As plataformas clandestinas fazem parte de um ecossistema maduro para o comércio de bens e serviços do cibercrime. Como uma infraestrutura de hospedagem capacitada permite que atividades ilícitas prosperem?
Onde as plataformas cibercriminosas são oferecidas?
No submundo do cibercrime, a infraestrutura de hospedagem de um criminoso serve como base para todo o seu modelo de negócios. Ele hospeda serviços de anonimato com o intuito de manter suas atividades privadas, servidores de comando e controle (C&C) para tirar proveito das máquinas das vítimas e fóruns de discussão para se comunicar com outros criminosos. Os vendedores criminosos fornecem serviços e infraestruturas de que outros criminosos precisam para executar seus ataques. Um serviço de hospedagem ou infraestrutura clandestinos permitem que os agentes de ameaças abriguem componentes cibercriminosos e realizem suas atividades ilegais sem sem serem presos ou terem seus sites derrubados, o que geralmente requer intervenção dos provedores de serviços.
Um serviço de hospedagem clandestino pode incluir o fornecimento de infraestruturas de hospedagem, provisões de nomes de domínio, infraestruturas de fluxo rápido, aceleradores de tráfego, servidores virtuais e dedicados, além de redes privadas virtuais (VPNs). As infraestruturas hospedadas também são usadas para enviar e-mails de phishing, comercializar produtos ilegais em lojas online e hospedar sistemas virtuais privados (VPS) que podem ser usados para lançar ataques.
Na primeira parte de nossa série de pesquisa de hospedagem clandestina, examinaremos os mercados ilícitos para ver quais bens e serviços eles oferecem às comunidades de agentes mal intencionados e como os vendedores criminosos conduzem suas transações com compradores de infraestrutura criminosa.
Serviços de Hospedagem no Submundo
As plataformas clandestinas oferecem uma ampla gama de serviços que atendem a agentes criminosos, de hospedagem à prova de balas e proxies a VPSs e VPNs. Curiosamente, esses serviços também foram observados em fóruns relacionados a apostas on-line, marketing digital e otimização de mecanismo de pesquisa (SEO) — os serviços podem ser usados para produzir cliques que podem influenciar o comportamento do mecanismo de pesquisa.
Também encontramos grupos de bate-papo em plataformas de mensagens on-line como VK, Telegram e WhatsApp que foram usadas para anunciar os serviços mencionados acima. Poderíamos vincular os anúncios em fóruns clandestinos e redes sociais por meio das mesmas informações de contato fornecidas pelos vendedores. Isso é contrário à noção existente de que os criminosos apenas vendem produtos ilícitos no submundo. Eles também refletem seus mercados na superfície da web.
Este é o estado atual do mercado clandestino do cibercrime: bem estabelecido, com fóruns repletos de ofertas e comunidades vibrantes de agentes com diferentes níveis de maturidade. Esses mercados evoluíram e desenvolveram estruturas que refletem negócios legítimos. Os vendedores desenvolveram modelos de negócios detalhados e sistemas de monetização que aceitam meios de pagamento comuns, como PayPal, Mastercard, Visa e criptomoedas.
A lista de produtos no submundo é diversa. Além da variedade de ofertas clandestinas de dumps e skimmers de cartão de crédito, os serviços de hacking são muitos em lojas dedicadas, oferecendo servidores dedicados, proxies SOCKS, VPNs e proteção distribuída contra negação de serviço (DDoS).
Infraestrutura Criminosa: Serviços Oferecidos no Submundo
- Provedores de hospedagem dedicados e virtuais, incluindo hospedagem “à prova de balas”, redes de fluxo rápido e outros tipos de provisão de hospedagem.
- Provedores de proteção de serviço e anonimato, incluindo serviços de anonimato, serviços de aceleração de tráfego, proxies, serviços de proxy reverso e VPNs.
- Provisão de infraestrutura adicional, incluindo provisões de infraestrutura menos usadas, como serviços de botnet no navegador, serviços de hospedagem de IoT e serviços relacionados a telecomunicações (por exemplo, chamadas, aterrissagem de chamadas, spamming de SMS).
- Serviços/sistemas legítimos usados e explorados para fins maliciosos, incluindo serviços gratuitos como serviços em nuvem, hospedagem DNS dinâmica e fornecimento de certificado SSL.
