O que a Dark Web pode nos ensinar sobre segurança empresarial?
Desde a operação policial que encerrou as atividades do mercado clandestino do Silk Road em 2013, tem havido um interesse crescente na profundidade e abrangência da Deep Web. Esta parte da internet tem sido amplamente escondida do olhar público, representando um ambiente onde hackers podem conversar, compartilhar códigos e estratégias maliciosas e lucrar com informações roubadas durante os crescentes ciberataques em curso.
De acordo com as estatísticas, a Deep Web contém uma quantidade incrível de dados – 7500 terabytes, que, quando comparados aos 19 terabytes da web de superfície, é quase inacreditável. Graças a um notório aumento em atividades cibercriminosas nos últimos anos, esta parte obscura da internet inclui aproximadamente 550 vezes mais informações públicas que aqueles da web superficial. A Trend Micro descobriu 576.000 URLs únicas ao longo da análise desenvolvida durante dois anos da Deep Web, coletando detalhes de mais 38 milhões de eventos individuais.
Enquanto a Deep Web é conhecida como o paraíso da atividade de hackers, este não é o único objetivo ao qual ela atende. Ao estudar a Deep Web, os tipos de usuários que a alavancam e os processos e informações que compartilham, as empresas podem ter uma melhor noção do ambiente de ameaça geral – e estarem mais preparadas para se proteger contra vulnerabilidades e ataques emergentes.
Comece pelo Início: O que é a Deep Web?
Antes de mergulharmos de vez nas lições que esta seção da internet pode nos ensinar, é importante entender o quê, exatamente, é a Deep Web. Grande parte do público inicialmente soube da Deep Web depois da prisão de Ross Ulbricht, que agia com o nome de Dread Pirate Roberts na comunidade secreta do Silk Road. A Trend Micro observou que Ulbricht havia construído um mercado digital de bilhões de dólares, onde a lavagem de dinheiro e a compra de drogas ilícitas aconteciam. Devido a estas atividades, Ulbricht foi acusado de tráfico de drogas e conspiração para violação computacional – entre outros crimes – e foi condenado à prisão perpétua.
As manchetes chamativas da notícia atraíram bastante atenção para a Deep Web, e muitas pessoas e negócios foram rápidos em aprender o máximo possível sobre essa seção crescente da internet não acessível pelos meios tradicionais. Como a Trend Micro observou no artigo “Below the Surface: Exploring the Deep Web” [Abaixo da Superfíce: Explorando a Deep Web – em tradução livre] – ou Dark Web, como às vezes é chamada – foi inicialmente estabelecida para ajudar a oferecer aos usuários um espaço seguro, longe de qualquer cesura que impedisse o livre discurso, e eventualmente se transformou em um refúgio para o cibercrime.
O que acontece na Deep Web?
O tráfico de drogas que ocorria através do mercado do Silk Road não é o único exemplo de atividade ilegal acontecendo na Deep Web. Afinal de contas, com mais de 200.000 websites contendo 550 bilhões de documentos individuais, fica claro que a Deep Web é usada para mais do que apenas o tráfico de substâncias ilícitas.
Por meio de sua análise, a Trend Micro descobriu que os hackers participam de uma ampla gama de outras atividades, incluindo:
- Compra e venda de armas de fogo.
- Obtenção de informações de identidades roubadas para fins fraudulentos.
- Lançamento de operações cibercriminosas através de amostras criadas de malware.
- Contratação de hackers e até mesmo de matadores de aluguel.
Assim, apesar de as atividades e transações variarem, todas são consideradas ações muito perigosas.
Dados roubados encontram um lar
Atualmente, estamos focando em atividade que possam prejudicar a comunidade empresarial, especialmente o roubo e a venda de informações roubadas. Quando acontece uma violação de dados dentro da infraestrutura de uma empresa, o objetivo final é tipicamente roubar o máximo de informações possível. Isto pode incluir detalhes sobre a propriedade intelectual e física, assim como dados sobre seus funcionários e clientes, tais como suas informações bancárias, de saúde, entre outras. Depois que estes dados são roubados, os hackers buscam mercados obscuros através dos quais eles vendem as informações, e a Deep Web representa o lugar perfeito para essas transações aconteceram.
Além disso, os cibercriminosos pode escolher as formas nas quais gostariam de vender os dados roubados. Isto pode incluir a precificação de itens para arquivos individuais ou grupos de documentos – números de cartões de créditos roubados, por exemplo, podem ser vendidos por peça ou como um pacote. Em alguns casos, os hackers preferem reunir o máximo de informações possíveis e criar perfis. Isto é tipicamente preferido nos casos de identidades roubadas, em que é útil ter um nome, número de CPF, endereço físico e de e-mail junto com outros detalhes para completar o perfil.
Estudando o comércio de malware
Além da venda de dados coletados através de violações, os hackers também vendem os vírus através dos quais é possível fazer essas violações. Aprender sobre estas atividades é particularmente útil, já que pode ajudar os pesquisadores e líderes de empresas a descobrirem as tendências emergentes no mundo da atividade hacker. Descobrir as amostras de malware mais vendidas atualmente tendências na Deep Web, por exemplo, pode permitir que uma empresa trabalhe de maneira proativa para se proteger contra riscos específicos que os cibercriminosos estão vendendo no momento.
