2019 demonstrou que os ciberataques estão ficando mais numerosos no setor de criptomoedas, enquanto o hardware permanece vulnerável e os vazamentos de dados de alto perfil estão se tornando mais comuns. Pior ainda, a tendência é aumentar.
Em junho de 2018, os especialistas em segurança da Kaspersky Lab relataram um aumento na quantidade de malware direcionado ao mercado de criptomoedas. Eles observaram uma tendência para a disseminação de dois tipos de malware: para invadir carteiras de criptomoedas e para mineração maliciosa de Bitcoin (BTC).
Como os crimes cibernéticos que usam moeda digital começaram a afetar mais países e envolver tecnologias mais avançadas, estados e organizações governamentais começaram a lidar com eles. O Cointelegraph descobriu quais métodos são usados para combater os crimes cibernéticos de criptomoeda mais sofisticados e se eles produzem resultados positivos.
O que há na Interpol?
No cenário mundial, a maior parte do trabalho de combate a crimes relacionados a criptomoedas é realizada pela Interpol e Europol. As organizações nesse nível não apenas têm acesso a toda a infraestrutura do mercado de criptomoedas, mas também estabelecem relações com exchanges, corretores, desenvolvedores e outros principais players do setor.
O fato da Interpol lidar com crimes internacionais de criptomoeda veio à tona em 2015, quando seus representantes alertaram pela primeira vez sobre possíveis ameaças colocadas por ativos digitais e blockchain - em particular, a possibilidade de incorporar um malware na cadeia. Desde então, as agências levam os crimes de criptomoeda a sério, estabelecendo o Complexo Global de Inovação da Interpol para explorar novas técnicas que estão sendo cada vez mais usadas pelos cibercriminosos. Entre elas estão o cryptojacking e o ransomware, que se tornaram ferramentas comuns para maus atores e uma preocupação internacional para os governos.
Ransomware como serviço
Em setembro de 2015, a Europol informou que cerca de 40% de todas as transações de criminoso para criminoso são feitas com Bitcoin. Naquela época, os ataques de ransomware de criptomoedas eram as formas mais comuns de crime, criptografando programas e bloqueando o acesso a dispositivos depois que um usuário inocente havia aberto um site ou software infectado. Para descriptografar os dados, os criminosos exigiam resgate em criptomoeda.
Um exemplo dessa atividade é o grupo criminoso DD4BC - DDoS para Bitcoin - cujos membros foram presos pela Europol em janeiro de 2016. Os hackers chantagearam os cassinos online e depois passaram a atacar instituições financeiras na Suíça, Nova Zelândia e Austrália. Como a criptomoeda não é controlada por ninguém, ela rapidamente se tornou uma ferramenta atraente para atacantes de ransomware. Esse tipo de crime floresceu quando um novo serviço oferecido pelos criminosos - o Ransomware como serviço (RaaS) - abriu as portas para os invasores sem experiência técnica.
Como resultado, hackers privados se uniram em grupos, tornando as empresas e organizações governamentais os alvos de seus ataques de ransomware. Muitas empresas e estados associam o grupo Lazarus à agências de inteligência norte-coreanas. Os hackers do Lazarus supostamente realizaram seu primeiro ataque ao governo sul-coreano em 2009 e também foram acusados de ataques a grandes empresas do país, incluindo a Sony Pictures.
Além disso, a polícia dos Estados Unidos considera o Lazarus envolvido na disseminação do famoso vírus WannaCry ransomware, de 2017. Em pouco tempo, o vírus afetou 500.000 computadores pertencentes a indivíduos, empresas e órgãos governamentais em 150 países. O dano total foi estimado em US$ 1 bilhão.
Cryptojacking ultrapassa outros crimes com criptomoedas
Como as agências policiais encontraram maneiras de detectar ataques de ransomware de criptomoeda, os hackers encontraram uma nova ferramenta: cryptojacking ou mineração oculta de criptomoeda. Isso lhes permitiu minerar criptomoedas usando o poder de computação dos dispositivos de suas vítimas.
