Cyberprzestępcy z Rosji i Brazylii współpracują ze sobą
Śledztwo przeprowadzone przez badaczy z Kaspersky Lab w sprawie brazylijskich i rosyjskich forów przestępczych wykazało, że cyberprzestępcy z przeciwnych krańców świata pokonują różnice czasowe i bariery językowe, nawiązując bliską współpracę. Te wspólne działania napędzają ewolucję szkodliwych narzędzi wykorzystywanych w atakach na całym świecie.
Brazylijskie i rosyjskie podziemie cyberprzestępcze to dwa z najbardziej widocznych rynków dla badaczy cyberbezpieczeństwa ze względu na ich stosunkową otwartość, wysoki poziom aktywności oraz dużą liczbę forów internetowych wykorzystywanych przez przestępców do celów wzajemnej komunikacji. W przeszłości oba rynki rozwijały się niezależnie od siebie, tworząc odrębne techniki cyberataków dostosowane do warunków lokalnych (np. szkodliwe oprogramowanie „Boletos” w Brazylii czy szkodliwe oprogramowanie atakujące usługi bankowości mobilnej w Rosji). Jednak dochodzenie przeprowadzone przez badaczy z Kaspersky Lab pokazuje, że brazylijscy i rosyjskojęzyczni przestępcy rozwinęli w ostatnich latach system współpracy. Brazylijscy przestępcy wyszukują próbki na rosyjskich forach przestępczych, kupując nowe oprogramowanie i szkodliwe programy lub oferując swoje usługi. Jest to handel dwustronny, a współpraca przyspiesza ewolucję szkodliwego oprogramowania.
Przykłady wzięte z życia
Oznaki współpracy zauważono na jednym forum przestępczym odwiedzanym przez rosyjskojęzycznych użytkowników. W jednym z wymienionych tematów użytkownik o nazwie Doisti74 wyraził zainteresowanie kupnem brazylijskich „loaderów”, które w żargonie cyberprzestępczym oznaczają udane instalacje szkodliwego oprogramowania na zaatakowanych komputerach zlokalizowanych w Brazylii.
Badacze zauważyli użytkownika o tej samej nazwie na scenie brazylijskiego podziemia, gdzie jest on znany jako aktywny użytkownik forów i został zidentyfikowany jako osoba, która rozprzestrzenia oprogramowanie ransomware atakujące brazylijskich użytkowników.
Inny przypadek pokazuje, jak przestępcy współdzielą szkodliwą infrastrukturę. Kilka miesięcy po tym, jak rodzina rosyjskich trojanów bankowych (Crishi) zaczęła wykorzystywać algorytm generujący domeny w odpornej na ataki organizacji hostingowej na Ukrainie, brazylijscy przestępcy również zaczęli wykorzystywać tę infrastrukturę. Bez pewnej formy współpracy między osobami odpowiedzialnymi ataki w Brazylii oraz tymi, którzy stworzyli algorytm generowania domen, utrudnienie identyfikacji serwerów kontroli dla badaczy i organów ścigania byłoby niemożliwe.
Cyberprzestępcy również pożyczają od siebie nawzajem szkodliwe techniki. Na przykład od przynajmniej 2011 r. brazylijscy przestępcy aktywnie wykorzystują PAC - przestarzałą technologię, która nadal jest obsługiwana przez wiele przeglądarek - celu przekierowywania ofiar na fałszywe strony bankowe. Niecały rok minął od czasu, gdy badacze z Kaspersky Lab odkryli, że ta sama technika jest wykorzystywana w szkodniku Capper — kolejnym trojanie bankowym atakującym rosyjskie banki, stworzonym najprawdopodobniej przez rosyjskojęzycznych przestępców.
To jedynie kilka spośród wielu przykładów współpracy między brazylijskimi i rosyjskojęzycznymi cyberprzestępcami, zaobserwowanych przez badaczy z Kaspersky Lab w ostatnich latach.
„Jeszcze kilka lat temu brazylijskie szkodliwe oprogramowanie bankowe było nieskomplikowane i łatwe do wykrycia. Z czasem jednak cyberprzestępcy zaczęli stosować różne techniki w celu uniknięcia wykrycia, w tym zaciemnianie kodu czy uzyskiwanie uprawnień administratora, przez co szkodliwe oprogramowanie stało się bardziej wyrafinowane i trudniejsze do zwalczania. Stało się tak w wyniku wykorzystania szkodliwych technologii opracowanych przez rosyjskich cyberprzestępców. Co więcej, współpraca ta działa w obu kierunkach. Kaspersky Lab posiada niezrównane doświadczenie, jeśli chodzi o tropienie i zwalczanie rosyjskiego i latynoamerykańskiego cyberpodziemia. Nasi eksperci wykrywają nowe trendy w zakresie szkodliwego oprogramowania na długo zanim staną się powszechne i wykorzystują tę wiedzę, by przeciwdziałać szerzeniu się lokalnej cyberprzestępczości na całym świecie. Według nas najlepszym sposobem zwalczania tego rodzaju międzynarodowego zagrożenia jest przeprowadzanie międzynarodowego dochodzenia w sprawie takiej aktywności. Dochodzenia, podobnie jak cyberprzestępczość, nie powinny mieć żadnych granic” — powiedział Thiago Marques, badacz ds. bezpieczeństwa IT, Kaspersky Lab.
