Analistas da Digital Shadows prepararam um relatório no mercado de exploração na darknet – percebe-se que os criminosos inventaram uma “explora como um serviço” esquema. Alguns cibercriminosos têm orçamentos multimilionários para adquirir explorações de dia 0.
Os pesquisadores explicam que os invasores, cibercriminosos motivados financeiramente e “hackers do governo” estão adotando rapidamente novos métodos de ataque e estão constantemente em busca de novas explorações.
Os pesquisadores escrevem que embora na maioria das vezes a compra e venda de exploits ocorra em conversas privadas, às vezes, as vulnerabilidades são compradas e vendidas diretamente em fóruns de hackers. Por exemplo, no início de maio 2021, um hacker ofereceu abertamente $25,000 para uma exploração PoC para o CVE-2021-22893 vulnerabilidade crítica que afeta o Pulse Secure VPN. Este problema foi usado por hackers chineses desde pelo menos abril deste ano.
Outro hacker chegou a afirmar que estava pronto para pagar até $3,000,000 para explorações de vulnerabilidades RCE no Windows 10 e Linux, cujo uso não requer nenhuma interação do usuário. O mesmo usuário estava oferecendo até $150,000 para métodos não utilizados anteriormente de execução de malware no Windows 10, o que permitiria que o malware permanecesse ativo em cada inicialização do sistema.
Para comparação, o conhecido corretor de exploração Zerodium oferece até $1,000,000 para RCE com clique zero no Windows 10. E acima de tudo, até $2,500,000, a empresa está pronta para pagar por uma cadeia de explorações persistentes de zero clique para Android, e $2,000,000 para o equivalente iOS de tal ataque.
Pesquisadores da Digital Shadows dizem ter visto alguns hackers negociarem explorações para vulnerabilidades de dia zero a um custo de $10,000,000. Além disso, não somente “hackers do governo”, mas também por outros cibercriminosos, especialmente operadores de ransomware, pode pagar tais negócios.
No entanto, este tipo de transação não é fácil e pode ser demorado. Nesse caso, os desenvolvedores da exploração podem perder a chance de ganhar dinheiro, porque se seus concorrentes puderem oferecer sua própria versão da exploração e reduzir o preço. Digital Shadows escreve que por esta razão os cibercriminosos estão discutindo ativamente uma “explorar como um serviço” esquema que permitiria aos desenvolvedores alugar tais explorações para várias partes ao mesmo tempo.
Como parte do relatório, especialistas da Digital Shadows dividiram os criminosos em vários grupos, observando que pode haver interseções sérias entre eles.
- Jogadores importantes: cibercriminosos que compram e vendem explorações de dia 0 a preços a partir de $1,000,000. Eles podem ser patrocinados por governos ou empreendedores de sucesso.
- Fornecedores regulares: Fornecedores que vendem vulnerabilidades não críticas, kits de exploração, e bancos de dados de informações (nomes e endereços IP) de empresas com vulnerabilidades abertas.
- Compradores regulares: Pessoas com habilidades técnicas interessadas em comprar exploits, mas raramente têm meios para fazer tal compra. Eles geralmente esperam que os preços caiam.
- Promotores de código: Criminosos que publicam e anunciam suas façanhas no GitHub.
- Apresentações de demonstração: Membros do fórum altamente especializados que discutem bugs, participar de competições, e compartilhar algum conhecimento sobre como os exploits funcionam.
- Novatos: Os usuários menos treinados que aprendem com os membros mais experientes do fórum. Às vezes, eles aplicam o conhecimento adquirido na prática e compartilham informações em outros fóruns para ganhar reputação, ou no âmbito de “atividades sociais”.
- Feed de notícias: Membros do fórum que compartilham artigos e notícias sobre vulnerabilidades descobertas recentemente com outros artigos e notícias.
Deixe-me lembrá-lo que eu também escrevi isso Especialistas publicaram uma lista das vulnerabilidades mais atacadas em 2020-2021.