[Segurança] Ciber crime Brasileiro

Recentemente surgiu a notícia de que a polícia civil prendeu uma quadrilha de ciber criminosos que conseguiram roubar cerca de R$ 3 milhões apenas neste ano! Outra quadrilha, presa em Maio deste ano, faturou cerca de R$ 1 milhão e usava ferramentas desenvolvidas no Leste Europeu.

Aproveitando o embalo, que tal dar uma olhada nas principais características e algumas estatísticas do ciber crime brasileiro?

O relatório "CYBER THREAT SCAPE REPORT" da iDefense/Accenture possui um capítulo dedicado a dar um overview do ciber crime brasileiro, e ele aponta algumas características locais:

• Os principais fóruns de hackers brasileiros são facilmente acessíveis e abertos ao público, aonde são usados frequentemente para disseminar conhecimento, ferramentas e produtos relacionados a ciber ataques e fraudes. Em alguns fóruns os administradores se esforçam para eliminar o comércio de dados criminosos;
• Nota: É muito fácil encontrar diversos grupos públicos de carding no Facebook, dedicados ao ciber crime, aonde o pessoal troca abertamente informações sobre dados roubados, compra e venda de serviços criminosos, etc.
• Há um amplo uso de plataformas de mensagens móveis, como o Telegram e o WhatsApp, para facilitar a comunicação entre os ciber criminosos no Brasil, com troca de informações sobre fraudes ligadas a informações pessoais e fraudes financeiras mais simples. Os ciber criminosos brasileiros estão se afastando dos fóruns e mercados online, optando pela comunicação e comércio através de plataformas de mensagens instantâneas e canais de bate-papo;
• Há uma tendência de que os Malwares brasileiros sejam versões modificadas de malwares anunciados anteriormente em mercados internacionais. Embora os malwares nacionais tenham sido, historicamente, pouco sofisticados, eles estão amadurecendo à medida que o crime cibernético se torna mais próximo do crime organizado;
• A comunidade brasileira de ciber criminosos tem um perfil comportamental único em comparação com as comunidades de língua inglesa e russa: nosss criminosos cibernéticos usam abertamente redes sociais como Facebook, Twitter e YouTube para anunciar suas ferramentas e produtos;
• Diversos fatores fazem com que o ciber crime brasileiro concentre-se fortemente no mercado doméstico (local), tais como as barreiras de língua portuguesa, amplas oportunidades de fraude no mercado local, a ideologia de “Robin Hood” (acreditam que estão roubando do bancos, e não da população) e a alta impunidade e ineficiência da repressão legal.

A Kaspersky, nesse artigo de 2016, já tinha mostrado vários detalhes técnicos sobre os malwares bancários no Brasil. Entre as principais características que eles apontaram, eu destaquei os seguintes trechos:

• Há algum tempo atrás, os malwares brasileiros tinham pouca sofisticação, como a falta de ofuscação do código, nenhuma técnica de anti-depuração, nenhuma criptografia, comunicação em texto puro, etc. O código costumava ser escrito em Delphi e Visual Básico 6, com muitas imagens embutidas, fazendo com que o arquivo do malware fosse enorme. Hoje em dia os ciber criminosos estão investindo tempo e dinheiro para desenvolver soluções melhores, ocultando o código sob muita ofuscação e técnicas de proteção de código, uso de outras linguagens como .NET e melhora na a qualidade do código;
• Como a maioria dos bancos brasileiros usa a identificação de máquinas para evitar tentativas não autorizadas de transações, os ciber criminosos realizam suas operações mal-intencionadas a partir da máquina infectada, usando os mecanismos de automação nativos do Internet Explorer para manipular e injetar transações (como automação OLE e o Browser Helper Objects - BHOs). Outra técnica comum é acessar o computador da vítima remotamente para tomar controle do computador enquanto a vítima está logada no Internet Banking, e realizar transações maliciosas (ataque conhecido como "RAT", sigla de "Remote Access Tool");
• Há evidências de que os criminosos brasileiros estão cooperando com as gangues do leste europeu envolvidas com os malwares ZeuS e SpyEye, entre outros. Essa colaboração melhora a qualidade e o nível do malware brasileiro, pois seus autores estão adicionando novas técnicas e melhorando a qualidade de seu código, e também usando a infraestrutura de ciber crime no exterior.

No relatório "Phishing Activity Trends Report, 4th Quarter 2018" do APWG publicado em 15 de maio deste ano, há uma seção que destaca os ataques de phishing no Brasil, baseado em dados da Axur. Embora estas estatísticas me pareçam meio "pobres" (por ex, eles apontaram "apenas" 526 ataques de phishing em dez/2017), mesmo assim eles indicam um constante crescimento dos ciber ataques no Brasil nos últimos três meses:

• Um aumento de 379% nos casos de phishing detectados (430 em Q3 versus 1.631 em Q4/2017);
• Aumento de 245% nos Web sites falsos (2.562 em Q3 e 6.293 em Q4);
• Aumento de 247% em phishing baseados em redes sociais (1.909 em Q3 versus 4.724 em Q4);
• No 4o trimestre de 2017, foram detectados 410 malwares e 320 rogue DNS severs;
• Em média, cada malware é direcionado a 10 empress e cada servidor DNS falso (rogue DNS) é direcionado a 3 empresas;
• Os ataques de phishing são direcionados principalmente a empresas do setor financeiro, como bancos e empresas de cartões de crédito.

Quando se trata de acompanhar as notícias sérias sobre o ciber crime brasileiro, eu gosto muito de acompanhar os pesquisadores da Kaspersky (o Assolini, o Thiago e o Dmitry), o Mercês da Trend Micro e o Altieres Rohr, da Linha Defensiva.

Para saber mais:

• Relatório "CYBER THREAT SCAPE REPORT"
• Latin America makes excellent target for cybercriminals
• The evolution of Brazilian Malware
• Brazilian banking Trojans meet PowerShell
• Brazilian Banking Trojan Communicates Via Microsoft SQL Server
• O CERT.br mantém estatísticas sobre notificações de incidentes e spam que são que são notificamos para eles.