Assim como existem profissionais de cibersegurança trabalhando diligentemente para proteger as organizações e evitar a perda de recursos, também existem agentes de ameaças que oferecem serviços ofensivos, como vigilância cibernética comercial ou spyware. Além dos grupos que agem a mando de governos, um outro tipo de cibercriminosos, que se identificam como hack-for-hire, está operando ativamente na rede, fornecendo esse tipo de serviço ilegal a quem pague.
Quem são esses grupos de hack-for-hire?
Os hackers que se identificam com esse grupo são especialistas que oferecem o hacking como um serviço, para entidades que não possuem as habilidades ou a capacidade de realizar os crimes por conta própria.
Isso se assemelha ao serviço que os hackers éticos desempenham para a polícia, por exemplo, mas ao contrário deles, suas atividades são ilegais e ilegítimas.
Eles podem oferecer serviços de espionagem para empresas que querem descobrir informações sobre rivais, prever os próximos movimentos ou algo que possa lhe dar alguma vantagem competitiva, ou até mesmo roubar e corromper informações confidenciais que beneficiariam o contratante.
Geralmente eles oferecem seus serviços para um público limitado ou então divulgam seus serviços para qualquer pessoa disposta a fornecer uma remuneração adequada, independentemente do objetivo final.
O Grupo de Análise de Ameaças do Google (TAG), identificou grupos de hack-for-hire da Índia, Emirados Árabes e Rússia, considerados os principais atores desse tipo de atividade.
Alguns hackers ainda se disfarçam de investigadores particulares, enquanto alguns trabalham com a comunidade de freelancers para evitar envolver seu pessoal de forma direta.
Esses grupos de hack-for-hire são semelhantes aos fornecedores de vigilância comercial?
Embora as atividades sejam semelhantes, eles são diferentes, pois as empresas de vigilância comercial vendem seus produtos ao usuário para operar e proteger seus sistemas de informação contra ataques cibernéticos, enquanto os grupos de hack-for-hire realizam ataques cibernéticos explorando vulnerabilidades de segurança e aproveitando falhas conhecidas em suas campanhas.
Por roubar dados cruciais de seus oponentes, independente do motivo, os grupos de hack-for-hire são conhecidos também como mercenários cibernéticos. A única semelhança entre esses dois fornecedores, é que eles vendem os serviços para terceiros.
A quem esses grupos de hackers são direcionados?
Os grupos de hackers geralmente visam indivíduos de alto perfil, como jornalistas, ativistas políticos, ativistas de direitos humanos, entre outros, comprometendo sua privacidade, segurança e proteção. Além disso, eles também realizam roubo de informações comerciais e espionagem cibernética.
Em outras palavras, eles oferecem esses serviços não somente à nível corporativo, mas também a nível individual.
Entre seus serviços, se encontram o hacking de mídias sociais, alteração de notas de redes e instituições educacionais ou infiltração em sistemas de computadores pessoais para roubo de dados. Serviços como invasão de sites, mudança de notas e ataques pessoais estão entre os mais caros oferecidos.
No geral, qualquer um pode ser alvo para os grupos de hack-for-hire.
Como os grupos de hack-for-hire agem?
Eles podem agir de várias maneiras. A TAG do Google observou que as entidades indianas, por exemplo, usam atores freelancers e tentam evitar se envolver diretamente. Eles também trabalham com serviços de investigação terceirizados como forma de manter distância entre seus trabalhos.
A entidade de hack-for-hire indiana
A TAG tem seguido os agentes de hack-for-hire indianos desde 2012. Descobriu-se que esse alguns deles trabalhavam anteriormente para provedores de serviços de segurança ofensivos indianos como Belltrox e Appin. Além disso, um grupo específico pertencente a eles têm como alvo setores de saúde, governo e telecomunicações na Arábia Saudita, Emirados Árabes e Bahrein, com campanhas de phishing para roubo de credenciais.
A entidade de hack-for-hire russa
A Rússia é considerada uma grande fonte dos crimes cibernéticos, devido a muitos crimes recentes terem se originado de lá. A TAG do Google encontrou um agente russo visando jornalistas, políticos e várias ONGs enquanto investigava uma campanha de phishing de 2017.