Um fenômeno relativamente novo, o cryptojacking rapidamente se transformou em uma das ameaças online mais difundidas. De acordo com o Malwarebytes, a mineração oculta de criptomoedas tem mantido a liderança entre os softwares maliciosos mais frequentemente detectados desde setembro de 2017, pois o número de dispositivos Android afetados aumentou 4.000% apenas no primeiro trimestre de 2018.
O cerne da questão é que o criptojacking pode afetar facilmente qualquer dispositivo, além de ser um osso duro de roer. Os usuários podem nem suspeitar que foram vítimas de malware malicioso de mineração, pois os atacantes usam links e programas ocultos difíceis de distinguir.
“Algumas ferramentas de cryptojacking podem optar por consumir apenas 50% do uso do computador em vez de 100%, e, portanto, o usuário pode nem perceber que está funcionando particularmente devagar”, Vijay Rathour, parceiro líder do grupo de investigação Grant Thornton, disse ao Cointelegraph.
Quando se trata de danos incorridos, o criptojacking pode não ser tão perigoso quanto o ransomware, embora suas consequências sejam desagradáveis. Enquanto para usuários particulares, isso apenas resulta em uma desaceleração na velocidade da computação, as empresas podem enfrentar perdas financeiras e interrupção dos processos de negócios.
Vários casos de alto perfil incluem programas maliciosos que penetram na rede tecnológica do sistema europeu de controle de abastecimento de água e funcionários de centros nucleares usando um dos maiores supercomputadores da Rússia para minerar Bitcoin. Um programa desse tipo também foi incorporado por hackers no popular plug-in da Web para o BrowseAloud, utilizado por pessoas com problemas de visão.
Outro esquema criminal foi descoberto por policiais cibernéticos franceses que detectaram um grupo que usava uma rede de 850.000 computadores para extrair o Monero (XMR). Da mesma forma, 300 sites em todo o mundo foram infectados pelo Drupal Content Management System, incluindo os do San Diego Zoo, nos EUA. Conselho Nacional das Relações Trabalhistas, as cidades de Marion e Ohio e a administração da cidade mexicana de Chihuahua.
Como as agências governamentais combatem o criptojacking e o ransomware?
Devido ao seu pseudo-anonimato, a criptomoeda pode ser facilmente usada por cibercriminosos, mas também permite que organizações governamentais rastreiem transações ilícitas. No entanto, quanto mais sofisticados e difundidos se tornam os crimes usando criptomoedas, mais seriamente a polícia precisa de novas maneiras de responder.
Embora os agentes da lei mantenham seus métodos de combate aos crimes cibernéticos em segredo, o Cointelegraph conseguiu obter alguns fatos dos principais especialistas. Jarod Koopman, diretor de crimes cibernéticos nos EUA Internal Revenue Service, comentou ao Cointelegraph sobre o assunto:
"Os principais aspectos do combate ao cibercrime hoje em dia se concentram na atribuição e no entendimento de quem está por trás da atividade."
Ele adicionou que as agências governamentais usam uma série de ferramentas, como análise de blockchain, pesquisa na dark web, informações de código aberto e dados financeiros ou internos para identificar as partes envolvidas e possíveis áreas de fraude. Hacks e ataques DDoS exigem mais recursos técnicos e conhecimentos nessas áreas.
Os crimes de criptomoeda descobertos demonstram que o sucesso da aplicação da lei na captura de cibercriminosos depende principalmente da colaboração de agentes do mercado de criptomoedas, como corretores, exchanges e empresas de segurança na Internet.
Em particular, a cooperação com estas empresas ajudou a Interpol a detectar 20.000 mineros escondidos no sudeste da Ásia. Conforme relatado pelo Cointelegraph em 9 de janeiro, a empresa japonesa de segurança cibernética Trend Micro, que auxilia a polícia, reduziu o número de roteadores afetados em 78%. Os grupos trabalharam por cinco meses para localizar os roteadores afetados, notificar as vítimas e usar o documento de orientação da Trend Micro para corrigir os bugs e impedir os hackers.
