Mercado abrirá em 3 h 19 min
  • BOVESPA

    95.368,76
    -4.236,78 (-4,25%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    37.393,71
    -607,60 (-1,60%)
     
  • PETROLEO CRU

    37,20
    -0,19 (-0,51%)
     
  • OURO

    1.879,10
    -0,10 (-0,01%)
     
  • BTC-USD

    13.172,51
    +9,12 (+0,07%)
     
  • CMC Crypto 200

    260,53
    -12,16 (-4,46%)
     
  • S&P500

    3.271,03
    -119,65 (-3,53%)
     
  • DOW JONES

    26.519,95
    -943,24 (-3,43%)
     
  • FTSE

    5.592,97
    +10,17 (+0,18%)
     
  • HANG SENG

    24.586,60
    -122,20 (-0,49%)
     
  • NIKKEI

    23.331,94
    -86,57 (-0,37%)
     
  • NASDAQ

    11.254,25
    +121,50 (+1,09%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,7282
    -0,0062 (-0,09%)
     

Identificados cibercriminosos que mais criaram ameaças em brechas de "dia zero"

Ramon de Souza
·2 minutos de leitura

Um malware não simplesmente nasce do nada. Para que um script malicioso seja escrito, é necessário inicialmente que seu criador se baseie em um exploit, como é chamado um segundo conjunto de códigos que se aproveita (“explora”) de uma brecha de segurança ainda não solucionada em um software. E, neste vasto mundo do crime cibernético, algumas pessoas se dedicam a encontrar vulnerabilidades críticas e vendê-las.

Esse é o caso de dois misteriosos internautas rastreados e identificados por pesquisadores da firma de segurança Check Point. Conhecidos simplesmente como Volodya e PlayBit, eles são acusados de se especializarem em achar vulnerabilidades dia zero no Windows (ou seja, aquelas que nem a Microsoft sabe da existência), criar exploits para se aproveitar delas e vender esses “kits prontos” para quem quiser fazer seus próprios vírus ou ataques.

Volodya, também conhecido no submundo como BuggiCorp, vende exploits desde 2015 e seria responsável por pelo menos 11 códigos de exploração diferentes; esses scripts teriam resultado no nascimento de malwares conhecidos como o Dreambot, o Magniber e o Turla. Ademais, acredita-se que ela tenha vendido algumas falhas dia zero para o APT28, grupo de hackers estatais constantemente ligados ao governo russo.

Igualmente sorrateiro, o criminoso PlayBit (também conhecido como luxor2008) possui cinco explorações registradas, sendo que elas deram origem a ransomwares altamente perigosos como Maze e REvil/Sodinokibi. O Maze, vale lembrar, foi o responsável por interromper diversos serviços da multinacional Canon no mês de agosto, chegando a vazar alguns documentos sigilosos da companhia no processo.

Um jeitinho único de hackear

A identificação só foi possível graças a um trabalho similar a uma análise grafológica: os pesquisadores resolveram analisar a fundo os exploits mais perigosos dos últimos anos e encontrar características em comum que pudessem ser atestadas como “assinaturas”, provando que eles foram escritos e comercializados no mercado negro pelo mesmo indivíduo.

<em>Imagem: Divulgação/Check Point</em>
Imagem: Divulgação/Check Point

“Esta análise fornece insights raros sobre a forma como funciona o mercado negro do cibercrime. Quando a Check Point desvenda uma vulnerabilidade, nós demonstramos a sua seriedade, reportando-a ao fornecedor indicado e nos certificamos de que existe uma patch para evitar que represente uma ameaça”, explica Itay Cohen, pesquisador de malware na Check Point.

“Contudo, para os indivíduos que comercializam estas explorações, a história é completamente diferente. Para eles, encontrar uma vulnerabilidade é apenas o início. Eles precisam explorá-la no maior número possível de versões de softwares e plataformas, de modo a monetizá-la e, assim, obter a satisfação dos seus ‘clientes’“, complementa. Por conta de sua atuação, os criadores de exploits são sutis e preferem se manter no mais completo escuro, sem ter um “nome a zelar” como outros criminosos cibernéticos.

“Também percebemos como é que essa satisfação é alcançada, e como se comportam os compradores desse mercado, que muitas vezes incluem agentes de Estados-nação. Nós acreditamos que esta metodologia de pesquisa pode ser utilizada para identificar outros desenvolvedores de exploits”, finaliza Cohen.

Fonte: Canaltech

Trending no Canaltech: