Tech

Mergulhando fundo na Darkish Net

Photo of LifeTechWeb LifeTechWebJuly 9, 2024
0 5 minutos lidos
Mergulhando fundo na Darkish Net
Teia escura

Descubra como os cibercriminosos se comportam nos fóruns da Darkish Net: quais serviços eles compram e vendem, o que os motiva e até mesmo como eles enganam uns aos outros.

Net clara vs. Net profunda vs. Net escura

Profissionais de inteligência de ameaças dividem a web em três componentes principais:

  • Limpar a Net – Recursos da Net que podem ser visualizados por meio de mecanismos de busca públicos, incluindo mídia, blogs e outras páginas e websites.
  • Rede profunda – Websites e fóruns que não são indexados por mecanismos de busca. Por exemplo, webmail, banco on-line, intranets corporativas, jardins murados, and so forth. Alguns dos fóruns de hackers existem na Deep Net, exigindo credenciais para entrar.
  • Darkish Net – Fontes da Net que exigem software program específico para obter acesso. Essas fontes são anônimas e fechadas, e incluem grupos do Telegram e fóruns somente para convidados. A Darkish Net contém Tor, P2P, fóruns de hackers, mercados criminosos, and so forth.
1

De acordo com Etay Maor, Estrategista Chefe de Segurança da Cato Networks, “Temos visto uma mudança na forma como os criminosos se comunicam e conduzem seus negócios, movendo-se do topo da geleira para suas partes mais baixas. As partes mais baixas permitem mais segurança.”

Destaque: O que é Tor?

Tor é uma rede livre, construída em código aberto, que permite comunicação anônima. Embora Tor tenha sido originalmente desenvolvido pelo Laboratório de Pesquisa Naval dos Estados Unidos, ele se tornou uma solução cada vez mais well-liked para atividades ilegais.

Conduzir essas atividades na Clear Net pode levar ao monitoramento da polícia e permitir o rastreamento até o criminoso. Mas, por meio do Tor, a comunicação é criptografada em três camadas que são removidas em cada salto de nó até sair da rede. As agências de segurança pública que monitoram o Tor não verão o IP do criminoso, mas o nó de saída do Tor, dificultando o rastreamento até o criminoso authentic.

Arquitetura de comunicação Tor:

2

Etay Maor acrescenta “Nos anos 2000, um alinhamento celestial de capacidades digitais impulsionou os esforços criminosos. Primeiro, surgiu a Darkish Net. Depois, serviços ocultos e seguros por meio do Tor. Finalmente, a criptomoeda permitiu transações seguras.”

Serviços criminais disponíveis na Darkish Net

Aqui estão alguns exemplos de serviços que estavam disponíveis na darkish internet no passado. Hoje, muitos deles foram retirados. Em vez disso, os criminosos estão migrando para a plataforma de mensagens Telegram, devido aos seus recursos de privacidade e segurança.

Exemplo inclui –

Venda de drogas:

3

Serviços de identidade falsa:

4
5
6
7

Market para busca de fornecedores, incluindo um aviso sobre tentativas de phishing:

8

Como os fóruns criminais são gerenciados? Criando confiança em um ambiente não confiável

Os invasores tentam explorar vulnerabilidades e invadir sistemas como uma forma de lucrar. Assim como qualquer outro ecossistema comercial, eles usam fóruns on-line para comprar e vender serviços de hacking. No entanto, esses fóruns precisam criar confiança entre os membros, enquanto eles próprios são construídos sobre o crime.

Em termos gerais, tais fóruns foram inicialmente concebidos da seguinte forma:

  1. Administrador – Modera o fórum
  2. Garantia – Facilitar pagamentos entre membros
  3. Lista negra – Um árbitro para resolver questões como pagamentos e qualidade de serviço
  4. Suporte do Fórum – Várias formas de assistência para incentivar o envolvimento da comunidade
  5. Moderadores – Líderes de grupo para diferentes tópicos
  6. Fornecedores verificados – Fornecedores que foram garantidos, ao contrário de alguns fornecedores que são golpistas
  7. Membros regulares do fórum – Os membros do grupo. Eles foram verificados antes de serem autorizados a entrar no fórum para filtrar golpistas, agências de aplicação da lei e outros membros irrelevantes ou arriscados.
9

O caminho da infecção por malware para o vazamento de dados corporativos na Darkish Net

Vamos ver como os diferentes estágios de ataque são representados na Darkish Net, através de um exemplo de malware usado para roubar informações para fins de ransomware:

Fases pré-incidente:

1. Coleta de dados – Os agentes de ameaças executam campanhas mundiais de malware infostealer e roubam registros de credenciais comprometidas e impressões digitais de dispositivos.

10

2. Fornecedores de dados – Os agentes de ameaças fornecem dados para mercados da Darkish Net especializados em credenciais e impressões digitais de dispositivos de computadores infectados por malware.

3. Fornecimento de novos produtos – Os logs ficam disponíveis para compra no mercado da Darkish Net. O preço de um log normalmente varia de alguns dólares a US$ 20.

Fases de incidentes ativos:

4. Compra – Um agente de ameaça especializado em acesso inicial à rede compra os logs e se infiltra na rede para elevar o acesso. Muitas vezes, as informações compradas incluem mais do que credenciais. Elas incluem sessões de cookies, impressão digital do dispositivo e muito mais. Isso permite imitar o comportamento da vítima para contornar mecanismos de segurança como MFA, tornando os ataques mais difíceis de detectar.

5. Leilão – O acesso é leiloado em um fórum da Darkish Net e comprado por um grupo de ameaças qualificado.

Etay Maor observa: “Os leilões podem ser realizados como uma competição ou como “Flash”, o que significa que um agente de ameaça pode comprar imediatamente sem a competição. Grupos de ameaças sérias, especialmente se forem apoiados por estados-nação ou forem grandes gangues criminosas, podem usar essa opção para investir em seus negócios.”

11

6. Extorsão – O grupo executa o ataque, colocando ransomware na organização e extorquindo-o.

12

Este caminho destaca as várias áreas de experience dentro do ecossistema criminoso. Como resultado, uma abordagem multicamadas alimentada pela operacionalização de dados de ameaças pode alertar e possivelmente prevenir incidentes futuros.

O papel do HUMINT

Soluções automatizadas são indispensáveis ​​para combater o crime cibernético, mas para entender completamente esse reino, a inteligência humana (HUMINT) também é necessária. Esses são os agentes do crime cibernético, os atores das agências de aplicação da lei que entram em fóruns e agem como atores comerciais. O engajamento é uma arte e também tem que ser uma ARTE – Acionável, Confiável e Oportuna.

Vamos ver alguns exemplos de fóruns monitorados por agentes de crimes cibernéticos e como eles respondem.

Neste exemplo, um invasor está vendendo logins de VPN:

13

O agente anticriminosos cibernéticos tentará entender a qual VPN ou cliente isso pertence.

Em outro exemplo, um invasor está vendendo acesso da Citrix a um provedor de soluções e serviços de infraestrutura de TI no Reino Unido.

14

Um agente de crimes cibernéticos pode entrar em contato como um comprador em potencial e pedir amostras. Como o vendedor está agindo de um ponto de vista econômico e pode não estar em uma boa situação financeira (vindo de países da antiga URSS), ele estará disposto a enviar amostras para promover uma venda.

Proteção contra ataques de rede

A Darkish Net opera como um ecossistema econômico, com compradores, vendedores, oferta e demanda. Portanto, a proteção eficaz contra ataques de rede requer uma abordagem multicamadas para cada estágio do ataque, tanto pré-incidente quanto durante o incidente em si. Tal abordagem inclui o uso de ferramentas automatizadas, bem como HUMINT – a arte de se envolver com criminosos cibernéticos on-line para reunir inteligência imitando a maneira como eles operam.

Para ver exemplos mais fascinantes e ouvir mais detalhes sobre os fóruns HUMINT e Darkish Net, assista à masterclass completa aqui.

Tags
Photo of LifeTechWeb LifeTechWebJuly 9, 2024
0 5 minutos lidos
Photo of LifeTechWeb

LifeTechWeb

Artigos relacionados

Novo ataque SnailLoad explora latência de rede para espionar atividades da Net dos usuários

Novo ataque SnailLoad explora latência de rede para espionar atividades da Net dos usuários

June 28, 2024
Apple Vision Pro oferece novas oportunidades médicas e de saúde

Apple Vision Pro oferece novas oportunidades médicas e de saúde

March 12, 2024
Como os CISOs podem recuperar o controle na period da velocidade?

Como os CISOs podem recuperar o controle na period da velocidade?

May 24, 2024
Nova API ChatGPT Batch reduz custos de processamento

Nova API ChatGPT Batch reduz custos de processamento

April 16, 2024

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button