do builder, ou compilador, existem anúncios em fóruns, vide os exemplos abaixo sobre a venda do Ransomware Zeppelin e outro ransomware desenvolvido exclusivamente para a venda.

Figura 4. Anúncio em fórum clandestino do Ransomware Zeppelin.
Figura 5. Venda e anúncio de ransomware desenvolvido exclusivamente para a venda.

Nestes tipos de anúncios de venda do ransomware em fóruns, constam detalhes sobre seu funcionamento, qual o sistema operacional é alvo do ransomware, funções utilizadas para evasão de defesa, capacidade antiforense e anti-análise, método de criptografia etc.

No caso do exemplificado Zeppelin a venda é realizada para sistemas operacionais XP, 2003 e outros. Mas também existem anúncios para outros tipos de sistemas, como o de Android, neste exemplo o Sauron Locker.

Figura 6. Anúncio do ransomware para Mobile Sauron Locker.

Busca de ransomware por usuários

Além do anúncio por quem desenvolve, os ransomwares podem ser procurados por usuários ou outros agentes maliciosos, que realizam publicações em fóruns solicitando o contato ou meios que possam adotar para realizar a compra.

No exemplo abaixo, o usuário busca o construtor (builder) do Ransomware Yashma v.2.0.

Figura 7. Busca por ransomware ou construtores de ransomware por usuários.

Seguindo ainda na mesma publicação, podemos observar que outros usuários realizam a interação com o autor da publicação e divulgam ainda links e detalhes de valores para a venda do “builder” do ransomware.

Figura 8. Comentários na publicação da busca do ransomware.

Recrutamento de afiliados para os Ransomware-as-a-Service

Uma outra modalidade que também é percebida atualmente é a grande atribuição e escolha por pessoas que desejam ser “afiliados” de grupos de ransomware, os quais prestam o serviço para disponibilizar o payload malicioso, ferramentas extras para intrusão, auxílio ao ataque, ferramentas para exfiltração e suporte para a divulgação da empresa vítima em seus sites de data leaks. Nessa relação de afiliação há o pagamento de uma porcentagem do resgate do ataque realizado para a família ou grupo, sendo que estas porcentagens podem ser entre 70% e 90% a depender da família de ransomware.

A título de exemplo, o grupo de Ransomware LockBit anuncia em seu site de data leak um programa para afiliados no qual menciona todas as possíveis regras que devem ser respeitadas, explicando ainda o funcionamento da operação como afiliado.

Figura 9. Descrição do programa de afiliados do LockBit.

Outro exemplo é o anúncio no site do Ransomware Ranion, que é um dos Ransomware-as-a-Service mais antigos e possui uma operação abaixo do radar de agências e organizações, sendo identificado ativo desde meados de 2021.

Figura 10. Descrição do programa de afiliados do Ranion.

Todas as compras ou métodos mencionados acima para venda de ransomwares, seja o builder ou como serviço, funcionam por meio do pagamento de criptomoedas tendo em vista facilitar a transação de forma anônima, garantindo a “proteção” do vendedor e do comprador.

Em observação, contata-se que as moedas digitais mais utilizadas para pagamentos são Bitcoin, DOGE, Litecoin e outras

Logo, podemos perceber o risco associado a venda destes serviços ou softwares maliciosos para as empresas e organizações, tendo em vista que o fácil acesso e a compra facilitam o ataque cibernético.

Lembrando ainda que, por diversas vezes, encontramos anúncios relacionados a venda de credenciais de empresas, ou seja, outro método já abordado pela ISH no qual foi mencionada a venda de credenciais para ataques cibernéticos, podendo-se aplicar o conjunto do anúncio de venda de ransomware + venda de credenciais, resultando em um ataque cibernético garantido e prejudicial a empresas.

Recomendações para mitigar ataques ransomwares

Além dos indicadores de comprometimento elencados abaixo pela ISH, poderão ser adotadas medidas visando a mitigação da infecção do referido malware, como por exemplo:

  • Realização de backups regulares: Armazene cópias de segurança de todos os dados importantes em um local seguro e desconectado.
  • Realização de atualizações de softwares: Mantenha todos os softwares de ativos atualizados, incluindo sistemas operacionais e aplicativos.
  • Utilização de proteção de rede, como firewalls, antivírus e outras medidas de segurança para proteger sua rede.
  • Realização do trabalho de conscientização com os colaboradores, ensinando aos mesmos a reconhecer e evitar ameaças, como phishing e/ou clicar em links maliciosos.
  • Monitoração regular da sua rede e sistemas para identificar e responder rapidamente a qualquer atividade suspeita.

Criação e aplicação de um plano de resposta de incidentes, sendo que em caso de ataques de ransomware poderão ser utilizados e conterão informações como questões relacionadas a backups e recuperação de sistema.

GTI – Global Threat Intelligence by ISH Tecnologia

A ISH Tecnologia, por meio do GTI (Global Threat Intelligence) coleta, trata e compartilha alguns dos principais Indicadores de Comprometimentos localizados e analisados pela equipe de Inteligência de Ameaças, focalizando em entregar tais dados para identificação ou facilitação de tratamento de incidentes de segurança cibernético.

Nos últimos 90 dias, foram coletados e tratados a quantia de 31.944,310 Indicadores de Comprometimento de artefatos maliciosos, sendo classificados nesta quantidade, Trojans, ransomwares, RATs, infostealers, bots entre outros artefatos maliciosos que visam causar algum tipo de prejuízo, seja financeiramente ou de marca.

Figura 11. Quantidade de Indicadores de Compromisso.
Figura 12. Tipos de Indicadores de Comprometimento tratados pelo GTI.
Figura 13. Tipos de IOC removendo a quantidade de hash md5 relacionados a eventos criados de artefatos maliciosos.

Referências