O fluxo financeiro de ransomwares

Cibercriminosos ganharam mais de U$ 16 milhões com ransomware de 2016 a 2017.

Quanto melhor compreendermos o modus operandi e a escala operacional dos cibercriminosos, mais eficazmente poderemos combatê-los. No caso do ransomware, avaliar o sucesso e a lucratividade de qualquer grupo criminoso específico normalmente não é uma tarefa fácil. Os fornecedores de segurança geralmente aprendem sobre esses ataques observando e se comunicando com seus clientes, o que essencialmente significa que tendemos a ver as tentativas que falham. Enquanto isso, as vítimas de ransomware tendem a ficar quietas (especialmente se pagaram o resgate).

Como consequência, os dados confiáveis sobre ataques bem-sucedidos são escassos. No entanto, no Remote Chaos Communication Congress (RC3) de 2020, uma equipe de pesquisadores apresentou um método bastante peculiar para analisar as jornadas de cibercriminosos do início ao fim com base nos rastros digitais dos fluxos financeiros das criptomoedas.

Analistas da Princeton University, New York University e University of California, San Diego, bem como funcionários do Google e Chainalysis, conduziram o estudo em 2016 e 2017. Já se passaram alguns anos, mas o método continua aplicável.

Metodologia

Os criminosos temem deixar rastros de dinheiro, razão pela qual o cibercrime prefere a criptomoeda (Bitcoin em particular), que é praticamente desregulamentada e garante o anonimato. Além disso, a criptomoeda está disponível para todos e as transações não podem ser canceladas.

No entanto, outra característica relevante do Bitcoin é importante aqui: todas as transações de Bitcoin são públicas. Isso significa que é possível rastrear os fluxos financeiros e vislumbrar a escala do funcionamento interno da economia do cibercrime. E foi exatamente isso que os pesquisadores fizeram.

Alguns (mas não todos) invasores geram um endereço de carteira BTC exclusivo para cada vítima, portanto, os pesquisadores primeiro coletaram os dados das carteiras destinadas ao pagamento de resgates.

Eles encontraram alguns dos endereços em mensagens públicas sobre a invasão (muitas vítimas postaram prints das mensagens de extorsão) e obtiveram outros executando ransomware em máquinas de teste.

Em seguida, os pesquisadores traçaram o caminho da criptomoeda depois que foi transferida para a carteira, o que em alguns casos exigia a realização de micro pagamentos com Bitcoins próprios. O suporte do Bitcoin ao cospending , por meio do qual os fundos de várias carteiras são transferidos para uma, permitiu que os cibercriminosos consolidassem os pagamentos de resgates de várias vítimas. Mas tal operação requer que o responsável pela operação tenha as chaves de várias carteiras. Consequentemente, o acompanhamento de tais operações permite ampliar a lista de vítimas e, ao mesmo tempo, encontrar o endereço da carteira central para onde os fundos são transferidos.

Depois de estudar os fluxos financeiros pelas carteiras ao longo de um período de dois anos, os pesquisadores tiveram uma ideia das receitas dos cibercriminosos e dos métodos usados para “lavar” os fundos.

Principais conclusões

A principal descoberta dos pesquisadores foi que, no espaço de dois anos, 19.750 vítimas transferiram aproximadamente US$ 16 milhões para os operadores dos cinco tipos mais comuns de ransomware.

Evidentemente, o número não é totalmente preciso (era improvável que eles conseguissem rastrear todas as transações), mas fornece uma estimativa aproximada da escala da atividade do cibercriminoso.

Curiosamente, cerca de 90% da receita veio das famílias Locky e Cerber (as duas ameaças de ransomware mais ativas na época). Além do mais, o infame WannaCry não ganhou mais do que U$ 100 mil (embora muitos especialistas classifiquem o malware como um wiper, não ransomware).

Estimando o lucro dos criadores do ransomware mais difundido de 2016–2017.. Source

Estimando o lucro dos criadores do ransomware mais difundido de 2016–2017.. Fonte

De longe o mais interessante foi investigar quanto dessa receita os cibercriminosos obtiveram e como o fizeram. Para isso, os pesquisadores usaram o mesmo método de análise de transações para ver quais carteiras dos cibercriminosos surgiram em transações conjuntas envolvendo as conhecidas carteiras de serviços de câmbio digital online. Nem todos os fundos podem ser rastreados dessa forma, é claro, mas o método permitiu que eles estabelecessem que os cibercriminosos de forma mais comum retiravam dinheiro por meio de BTC-e.com e BitMixer.io (as autoridades fecharam ambas as bolsas mais tarde, como você pode imaginar, por conta da lavagem de fundos ilegais)

Infelizmente, o site RC3 não fornece a apresentação de vídeo completa, mas o texto na íntegra do relatório está disponível.

Como se proteger de ransomware

Os lucros abundantes com o ransomware levaram os cibercriminosos a se comportar de forma cada vez mais impetuosa. Um dia eles se posicionam como Robin Hoods dos dias de hoje, investindo em caridade, no outro financiam uma campanha publicitária para assediar ainda mais as vítimas. Neste estudo, os pesquisadores tentaram localizar os pontos de pressão que interromperiam os fluxos financeiros e semeariam dúvidas nas mentes dos cibercriminosos sobre a lucratividade de um novo ransomware.

O único método verdadeiramente eficaz para combater o cibercrime é prevenir os ataques. Portanto, recomendamos seguir rigorosamente as seguintes regras:

  • Treine os funcionários para reconhecer técnicas de engenharia social. Com exceção de alguns casos raros, os invasores geralmente tentam infectar os computadores enviando aos usuários um documento ou link malicioso.
  • Atualize todos os software, e especialmente os sistemas operacionais, regularmente. Muitas vezes, o ransomware e suas ferramentas de entrega exploram vulnerabilidades conhecidas, mas ainda não corrigidas.
  • Use as soluções de segurança com tecnologias antiransomware integradas – de preferência, aquelas capazes de lidar com ameaças conhecidas e aquelas ainda não detectadas.
  • Faça backup dos dados regularmente, de preferência armazene em mídias separadas que não estejam permanentemente conectadas à rede local.
Dicas