Esse é um exemplo de apenas um dos anúncios publicados no mercado da Deep Web. Dentro desses recantos escondidos da Web, pode se encontrar mercados onde hackers e assassinos podem ser contratados e mercadorias ilegais, como drogas, apetrechos, armas, material pornográfico e toolkits de malware podem ser comercializados.
Como um iceberg, uma grande parte da Internet não é visível. Para a maioria dos usuários, a Superfície ou Web Visível é tudo que eles realmente precisam. É essa parte da “ponta do iceberg” da Internet onde qualquer pessoa com um dispositivo capaz e uma conexão pode acessar ou buscar informações, produtos e serviços. Mas muito pouco se sabe sobre a Deep Web. O que é? Como funciona? Ela é legal? Ela é real?
A Deep Web, que é uma seção não indexada da Internet, é invisível para os usuários porque os mecanismos de busca não são capazes de rastrear. Para fugir dos rastreadores do mecanismo de busca, o método mais eficiente para os usuários mal-intencionados é o uso das ”darknets” ou redes de anonimato que fornecem um acesso não rastreável a Web e invisibilidade para um site. Tais redes, como TOR, Freenet e i2P, foram essencialmente criadas para distribuir arquivos e configurar sites.
Apesar de sua reputação, essas redes foram principalmente projetadas para fornecer um sistema de comunicação seguro, onde os usuários podem escapar da censura e praticar a liberdade de expressão. Infelizmente, essas darknets também são muito populares entre os criminosos que comercializam produtos e serviços ilegais, principalmente devido ao anonimato que ela oferece. Além disso, a Deep Web também está cheia de conteúdo e sites hospedados em domínios alternativos de nível superior ou “TLDs falsos” que são indetectáveis para a maioria de nós. O infame, e hoje fora do ar, mercado do submundo Silk Road era executado no TOR desde seu início em 2011. Porém, não vai demorar muito para que outros mercados surjam.
A Conexão de Malware
Recentemente, mais malware incorporaram o uso do TOR e de outras darknets em suas rotinas como um método de evasão. Na segunda metade de 2013, os cibercriminosos usaram malware no TOR para esconder seu tráfego de rede. O malware Mevade e o TorRAT usavam o TOR para fazer backup de comunicação de comando-e-controle (C&C). O malware TorRAT visava contas de banco de usuários holandeses e o Melvade instalava malware e sequestrava resultados de busca. No fim de 2013, uma variante Ransomware chamada Cryptorbit pedia que as vítimas pagassem um resgate usando um pacote no navegador, pré-configurado pelo TOR.
Como no passado, o uso do TOR pode ser visto como uma enorme vantagem para os cibercriminosos pelo anonimato que oferece. No começo deste ano, ransomware e ataques direcionados foram usados por cibercriminosos através da Deep Web. Claro, algumas coisas nunca mudam, especialmente a necessidade de esconder comunicações C&C que permitem que os agressores realizem transações sem serem vistos ou rastreados. Estes são alguns casos notáveis, onde malware usa o TOR de um modo ou de outro.
Crypto-ransomware – em janeiro de 2015, a região da Austrália e Nova Zelândia foram afligidas por variantes do TorrentLocker, uma variante do ransomaware que usa criptografia para extorquir dinheiro das vítimas. O malware usa o TOR como sua página de pagamento, para que as transações não sejam prejudicadas se as autoridades derrubarem seus servidores de pagamento.
ZBOT – um malware bancário bem conhecido que visava sistemas de 64-bit. O malware aproveita o TOR para comunicações C&C de evasão, inclusive soluções contra malware.
BIFROSE – conhecido por suas rotinas de keylogger, o BIFROSE é uma variante de um malware backdoor que é capaz de roubar muito mais do que informações do que só as teclas digitadas. Conhecido por estar amplamente disponível no submundo cibercriminoso, o BIFROSE possibita que o agressor se registre em sistemas internos e envie mensagens para outros usuários na rede.
Android ransomware – esse malware mostra uma tela que notifica o usuário de que seu dispositivo foi bloqueado e que ele precisa pagar um resgate para recuperar seus dados. O não pagamento resultará na destruição de todos os dados no dispositivo móvel. Como nos casos mencionados acima, ele usa o TOR para se comunicar com o servidor C&C.
A Deep Web: Boa ou Má?
As tecnologias que oferecem anonimato foram criadas para a necessidade genuína de proteger os usuários contra o escrutínio indesejado. Mas com o tempo, ele foi abusado por cibercriminosos e outros violadores para perpetrar atividade ilegais e escapar da lei, confundindo seu propósito original. Consequentemente, a Deep Web se tornou o lugar dos usuários com motivos nefastos. Embora muitos defensores da privacidade considerem a Deep Web um tipo de esconderijo digital seguro ou uma zona desmilitarizada, alguns especialistas em segurança têm uma opinião diferente, devido ao seu poder de abrigar e agilizar atividades criminosas. Assim, os pesquisadores de segurança são incentivados a permanecer vigilantes e pensar em melhores maneiras para educar os usuários sobre o perigo potencial da Deep Web.
