58% das vendas de malware as a service são ransomware

58% das vendas de malware as a service são ransomware

Um novo estudo da equipa de Digital Footprint Intelligence da Kaspersky revela que o ransomware é o malware as a service (MaaS) mais prevalente nos últimos sete anos. O relatório analisa 97 famílias de malware distribuídas através da dark web. Os cibercriminosos contratam ladrões de informação, botnets, downloaders e backdoors para levar a cabo os seus ataques.

Malware as a Service (MaaS) ou malware como um serviço é um negócio ilegal que envolve o aluguer de software para executar ciberataques. Os clientes destes serviços recebem uma conta pessoal através da qual podem monitorizar os ataques e receber apoio técnico. Isto permite que pessoas sem grandes conhecimentos informáticos realizem ataques informáticos.

Os profissionais da Kaspersky examinaram a venda de famílias de malware, bem como chats, publicações e anúncios de pesquisa na dak web e noutros sites para identificar as famílias mais populares. O ransomware, malware que sequestra dados e exige um resgate para os recuperar, representa 58% de todo o MaaS distribuído entre 2015 e 2022. O facto de gerar grandes lucros em menos tempo do que outros tipos de malware é a principal razão do seu sucesso.

A subscrição do Ransomware as a Service (RaaS) pode ser gratuita no início, pagando-se o montante acordado ao fornecedor após o ataque. O pagamento situa-se normalmente entre 10% e 40% dos lucros. O acesso a este tipo de serviço não é fácil porque os requisitos impostos pelos fornecedores são muito rigorosos.

Distribuição das famílias de malware, 2015-2022. Fonte: Kaspersky Digital Footprint Intelligence

Os infostealers, ou ladrões de informação, representaram 24% das famílias de malware distribuídas como um serviço durante o período analisado. São concebidos para roubar dados como credenciais, palavras-passe, cartões, contas bancárias, histórico do browser ou dados encriptados de carteiras.

Os serviços de roubo de informação são pagos através de um modelo de subscrição. O seu preço varia entre 92 e 280 euros por mês. Por exemplo, o Raccoon Stealer, que já não está em funcionamento desde o início de fevereiro de 2023, pode ser adquirido por 255 dólares ou 139 dólares por semana. O seu rival direto, RedLine, tem um preço mensal de 139 euros. Há também a possibilidade de adquirir uma licença vitalícia por cerca de 830 euros, descobriram os peritos da Kaspersky ao analisar a dark web. Os atacantes também podem obter acesso a serviços adicionais por uma taxa extra.

Entre o o malware vendido como um serviço, 18% são botnets, downloaders e backdoors. Estas ameaças têm frequentemente um objetivo comum: descarregar e executar outro malware no dispositivo da vítima. "O preço do Matanbuchus loader varia ao longo do tempo. O preço atual começa em 4.500 euros por mês. Este tipo de malware é mais caro do que os ladrões de informação porque o código malicioso é mais complexo e o fornecedor fornece toda a infraestrutura, o que significa que o cliente não tem de pagar mais pelos serviços de alojamento quando utiliza o Matanbuchus. O número de subscritores do Matanbuchus é limitado, o que torna mais difícil a deteção de atacantes", afirma Alexander Zabrovsky, analista da Kaspersky Digital Footprint.

Estrutura das vendas de MaaS

Os cibercriminosos que exploram as plataformas MaaS são normalmente conhecidos como operadores, enquanto os que compram estes serviços são conhecidos como afiliados. Depois de fechado o negócio, os afiliados recebem acesso a componentes MaaS, como painéis de comando e controlo (C2), programadores (programas para a criação rápida de amostras únicas de malware), atualizações de malware e de interfaces, apoio, instruções e alojamento. Os painéis são um componente essencial que permite aos atacantes controlar e coordenar as atividades das máquinas infetadas. Por exemplo, podem divulgar dados, negociar com a vítima, receber apoio, criar amostras únicas de malware e realizar uma série de outras atividades.

Exemplo de vídeo utilizado pelos traficantes para propagar um ladrão de informação

Alguns tipos de MaaS, como os ladrões de informação, permitem que os afiliados criem os seus próprios grupos e equipas para executar ciberataques. São os chamados Traffers. São cibercriminosos que distribuem malware para aumentar os lucros. Os Traffers não têm acesso ao painel C2 ou a outras ferramentas. A sua única tarefa é aumentar a propagação do malware e serem pagos por isso. Muitas vezes, escondem o malware em vídeos do YouTube que explicam como piratear aplicações legítimas.

"Os cibercriminosos comercializam ativamente bens e serviços ilícitos, incluindo malware e dados roubados, na darknet. Compreender como este mercado está estruturado permite-nos conhecer os métodos e as motivações dos atacantes. Desta forma, podemos ajudar melhor as empresas a desenvolver estratégias eficazes para evitar ciberataques. A Kaspersky identifica e rastreia as atividades dos cibercriminosos, segue o fluxo de informações e mantém-se atualizada sobre novas ameaças e tendências", conclui Alexander Zabrovsky.

Para se proteger contra estas ameaças, os especialistas da Kaspersky recomendam:

· Mantenha sempre o software atualizado para evitar ataques de infiltração na rede. As atualizações incluem patches de segurança que proporcionam proteção contra as mais recentes vulnerabilidades descobertas.

· Tenha as mais recentes informações de inteligência de ameaças para conhecer as Tácticas e os procedimentos técnicos (TTP) utilizados pelos cibercriminosos.

· Saiba como os cibercriminosos veem a sua organização, pois isso ajuda-o a detetar pontos fracos e a ajustar melhor as suas defesas. A Kaspersky Digital Footprint Intelligence é um aliado interessante neste sentido.

· No caso de um incidente, o Kaspersky Incident Reponse minimizará as consequências, identificando os nós comprometidos e protegendo a infraestrutura de ataques semelhantes no futuro.

Para saber mais sobre MaaS, veja o Securelist.