{"id":16866,"date":"2021-01-25T20:12:46","date_gmt":"2021-01-25T23:12:46","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=16866"},"modified":"2021-01-25T20:20:38","modified_gmt":"2021-01-25T23:20:38","slug":"rc3-bitcoin-ransom-tracing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/rc3-bitcoin-ransom-tracing\/16866\/","title":{"rendered":"O fluxo financeiro de ransomwares"},"content":{"rendered":"

Quanto melhor compreendermos o modus operandi e a escala operacional dos cibercriminosos, mais eficazmente poderemos combat\u00ea-los. No caso do ransomware<\/a>, avaliar o sucesso e a lucratividade de qualquer grupo criminoso espec\u00edfico normalmente n\u00e3o \u00e9 uma tarefa f\u00e1cil. Os fornecedores de seguran\u00e7a geralmente aprendem sobre esses ataques observando e se comunicando com seus clientes, o que essencialmente significa que tendemos a ver as tentativas que falham. Enquanto isso, as v\u00edtimas de ransomware tendem a ficar quietas (especialmente se pagaram o resgate).<\/p>\n

Como consequ\u00eancia, os dados confi\u00e1veis sobre ataques bem-sucedidos s\u00e3o escassos. No entanto, no Remote Chaos Communication Congress (RC3) de 2020, uma equipe de pesquisadores apresentou um m\u00e9todo bastante peculiar para analisar as jornadas de cibercriminosos do in\u00edcio ao fim com base nos rastros digitais dos fluxos financeiros das criptomoedas.<\/p>\n

Analistas da Princeton University, New York University e University of California, San Diego, bem como funcion\u00e1rios do Google e Chainalysis, conduziram o estudo em 2016 e 2017. J\u00e1 se passaram alguns anos, mas o m\u00e9todo continua aplic\u00e1vel.<\/p>\n

Metodologia<\/h2>\n

Os criminosos temem deixar rastros de dinheiro, raz\u00e3o pela qual o cibercrime prefere a criptomoeda (Bitcoin em particular), que \u00e9 praticamente desregulamentada e garante o anonimato. Al\u00e9m disso, a criptomoeda est\u00e1 dispon\u00edvel para todos e as transa\u00e7\u00f5es n\u00e3o podem ser canceladas.<\/p>\n

No entanto, outra caracter\u00edstica relevante do Bitcoin \u00e9 importante aqui: todas as transa\u00e7\u00f5es de Bitcoin s\u00e3o p\u00fablicas. Isso significa que \u00e9 poss\u00edvel rastrear os fluxos financeiros e vislumbrar a escala do funcionamento interno da economia do cibercrime. E foi exatamente isso que os pesquisadores fizeram.<\/p>\n

Alguns (mas n\u00e3o todos) invasores geram um endere\u00e7o de carteira BTC exclusivo para cada v\u00edtima, portanto, os pesquisadores primeiro coletaram os dados das carteiras destinadas ao pagamento de resgates.<\/p>\n

Eles encontraram alguns dos endere\u00e7os em mensagens p\u00fablicas sobre a invas\u00e3o (muitas v\u00edtimas postaram prints das mensagens de extors\u00e3o) e obtiveram outros executando ransomware em m\u00e1quinas de teste.<\/p>\n

Em seguida, os pesquisadores tra\u00e7aram o caminho da criptomoeda depois que foi transferida para a carteira, o que em alguns casos exigia a realiza\u00e7\u00e3o de micro pagamentos com Bitcoins pr\u00f3prios. O suporte do Bitcoin ao cospending , por meio do qual os fundos de v\u00e1rias carteiras s\u00e3o transferidos para uma, permitiu que os cibercriminosos consolidassem os pagamentos de resgates de v\u00e1rias v\u00edtimas. Mas tal opera\u00e7\u00e3o requer que o respons\u00e1vel pela opera\u00e7\u00e3o tenha as chaves de v\u00e1rias carteiras. Consequentemente, o acompanhamento de tais opera\u00e7\u00f5es permite ampliar a lista de v\u00edtimas e, ao mesmo tempo, encontrar o endere\u00e7o da carteira central para onde os fundos s\u00e3o transferidos.<\/p>\n

Depois de estudar os fluxos financeiros pelas carteiras ao longo de um per\u00edodo de dois anos, os pesquisadores tiveram uma ideia das receitas dos cibercriminosos e dos m\u00e9todos usados para \u201clavar\u201d os fundos.<\/p>\n

Principais conclus\u00f5es<\/h2>\n

A principal descoberta dos pesquisadores foi que, no espa\u00e7o de dois anos, 19.750 v\u00edtimas transferiram aproximadamente US$ 16 milh\u00f5es para os operadores dos cinco tipos mais comuns de ransomware.<\/p>\n

Evidentemente, o n\u00famero n\u00e3o \u00e9 totalmente preciso (era improv\u00e1vel que eles conseguissem rastrear todas as transa\u00e7\u00f5es), mas fornece uma estimativa aproximada da escala da atividade do cibercriminoso.<\/p>\n

Curiosamente, cerca de 90% da receita veio das fam\u00edlias Locky<\/a> e Cerber<\/a> (as duas amea\u00e7as de ransomware mais ativas na \u00e9poca). Al\u00e9m do mais, o infame WannaCry<\/a> n\u00e3o ganhou mais do que U$ 100 mil (embora muitos especialistas classifiquem o malware como um wiper, n\u00e3o ransomware).<\/p>\n

\"Estimando

Estimando o lucro dos criadores do ransomware mais difundido de 2016\u20132017.. Fonte<\/a><\/p><\/div>\n

De longe o mais interessante foi investigar quanto dessa receita os cibercriminosos obtiveram e como o fizeram. Para isso, os pesquisadores usaram o mesmo m\u00e9todo de an\u00e1lise de transa\u00e7\u00f5es para ver quais carteiras dos cibercriminosos surgiram em transa\u00e7\u00f5es conjuntas envolvendo as conhecidas carteiras de servi\u00e7os de c\u00e2mbio digital online. Nem todos os fundos podem ser rastreados dessa forma, \u00e9 claro, mas o m\u00e9todo permitiu que eles estabelecessem que os cibercriminosos de forma mais comum retiravam dinheiro por meio de BTC-e.com e BitMixer.io (as autoridades fecharam ambas as bolsas mais tarde, como voc\u00ea pode imaginar, por conta da lavagem de fundos ilegais)<\/p>\n

Infelizmente, o site RC3 n\u00e3o fornece a apresenta\u00e7\u00e3o de v\u00eddeo completa, mas o texto na \u00edntegra do relat\u00f3rio<\/a> est\u00e1 dispon\u00edvel.<\/p>\n

Como se proteger de ransomware<\/h2>\n

Os lucros abundantes com o ransomware levaram os cibercriminosos a se comportar de forma cada vez mais impetuosa. Um dia eles se posicionam como Robin Hoods dos dias de hoje, investindo em caridade, no outro financiam uma campanha publicit\u00e1ria para assediar ainda mais as v\u00edtimas. Neste estudo, os pesquisadores tentaram localizar os pontos de press\u00e3o que interromperiam os fluxos financeiros e semeariam d\u00favidas nas mentes dos cibercriminosos sobre a lucratividade de um novo ransomware.<\/p>\n

O \u00fanico m\u00e9todo verdadeiramente eficaz para combater o cibercrime \u00e9 prevenir os ataques. Portanto, recomendamos seguir rigorosamente as seguintes regras:<\/p>\n