Novo estudo feito pela Kaspersky revela que o ransomware é o malware de aluguel (malware como serviço – do inglês MaaS) predominante nos últimos sete anos, com cerca de 60% de todas as famílias distribuídas no período. O levantamento se baseia em pesquisas realizadas com 97 famílias de malware distribuídas de diferentes fontes, como a Dark Web. Os pesquisadores da empresa também constataram que muitas vezes os cibercriminosos alugam infostealers, botnets, loaders e backdoors para realizar seus ataques.
Malware como serviço (MaaS, Malware-as-a-Service) é um modelo de negócio ilícito que envolve a locação de software para realizar ciberataques. Normalmente, os clientes desses serviços recebem uma conta pessoal para controlar o ataque, além de suporte técnico. Isso reduz o limite inicial de expertise necessária para aspirantes a cibercriminosos.
Os especialistas da Kaspersky examinaram os volumes de vendas de diversas famílias de malware assim como menções, discussões, postagens e anúncios de pesquisa relacionados ao MaaS na Darknet e em outros recursos, a fim de identificar os tipos mais populares e se constatou que o líder é o ransomware. A popularidade do ransomware pode ser atribuída a sua grande capacidade de gerar lucros maiores que outros tipos de malware em um curto espaço de tempo.
Os cibercriminosos podem "assinar" o ransomware como serviço (RaaS, Ransomware-as-a-Service) gratuitamente e, quando se tornam parceiros do programa, pagam pelo serviço após a realização do ataque. O valor do pagamento é estabelecido como uma porcentagem do resgate pago pela vítima, normalmente algo entre 10 e 40% de cada transação. No entanto, não é simples entrar no programa, pois ele envolve requisitos rigorosos.
O segundo malware como serviço mais utilizado são os "infostealers", ou dispositivos para roubar informações, corresponderam a 24% das famílias de malware distribuídas como serviço durante o período analisado. São programas maliciosos criados para roubar dados como credenciais, senhas, cartões e contas bancárias, históricos de navegadores, dados de carteiras criptografadas e outros. Os serviços de "infostealer" são pagos por meio de um modelo de assinatura. Seu preço varia entre US? 100 e US? 300 por mês.
Os infostealers também permitem que os afiliados (quem compra o serviço) criem seu próprio tipo de equipe. Os membros dessas equipes são chamados de "traffers", ou seja, cibercriminosos que distribuem malware para aumentar lucros e obter juros, bônus e outros pagamentos dos afiliados. Os "traffers" não têm acesso ao painel de controle nem a outras ferramentas, pois seu único objetivo é ampliar a disseminação do malware. Na maioria das vezes, conseguem fazer isso disfarçando as amostras como itens menores e dando instruções de invasão de programas legítimos no YouTube e em outros sites.
Exemplo de vídeo usado por "traffers" para disseminar um "infostealer"
"Os cibercriminosos negociam ativamente bens e serviços ilícitos, inclusive malware e dados roubados, nos segmentos mais obscuros da Internet. Ao compreender como esse mercado está estruturado, as empresas podem ter insights sobre os métodos e motivações de possíveis golpistas. Com essas informações, podemos ajudar as empresas a desenvolver estratégias mais eficazes para impedir ciberataques, identificando e monitorando as atividades de cibercriminosos, rastreando o fluxo de informações e mantendo-se sempre informadas sobre tendências e ameaças emergentes", acrescentou Alexander Zabrovsky, analista de presença digital da Kasperskyuturo.