Seções de fóruns clandestinos relacionados a hospedagem e VPNs Os fóruns clandestinos podem ter dezenas e centenas de tópicos postados. Um determinado fórum, por exemplo, pode ter mais de 10.000 tópicos e 25.000 posts relacionados apenas a proxies e VPNs. A ação policial contra os usuários do fórum também é amplamente discutida em tópicos clandestinos. |
Um anúncio de plataformas automáticas para vendedores e compradores de servidores dedicados Servidores dedicados com acesso de protocolo de desktop remoto (RDP) em todo o mundo também são anunciados. A compra de hosts localizados nos Estados Unidos pode custar apenas US$3, mas os hosts mais caros, que começam em US$6, vêm com garantia adicional de disponibilidade pelas próximas 12 horas. Alguns vendedores até oferecem descontos para compras em grandes quantidades. |
Uma loja de servidores dedicados que oferece configurações e preços dos ativos vendidos As ofertas podem até ser classificadas por tipo de acesso, país/localização, propriedades de hardware e recursos de rede. |
Serviços Anunciados para Compradores de Infraestrutura Criminosa
Encontramos revendedores oficiais de serviços públicos de hospedagem anunciando em fóruns clandestinos. Esses provedores de hospedagem têm clientela legítima e anunciam na Internet. No entanto, vários revendedores atendem criminosos no submundo, com ou sem o conhecimento da empresa. Isso não deve ser uma surpresa, pois os criminosos também podem querer aproveitar e fazer uso de serviços que promovem excelentes recursos.
Vimos agentes clandestinos compartilhando links de referência de provedores de hospedagem e até ganhando dinheiro por referência da comunidade. Os hosts são comumente discutidos e anunciados por agentes criminosos por seu anonimato e tratamento de abusos (ou não tratamento).
Por que a hospedagem é crucial para os agentes de ameaças e usuários clandestinos?
Os serviços de hospedagem permitem que os usuários contornem as restrições da Internet, mantenham o anonimato e tornem a perícia forense complicada. Aqui estão outras razões pelas quais eles são usados com frequência:
- Os criminosos usam para incorporar componentes maliciosos
- Grupos criminosos usam isso para facilitar seus sistemas de comunicação
- Botnets exigem que implante infraestruturas C&C
- Os operadores de spam precisam dele para hospedar e conduzir sistemas de distribuição de spam
- Fóruns ilícitos precisam disso para rodar plataformas de comunicação
Um anúncio de um provedor de serviços de hospedagem “à prova de balas” Ao contrário dos hosts regulares, os provedores que são anunciados como “à prova de balas” são normalmente usados para hospedar conteúdo malicioso, como repositórios de malware, sites de phishing, pornografia, verificadores de vulnerabilidade e spammers. Esses provedores ignoram os relatórios de abuso e permitem que as operações do cibercrime sejam orquestradas em seus servidores. Isso torna a facilitação das remoções ainda mais difícil em países com leis brandas de cibercrimes, o que pode dificultar as investigações da aplicação da lei. |
Um anúncio de um serviço VPN “conhecido” em um fórum clandestino Os provedores de VPN são anunciados como anonimizadores que podem ser usados para ocultar a verdadeira localização de um criminoso na internet (ou seja, não mantém registros de atividades) e até mesmo fazer sua infraestrutura parecer o mais legítima possível, provavelmente em uma tentativa de tornar as ações de aplicação da lei complicadas. |
Plataformas de Rede Sociais Alavancadas Por Vendedores E Compradores Criminosos
Como qualquer empresa que vende bens e serviços a compradores em potencial, os vendedores criminosos também anunciam. Eles usam diferentes plataformas para promover seus produtos e serviços: canais de bate-papo, fóruns de agentes mal-intencionados e postagens em mídias sociais.
Por exemplo, encontramos um serviço de hospedagem anunciado na rede social VK. No submundo, ele está posicionado como adequado para realizar ataques de força bruta e executar varreduras em massa da Internet via Masscan, Nmap e ZMap.
Um canal do Telegram que mostra ativos comprometidos para anunciar seus serviços
O Telegram, por exemplo, se tornou um ponto de contato para serviços anunciados em fóruns clandestinos. Em alguns casos, é usado como plataforma para serviços de publicidade. Bate-papos e bots dedicados também são usados para vender servidores e outros ativos comprometidos, como hosts com acesso RDP e VPNs. |
Anúncios de serviços “à prova de balas” no Twitter usando hashtags em inglês
Mesmo no Twitter, tags como #VPS ou #bulletproof e seus análogos correspondentes em outros idiomas podem ser usados para encontrar anúncios de serviços “à prova de balas”. |
Uma melhor consciência do submundo é crucial para ajudar as organizações, a comunidade de SI e as forças de segurança a gerenciar e reduzir o cibercrime. As descobertas detalhadas podem ser lidas em nosso artigo completo, “The Hacker Infrastructure and Underground Hosting: An Overview of the Cybercriminal Market”, que fornece insights sobre o funcionamento de uma economia ilícita e as bases da infraestrutura do crime on-line.
A segunda parte desta série de pesquisa irá explorar como os cibercriminosos adquirem e usam componentes de infraestrutura criminosa, como ativos comprometidos e servidores de hospedagem dedicados.