A Trend Micro descobriu que não há somente amostras de malware sendo colocadas e vendidas na Deep Web, algumas ainda promovem a rede TOR que sustenta esta parte da internet para dar suporte ao lançamento de ataques. O que foi caso com o malware de bancos VAWTRAK, que se espalhou através de e-mails de phishing. O malware era capaz de se comunicar com certos servidores C&C conectados à sites codificados no TOR a fim de enviar as informações roubadas.
O CryptoLocker representa outra grande família de malware que depende da Deep Web. Este ransomware era particularmente perigoso devido a sua capacidade de ajustar a página de notificação de sequestro em diferentes idiomas de acordo com as localizações das vítimas.
Como a Trend Micro indicou, o VAWTRAK e o CryptoLocker representam um padrão que é provável que tenha continuidade no futuro.
“Infelizmente, dados todos os benefícios que os cibercriminosos conseguem ao hospedar partes mais permanentes de suas infraestruturas nos serviços ocultados pela TOR, acreditamos que veremos cada vez mais famílias de malware se mudando para a Deep Web no futuro”, declarou a Trend Micro.
Ninguém está protegido
Através de uma extensa pesquisa, a Trend Micro também descobriu que nenhum usuário ou empresa é considerado “intocável” quando se trata de ciberataques. Em adição à venda e lançamento do malware necessário para ataques empresariais em grande escala, a Deep Web também oferece as ferramentas necessárias para atacar pessoas em destaque, como celebridades, líderes de governo e outras pessoas públicas. E a atividade maliciosa não para por aí.
O Pesquisador Sênior de Ameaças da Trend Micro, Marco Balduzzi, explicou que para melhor estudar os acontecimentos cibercriminosos na Deep Web, os pesquisadores simularam uma instalação maliciosa dentro do TOR que promovia um conjunto de oásis. Estes oásis foram criados para expor certas vulnerabilidades e operações de hackers acontecendo dentro do ambiente criado.
Os pesquisadores descobriram vários insights importantes, incluindo que a Deep Web não era tão protegida quando alguns acreditavam que fosse – apesar de configurar um ambiente simulado disponível apenas para membros convidados, a Trend Micro descobriu que os hackers disponibilizaram um oásis através das pesquisas em mecanismos de busca.
E não para por aí, os cibercriminosos começaram a atacar pessoas dentro de seu próprio círculo.
“Nosso mercado privado foi comprometido nove vezes em dez tentativas”, afirmou Balduzzi. “A maioria destes ataques adicionava web shells ao servidor, concedendo ao hacker a capacidade de executar os comandos do sistema no nosso oásis. Isto permitiu a adição de outros arquivos, tais como malas diretas eletrônicos, páginas de deface e kits de phishing. Nossa principal descoberta é que as organizações operando na Dark Web parecem estar atacando umas às outras”.
Principais aspectos aprendidos com a Deep Web: Assegurando a empresa
Em geral, existem muitos insights que a Deep Web pode ensinar para instituições sobre segurança:
- O caminho do ataque até o lucro: Para alguns, é difícil entender as motivações que conduzem a atividade maliciosa dos hackers. Ao dar uma olhada mais próxima, porém segura, na Deep Web ajuda a mostrar a parte financeira deste enigma, incluindo como os cibercriminosos são capazes de comercializar amostras de malware, dados roubados e todo um host com outros itens. A Deep Web proporciona um lugar para hackers comprarem códigos de infecção necessários para lançar um ataque, assim como uma plataforma para vendar as informações reunidas para aquele evento.
- Tendências no comércio de malware: Devido aos mercados de malware serem abundantes na Deep Web, estudar esta atividade pode ajudar as organizações a estarem mais bem preparadas para se protegerem. Uma tendência na venda de amostras de ransomware, por exemplo, pode demonstrar uma necessidade pelo monitoramento melhorado para se proteger do tipo de atividade suspeita que pode indicar um ataque.
- Ação policial ganha o noticiário: Retomando a história do Silk Road, o tempo de atividade maliciosa não verificada com a Deep Web acabou. Agora, as forças policiais de todo o mundo estão trabalhando mais arduamente do que nunca para pegar os autores responsáveis pelas atividades ilícitas e perigosas na Deep Web.
A partir do ponto de vista empresarial, a Deep Web é uma notável arena para inteligência em ciberameaças, como apontou o colaborador do Dark Reading, Jason Polancich.
“Em outras palavras, a Dark Web pode ser pensada como um pequeno lago cheio de peixes premiados para serem pescados para uma empresa que está tentando reforçar suas defesas”, escreveu Polancich. “Descubra o que pode ter sido roubado ou usado contra você e melhore sua postura geral em segurança para fechar qualquer brecha para infiltração”.
FONTE: Trend Micro