No entanto, as investigações revelaram que os alvos incluíam muitas pessoas e entidades que não eram filiadas a essas organizações. Esse autor foi referido como Void Balaur.
As campanhas geralmente começam com um e-mail de phishing para roubo de credenciais, que inclui um link para uma página falsa. Normalmente, essas mensagens consistem em notificações que tentam se assemelhar a agências governamentais. Depois que o usuário é comprometido, os invasores continuam a quebrar as medidas de segurança, concedendo um token de autorização OAuth para si mesmos, em aplicativos de e-mails genuínos.
Eles também podem vincular a conta de usuário a de um invasor em uma rede de provedores de terceiros, ou acessar o conteúdo do e-mail via IMAP usando uma ferramenta personalizada.
A TAG também observou que os websites desses hackers anunciavam seus recursos, alegando críticas positivas de fóruns clandestinos como Probiv.cc e Dublikat.
A entidade de hack-for-hire dos Emirados Árabes Unidos
A TAG descobriu que esse grupo geralmente era ativo nos países do Oriente Médio e no Norte da África (região MENA).
Eles visavam organizações governamentais ou instituições educacionais e entidades públicas. O modus operandi envolve uso de e-mails falsos de redefinição de senha do Google ou OWA (Outlook Web App), para filtrar as credenciais de seus alvos.
Enquanto muitos grupos de hack-for-hire utilizam estruturas de phishing de código aberto, esse grupo específico utiliza de um conjunto dedicado de ferramentas, como o Selenium, para automatizar navegadores da web. Semelhante a entidade russa, eles apresentam tokens OAuth ou vinculam a conta do e-mail alvo comprometido à conta controlada pelo criminoso, em um provedor de serviço de e-mail terceirizado.
As investigações também revelaram que o grupo hack-for-hire dos Emirados, tinha conexões com os desenvolvedores originais do H-Worm e do njRAT.
Medidas protetivas contra atores hack-for-hire
Proteção contra phishing: há um padrão no modus operandi desses atores. Os ataques geralmente começam com um e-mail de phishing; portanto, uma medida preventiva que pode ser utilizada é o aumento da conscientização sobre phishing e atividades fraudulentas semelhantes entre os colaboradores.
Autenticação multifator: os usuários podem optar pela autenticação de dois fatores ou autenticação multifator como uma medida adicional de segurança.
Atualizações e proteção avançada: o Google TAG recomenda que os usuários de alto risco atualizem seus dispositivos e ativem a Proteção Avançada em suas contas, além da habilitação da navegação segura aprimorada no nível da conta do Google.
Precaução contra falsificação: a falsificação de e-mail é outra área crucial para se preocupar. Como usuário, é preciso ter cuidado ao acessar sites por meio de mecanismos de busca ou qualquer outra fonte que não possa autenticar a veracidade do site, por exemplo, por meio de um e-mail de uma fonte desconhecida.
Geralmente, os agentes de hack-for-hire não vão além de comprometer a caixa de entrada de e-mail e extrair dados. Eles se concentram principalmente em ataques de engenharia social, em vez de introduzir qualquer malware. No entanto, é melhor permanecer cauteloso, pois não é possível descartar casos de maior gravidade.
Conclusão
Grupos de hackers não são um fenômeno novo. Desde que o objetivo seja honroso e com boas intenções, como combater o cibercrime, não há problema em atores hack-for-hire, pois se enquadra no âmbito de hackers éticos. No entanto, se as intenções forem maliciosas, esses grupos têm o potencial de causar muitos danos, como visto e vários exemplos.
Assim, a necessidade do momento para as organizações e até mesmo para o público, em geral, é tomar as contramedidas necessárias para evitar que se tornem alvos desses grupos maliciosos.
Uma boa forma de fazer isso, é manter os patches de correção de brechas atualizados, e nada melhor para realizar isso de forma totalmente automatizada do que a Vicarius. Converse com a M3Corp para saber mais sobre a solução da Vicarius para correção de vulnerabilidades clicando aqui.
E clique aqui para saber mais sobre os hackers-for-hire.