Geral 3min de Leitura - 17 de agosto de 2020

Está mais fácil ser cracker

Hacker encapuzado segurando um notebook em seuas mãos, em frente a uma grande tela.

This post is also available in: Português

Ransomware Dharma oferece um kit de ferramentas que faz quase tudo sozinho. Modelo prioriza parcerias para se multiplicar mais rápido.

De uma maneira geral, um ciberataque é organizado da seguinte maneira: um grupo de cibercriminosos superespecializados desenvolve ferramentas maliciosas, planeja as invasões e vai atrás das vítimas para cobrar resgates. Contudo, há quem desmembre essas e outras etapas, tudo em nome da assertividade e de ganhos ainda maiores.

Um exemplo é a operação Dharma Ransomware. Ela deixa tudo mais fácil para os aspirantes a cibercriminosos, pois traz um kit de ferramentas que faz quase tudo por eles.

Nesse sistema, os criadores ficam a cargo do gerenciamento e desenvolvimento do ransomware e o meio de pagamento do resgate. Ao mesmo tempo, os afiliados são responsáveis por comprometer as vítimas e implantar o ransomware.

Em resumo, eles criam ferramentas maliciosas sem a intenção de utilizá-las. Quem utiliza são os afiliados, que buscam vítimas e aplicam os golpes – pagando de 30% a 40% de “comissão” aos desenvolvedores sobre todos os valores de resgate que conseguirem.

Entrada facilitada

A maioria dos grupos atuais de ransomware voltados a atacar empresas operam como um modelo privado, onde apenas os cibercriminosos mais talentosos são convidados a participar.

Porém, nessa modalidade do Dharma, as exigências são menores. Algo que ajuda a explicar o porquê de um processo seletivo mais “frouxo” são os valores dos resgates – relativamente bem mais baixos.

Ao contrário de outras operações voltadas para grandes empresas que exigem resgates de milhões de dólares, o Dharma tende a estar com demandas médias de US$ 9.000.

Assim, aumenta o perigo para as pequenas e médias empresas, que são os alvos mais prováveis nessa faixa. Dessa maneira, o preço baixo pode refletir a baixa qualificação de entrada exigida para afiliados.

Nesse contexto, ao contrário de muitas operações que funcionam apenas com crackers experientes, os operadores do Dharma oferecem um kit de ferramentas pronto que permite a qualquer aspirante a cracker comprometer uma rede.

Conhecido como ‘Toolbelt’, este kit de ferramentas é um script PowerShell que, quando executado, permite que o invasor baixe e execute uma variedade de ferramentas de uma pasta compartilhada.

Ao usar o kit de ferramentas, o afiliado deve inserir um número correspondente a uma das 62 tarefas que podem ser executadas.

Depois de inserir o comando, o kit de ferramentas baixaria os executáveis necessários do compartilhamento da Área de Trabalho Remota e os executaria.

Este kit de ferramentas permite que o afiliado se espalhe através de uma rede com a ajuda de ferramentas como Mimikatz para coletar senhas, NirSoft Remote Desktop PassView para roubar senhas RDP, Hash Suite Tools Free para despejar hashes e outras ferramentas para encontrar computadores para direcionar e, por fim, implantar o ransomware.

O site BleepingComputer, especializado em segurança digital, resolveu obter o kit para analisá-lo. Assim, pôde confirmar que ele requer que o compartilhamento da Área de Trabalho Remota do afiliado esteja configurado e acessível para que os comandos sejam executados adequadamente.

Isso indica que o kit de ferramentas faz parte de um pacote maior distribuído pelo Ransomware.

Para um cracker inexperiente, este kit de ferramentas contém todos os programas que o afiliado precisa para roubar senhas, espalhar para outras máquinas em uma rede e implantar o ransomware.

Descentralização

Entre os testes feitos pelo BleepingComputer, descobriu-se um padrão de ataques que indica a existência de diversos operadores Dharma. Contudo, os vários casos encontrados na pesquisa usam scripts ligados a um Ransomware específico com vários suboperadores.

“Não sabemos se todos eles usam o mesmo conjunto de ferramentas, mas vimos o mesmo padrão de ataque em muitas invasões do tipo Dharma. Então acreditamos que todos eles podem vir de uma única fonte original e são amplamente usados”, disseram os pesquisadores.

Acredita-se também que o Dharma fornece documentação sobre como usar o kit de ferramentas para se espalhar com mais precisão e velocidade por meio de uma rede.

Com uma abordagem semelhante observada em vários ataques, a documentação provavelmente fornece um conjunto específico de etapas que os afiliados devem seguir ao implantar o ransomware.

Ao oferecer um kit de ferramentas e documentação sobre como usá-lo, a Dharma pode recrutar mais afiliados em potencial.

Esse grupo maior de distribuidores permite que eles lancem uma rede ampla para pegar o maior número de vítimas possível. Assim, compensam os “baixos” valores de resgate com um grande volume de ataques.

Isso prova que até mesmo o mercado hacker é semelhante a qualquer outro ramo. Basta imaginá-los como vendedores de diamantes versus vendedores de bijuterias. Um ganha pelo valor agregado, e o outro pelo volume. A existência de espaço para ambos reforça algo preocupante: um mercado tão evoluído vai fazer cada vez mais vítimas, ainda mais se estiverem desprotegidas – ou subestimando a importância da segurança digital.

This post is also available in: Português