Como uma analista de ameaças canadense, um desafio que eu e outros analistas como eu enfrentamos é que há muito poucos relatórios que focam ou tratam do Canadá. Existem alguns, mas geralmente temos que depender de relatórios dos EUA (como o relatório da Trend Micro sobre o Submundo Norte-Americano) e depois extrapolar esses dados para o contexto do Canadá. Afinal, as ameaças dos EUA e do Canadá são iguais, certo?
Na verdade, esse não é o caso. Nossa cultura, motivações, comportamentos e clima político são todos exclusivos do país. Eles influenciam como os atores de ameaças se comportam aqui. Assim, as estatísticas americanas não são sempre um reflexo preciso das ameaças para o Canadá e para os canadenses. Esse é um fator que deveria ser considerado ao analisar as estatísticas relacionadas a ameaças aqui no Canadá.
Vamos dar uma olhada na métrica de ameaças para o Canadá nos últimos meses e semanas para dar uma pincelada no cenário de ameaças do país no que se refere a malware.
Qual é o volume e tendências das infecções por malware no Canadá como visto pela Trend Micro?
Atualmente, a ameaça mais destacada no Canadá é a barra de ferramenta de adware OpenCandy. Os usuários são levados a instalá-la em suas máquinas, que depois é usada também para baixar malware. Adware, ladrões de informações e Cavalos de Troia compõem o balanço das ameaças vistas mais comumente no Canadá no mês de novembro de 2015. Nota-se uma ausência visível: ransomware. Apesar do ransomware ser atualmente uma das principais ameaças nos EUA, não foi particularmente comum no Canadá em novembro de 2015.
Quais são os padrões de IPs e domínios maliciosos no Canadá?
O país não é um hospedeiro significativo de sites maliciosos, com apenas 0,2% do tráfego global levando a sites hospedados aqui. Porém, há um importante fator que diferencia os sites maliciosos do Canadá dos de outros países.
Ao contrário de outros países, a proporção de endereços IP e domínios maliciosos hospedados é quase de 1:1. Isso indica que os domínios maliciosos no Canadá tendem a ser hospedados em um único endereço IP e não se movem ou usam múltiplos endereços ao mesmo tempo, como acontece em outros lugares.
Assim, parece que sistemas peer-to-peer e fast-flux não são normalmente usados para hospedar sites e domínios maliciosos no Canadá. Isso destaca como a infraestrutura para hospedagem maliciosa no país não é tão sofisticada como é em outros países que são hotspots de cibercrime bem mais conhecidos. Ao contrário, parece que sites legítimos que foram injetados com conteúdo malicioso são mais comumente usados.
Qual país mais “ataca” o Canadá?
Para determinar qual país “ataca” com mais frequência o Canadá, nós examinamos onde os sites acessados pelos usuários canadenses e bloqueados por nosso produtos estavam hospedados. Examinando os dados de novembro, uma coisa ficou clara: os sites maliciosos que os canadenses acessam estão predominantemente hospedados nos Estados Unidos. O número de “cliques” em sites maliciosos nos EUA é maior em ordem de grandeza do que em qualquer outro país.
O que é mais interessante é que os outros países são fontes importantes de tráfego de sites maliciosos. Os números da Austrália se devem a muitos nós peer-to-peer do ZeuS (e seus sucessores); a atividade vinda da Holanda, Alemanha, Rússia e Ucrânia é devida à presença de empresas de hospedagem à prova de balas desses países. Esses hospedeiros à prova de balas são usados para hospedar infraestruturas de comando-e-controle (C&C) de várias botnets e, pelas estatísticas, parece que os canadenses também são vítimas desses sites, assim como em outros países.
Existe um Submundo Canadense?
Sim, existe.
Embora não seja grande ou bem desenvolvido como em outras grandes comunidades clandestinas, também existe uma comunidade no submundo canadense. Diferente do submundo dos EUA, ele é focado principalmente na venda de credenciais e documentos falsos/roubados. Isso inclui identificações falsas, como licenças de motorista e passaportes, além de cartões de crédito roubados e outras informações bancárias. Também inclui “fullz” (informações pessoais completas de um indivíduo), com relatórios de crédito de um indivíduo e até credenciais de suas Apple-ID.
