Os crimes cibernéticos devem movimentar cerca de R$ 40 trilhões globalmente até o final de 2023, o que representa quatro vezes o PIB do Brasil (R$ 9,9 trilhões) e quase um terço do PIB dos Estados Unidos (R$ 127 trilhões), de acordo com dados de 2022. Esses números assustadores ajudam a tangibilizar a profundidade do impacto do cibercrime na economia mundial – e comprovam que ninguém está completamente seguro.
Empresas e profissionais de cibersegurança precisam se manter cada vez mais atualizados em relação a novos golpes, táticas e grupos de invasores. Como os criminosos estão sempre inovando nos ataques, o acompanhamento das novas modalidades e técnicas, bem como de todo o processo investigativo, é fundamental.
Como exemplos dessa necessidade de atualização, temos dois casos relatados recentemente pela equipe de Managed Detection and Response (MDR) da Sophos e que ajudam a compreender a real importância da disseminação de aprendizados valiosos para minimizarmos os riscos de um ataque. Veja:
Akira Ransomware
O ransomware Akira está “trazendo 1988 de volta”. Uma nova família de ransomware recentemente observada, apelidada de Akira, usa uma estética retrô em seu site, que lembra muito os consoles de tela verde dos anos 80 e, possivelmente, leva o nome do popular filme homônimo de anime de 1988.
As organizações afetadas têm seus arquivos criptografados com as extensões “.akira” e informações de nota de resgate denominadas "fn.txt". Em abril, maio e junho já foram relatados alguns casos na América do Norte e com grande possibilidade de ampliação para outros países.
É importante destacar que o Akira não tem semelhança alguma de código com a variação anterior de ransomware conhecida pelo mesmo nome, que estava ativo em 2017. O ataque usa cores verdes retrô e aceita comandos de linha em vez de listar apenas informações.
Ransomware Akira.
CryptoRom
Outro caso que vale destaque é o CryptoRom. A Sophos revelou novas descobertas sobre esses esquemas, nos quais criminosos aplicam golpes de fraude financeira em usuários de aplicativos de relacionamento e os influenciam a fazer falsos investimentos em criptomoedas. O relatório detalhou a identificação dos primeiros apps falsos, como Ace Pro e MBM_BitScan, que conseguiram contornar os rígidos protocolos de segurança da Apple.
Anteriormente, os cibercriminosos usaram técnicas alternativas para convencer as vítimas a baixarem aplicativos falsos que não eram autorizados pela plataforma. A Sophos notificou a Apple e o Google e, desde então, ambas as lojas removeram os apps clandestinos.
Para atrair a vítima que foi enganada por meio do Ace Pro, por exemplo, os golpistas criaram e mantiveram ativo um perfil falso no Facebook, com a personagem de uma mulher vivendo, supostamente, um estilo de vida luxuoso em Londres. Depois de construir um relacionamento com a vítima, eles sugeriram que ela baixasse o app Ace Pro e investisse na suposta criptomoeda ofertada.
O Ace Pro é descrito na loja de aplicativos como um scanner de QR code, mas é uma plataforma falsa de investimentos em criptomoedas. Uma vez aberta, os usuários vêem uma interface de negociação em que supostamente podem depositar e retirar moedas – entretanto, qualquer dinheiro depositado vai diretamente para os golpistas.
Criminosos aplicam golpes de fraude financeira em usuários de aplicativos de relacionamento e os influenciam a fazer falsos investimentos em criptomoedas.
Para passar pela segurança da App Store, a Sophos apontou que os atacantes tinham o app conectado a um site remoto com funcionalidade legítima quando este foi originalmente submetido para revisão, que incluía um QR Code, para que parecesse realmente autêntico para os revisores. Entretanto, uma vez aprovado, os hackers o redirecionavam para um domínio registrado na Ásia que, por fim, enviava um pedido que corresponde a um conteúdo de outro host, que redirecionava para a página da fraude.
Assim como o Ace Pro, o MBM_BitScan também é um aplicativo para Android, conhecido como BitScan no Google Play. Os dois apps se comunicam com a mesma infraestrutura de Comando e Controle (C2) que, por sua vez, interage com um servidor que se assemelha a uma legítima empresa japonesa de criptomoedas. O restante do conteúdo fraudulento é tratado em uma interface da web, dificultando o processo de detectá-lo como fraudulento pelos revisores de código da plataforma.
Já o subconjunto de esquemas conhecidos como sha zhu pan (???) - na tradução literal, o "prato de carne de porco" -, é uma operação de golpes bem organizados e sindicalizados, que usam uma combinação de engenharia social focada em romance, movimentações de criptomoedas fraudulentas e websites para atrair as vítimas e roubar dinheiro, após ganhar a sua confiança. Há dois anos a Sophos tem rastreado e relatado esses golpes que arrecadam milhões de dólares.
Fontes
Categorias
