De Funcionários Leais a Cibercriminosos: Como os hackers estão a encontrar “infiltrados” na darknet

De Funcionários Leais a Cibercriminosos: Como os hackers estão a encontrar “infiltrados” na darknet

· O "Cost of Insider Threats Global Report", do Ponemon Institute, refere que, em 2021, o custo médio por incidente associado a atividades de informadores subirá para 15,38 milhões de dólares.

A Check Point Research, equipa de investigação da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível mundial, decidiu alertar para o facto de não serem apenas ferramentas e ameaças de pirataria informática ou armas, drogas e informações pessoais roubadas e credenciais de início de sessão que são transacionadas nos cantos escuros da Internet: há vários infiltrados e grupos de hackers que estão continuamente a oferecer os seus serviços e cibercriminosos à procura de colaboradores que os ajudem a atacar as organizações onde estes trabalham.

A Darknet é atrativa para os cibercriminosos devido ao seu anonimato quase perfeito, o que a torna um espaço ideal para encontrar colaboradores e oferecer oportunidades de emprego ilegal. Muitas ofertas são dirigidas a pessoas que têm conhecimento e acesso a sistemas confidenciais e que podem ajudar os cibercriminosos a entrar em redes protegidas. Embora possamos imaginar que, com o avanço das ferramentas cibernéticas, este negócio vai diminuir, observamos que, nos últimos dois anos, continua a florescer na darknet.

Ofertas de emprego na Darknet

"Os cibercriminosos utilizam frequentemente fóruns e mercados especializados na Darknet para publicar ofertas de emprego. Estas podem atrair utilizadores com experiência em tecnologia que estão desiludidos com o mercado de trabalho tradicional ou que estão dispostos a não cumprir a lei em troca de recompensas financeiras. As ofertas podem ir desde a pirataria informática e o roubo de dados até à instalação de malware e campanhas de ransomware. Os grupos de hackers esperam que os informadores forneçam acesso aos sistemas-alvo, ajudem a ultrapassar as medidas de segurança e forneçam informações úteis para um ataque bem-sucedido. Ou mesmo tentar uma sabotagem física", afirma Sergey Shykevich, Diretor do Grupo de Inteligência de Ameaças da Check Point Research.

Encontrar Informadores

Os infiltrados são valiosos para os cibercriminosos porque têm acesso a informações confidenciais e podem enfraquecer as medidas de segurança de dentro da organização. Os cibercriminosos oferecem muitas vezes elevadas recompensas financeiras pela cooperação e podem até dar formação especial para maximizar os danos. Por exemplo, como instalar malware ou sabotar os sistemas de segurança. Existem dezenas de anúncios semelhantes na Darknet. Muitas vezes, são anúncios provenientes da Rússia ou da Comunidade de Estados Independentes (CEI).

Contratar um informador é dispendioso e perigoso, razão pela qual os cibercriminosos visam, nestes casos, indústrias lucrativas e grandes empresas. Por exemplo, os setores financeiro, das telecomunicações ou da tecnologia são alvos muito procurados.

Mas não são só os cibercriminosos que procuram colaboradores na Darknet, os infiltrados também estão a oferecer os seus serviços de forma proativa. Por exemplo, um funcionário de uma grande operadora móvel na Rússia ofereceu a troca de cartões SIM e outros serviços ilegais. Há muitos anúncios semelhantes também para os operadores de telecomunicações dos EUA.

As ofertas de serviços de informação privilegiada do setor financeiro e do mundo das criptomoedas também são muito procuradas.

E o setor da tecnologia tem enfrentado, desde sempre, a ameaça dos infiltrados.

Mas nenhum setor está isento de riscos, como mostra o anúncio seguinte, relativo ao comércio do calçado e da moda.

Existem organizações de cibercrime na Rússia e na Europa de Leste que monitorizam as redes de informação privilegiada em várias organizações. Mas algumas delas também oferecem os seus próprios informadores, que prestam serviços ilegais ou, pelo menos, duvidosos noutros países. Um desses infiltrados é um hacker com a alcunha de Videntis.

O Videntis tem um catálogo de mais de 11 páginas que oferecem serviços relacionados com informação privilegiada. Alguns dos serviços são muito comuns, como encontrar um número de telemóvel por 2.500 RUB em 48 horas, listar todas as chamadas e SMS em 72 horas por 25.000 RUB ou reencaminhar todas as chamadas de um número específico por 19.000 RUB.

Outros serviços envolvem bancos russos específicos. Por 8.000 RUB é possível descobrir uma palavra secreta em 72 horas ou obter um extrato de qualquer conta por 9.000 RUB. Por 900 USD, um hacker promete usar os seus contactos para bloquear o WhatsApp de qualquer utilizador, bloquear um cartão SIM de qualquer operador ou, por 850 USD, bloquear qualquer conta pessoal do Instagram ou do TikTok num prazo de 7 a 30 dias. Alguns serviços são mais versáteis, como a confirmação de vacinas no estrangeiro ou a criação de documentos de saúde para viajar.

Um negócio lucrativo para ambas as partes

Para os infiltrados, trabalhar com cibercriminosos é de alto risco; podem enfrentar um processo criminal e perder a sua reputação profissional. E há recompensas à altura. Embora, para alguns, a principal motivação possa ser a vingança.

A recompensa pode assumir a forma de um pagamento direto ou de uma parte dos lucros obtidos com os dados roubados. Em alguns casos, as recompensas podem depender do êxito do ataque ou da quantidade de dados recuperados.

O infame grupo de hackers LAPSUS$, por exemplo, procurava um informador dentro de empresas de telecomunicações e oferecia uma recompensa e um baixo risco tanto para o informador como para os hackers. Outro grupo, por sua vez, oferecia entre 2.000 e 5.000 USD a funcionários que tivessem acesso a motoristas de vários serviços de entrega de comida. Mas montantes mais elevados, como até 100.000 USD a insiders de empresas tecnológicas, não são exceção. O impacto dos ataques que envolvem pessoas com informação privilegiada pode ser devastador. O "Cost of Insider Threats Global Report 2022" do Ponemon Institute refere que, os incidentes com ameaças deste tipo aumentaram 44% nos últimos dois anos, com os custos por incidente a subirem mais de um terço, para 15,38 milhões de dólares.

Os insiders podem ser funcionários, fornecedores ou funcionários de empresas parceiras. Para além disso, os seus motivos podem variar entre ganhos financeiros, vingança e razões políticas ou ideológicas.

A colaboração entre cibercriminosos e infiltrados na Darknet representa uma séria ameaça à segurança dos dados e às infraestruturas das empresas. Este fenómeno exige a máxima atenção e uma abordagem proativa da segurança, incluindo a formação dos trabalhadores, a aplicação de políticas de segurança adequadas, a deteção de comportamentos suspeitos, a monitorização de todo o ambiente e auditorias regulares. É importante compreender que a prevenção é fundamental na luta contra o cibercrime.