A coisa mais interessante a se notar no submundo canadense é a ausência de toolkits e serviços de infraestrutura clandestinos que poderiam ser hospedados no Canadá. Apesar de extensas buscas, serviços de VPN, toolkits de botnets, serviços DDoS e afins não foram encontrados. Isso é especialmente notável pois alguns dos membros de gangues skid/jogos do mais alto nível residem no Canadá. Portanto, a falta desses serviços é surpreendente.
Finalmente, é confortante notar que além da falta de ofertas de serviços/infraestrutura no submundo, também parece não haver mercado para serviços relacionados a crimes violentos. Não encontramos armas à venda ou ofertas de assassinos de aluguel, nem “todos os serviços” do submundo do tráfico hospedados no Canadá, ou servindo principalmente ao seu mercado. Podemos apenas supor que a reputação do Canadá de ser um país bom e cumpridor da lei também se estende a seu submundo.
Que tipos de credenciais falsas ou roubadas podem ser encontradas no submundo canadense?
Quase todos os tipos de documentação ou credenciais foram encontrados em nossa pesquisa. Isso inclui licenças de motorista para todas as províncias, passaportes canadenses e cartões de Número de Seguro Social (Social Insurance Number ou SIN). Inclui também cartões VISA, Master Card e American Express, e cartões bancários de todas as maiores instituições financeiras.
O preço desses produtos tendem a ser mais baixos que os de informações americanas, como se pode ver em nosso estudo sobre o Submundo Norte-Americano.
Além dos documentos falsos, a venda de informações de cartões de débito e crédito também está prosperando. Nesse caso, os custos tendem a ser maiores do que os equivalentes dos EUA. Pode-se concluir que não é apenas devido ao menor suprimento mas porque, ao contrário do EUA, os cartões canadenses incluem tecnologia com chip e senha, tornando-os mais difíceis de se usar.
Informações bancárias também estão disponíveis para venda. Durante nossa pesquisa, podia-se encontrar sites vendendo muitas informações diferentes de contas da Instituição Financeira Canadense (Canadian Financial Institution ou CFI). O vendedor estava até disposto a fornecer capturas de telas de contas recentes e quantias para provar a autenticidade das mercadorias que ele estava vendendo.
Usando configurações de malware, nós avaliamos qual marca canadense era a mais frequentemente visada por malware em 2015. Com base em nossa análise, a marca de credencial mais visada era do Banco Toronto Dominion (TD); duas vezes mais do que a próxima marca mais visada.
Enquanto investigávamos, descobrimos que várias marcas de empresa de telecomunicações (Telus, Rogers, Fido) também eram visadas.
E as drogas, tanto ilegais como farmacêuticas? Podem ser encontradas?
Compreensivelmente, outro foco do submundo canadense é o comércio de drogas – tanto drogas ilegais vendidas nos mercados canadense e dos EUA, como também receitas de drogas à venda principalmente para clientes internacionais e dos EUA.
Em nossa pesquisa, conseguimos encontrar vendedores do Canadá vendendo várias drogas diferentes. Como exemplo, o vendedor acima parece comercializar ativamente e até era bem cotado por seus clientes pela qualidade e pontualidade de entrega.
Conclusão
Como um pesquisador de ameaças há muito tempo aqui no Canadá, foi especialmente interessante ver estatísticas diretamente relacionadas ao país. Também foi interessante ver como a comunidade do submundo do Canadá pode ser semelhante (e diferente).
Seria interessante comparar com outros países e outras estatísticas globais só para ver como comparamos diretamente usando a mesma metodologia e métrica. Talvez seja o que farei no próximo ano – então, fique de olho aqui para novas atualizações.
Publicado originalmente em TrendLabds por Natasha Hellberg, Pesquisadora de Ameaças Sênior na Trend Micro Canadá