Como Koopman explicou ao Cointelegraph, um trabalho adicional entre agências policiais, agências reguladoras e órgãos governamentais em todo o mundo leva a uma comunicação e estratégias eficazes para o sucesso futuro. Essa colaboração inclui "trabalhar diretamente com exchanges nos EUA ou desenvolvedores de ferramentas de terceiros para oferecer informações sobre as tipologias e métodos usados pelos criminosos". Segundo Koopman, isso ajuda a fornecer novas ferramentas e procedimentos no combate às fraudes.
Juntamente com os especialistas em segurança cibernética, os representantes da Europol trabalham com empresas de criptografia que os ajudam a detectar atividades suspeitas. Sendo o alvo mais frequente de ataques, mais exchanges e plataformas de criptomoedas priorizam a manutenção de boas relações com a polícia e fornecem registros necessários aos órgãos policiais para minimizar a probabilidade de lidar com esses ataques no futuro.
Treinamento e prevenção
Os ataques de ransomware - em particular aqueles que usam criptomoedas - receberam muita atenção de organizações governamentais. Em 2014, os governos alemão e austríaco criaram o projeto de pesquisa conjunto BitCrime, que visa desenvolver medidas eficazes e aplicáveis internacionalmente para reduzir o número de crimes de criptomoeda cometidos por grupos do crime organizado.
Em 2015, o Complexo Global de Inovação da Interpol criou seu próprio jogo de treinamento de criptomoeda e simulação para que os funcionários estudassem cenários de uso e uso indevido de criptomoeda. Um ano depois, os Relatórios de ameaças cibernéticas da Agência da União Européia para segurança de redes e informações começaram a incluir o ransomware como uma ameaça online separada do malware, oferecendo informações e estatísticas relevantes.
Para compartilhar seu conhecimento profissional com empresas e usuários, o Federal Bureau of Investigation (FBI), o Centro Nacional de Segurança Cibernética e a Europol divulgaram documentos e diretrizes sobre como lidar com criptomoeda e se proteger de tais ataques.
Conferências educacionais fazem parte deste programa. Todos os anos, a Europol realiza a Conferência sobre Moedas Digitais, uma reunião fechada ao público destinada a permitir que especialistas em polícia e criptografia discutam questões sensíveis com franqueza.
O que parece ter produzido resultados. Com o apoio da polícia, as plataformas de criptomoeda desenvolveram e aprimoraram os procedimentos do Know Your Customer (KYC) para atender aos padrões de segurança do setor financeiro tradicional. Como resultado, a maioria das plataformas que trabalham com ativos digitais solicita prova de identidade e endereço antes de conceder acesso.
Outro objetivo de tais programas é ensinar as organizações a prevenir casos de crimes cibernéticos criptográficos. Como tal, o FBI alertou que a prevenção é a defesa mais eficaz contra o ransomware, e é fundamental cumprir as regras de segurança da Internet e as informações armazenadas nos dispositivos.
Em geral, as organizações devem atualizar programas desatualizados, executar correções regulares, aplicar a abordagem de "menos privilégios", segregar o perímetro da rede e implementar práticas eficazes de backup. Rathour acredita que essas duas variantes de malware não podem realmente ser interrompidas no nível estadual, mas geralmente exigem uma boa higiene cibernética no nível do usuário:
“O desafio aqui é que isso pode ser praticamente qualquer atividade de um usuário leigo típico, portanto, o conselho geral é: seja prudente ao usar um computador conectado à Internet e tenha bons controles do sistema (como acesso limitado, divida sua rede, backups regulares e etc.)."
Usando as fraquezas dos criminosos
Os governos também usam a tecnologia blockchain para rastrear atividades criminosas cibernéticas. Como afirma Kathryn Haun, uma parceira geral da Andreesen Horowitz e promotora do Departamento de Justiça pelo infame caso do Silk Road, a blockchain é a única ferramenta que a polícia pode usar para capturar criminosos de criptomoedas. Ela acrescentou que, se tais crimes fossem cometidos com dinheiro, seria quase impossível detectar as pessoas por trás deles.
De acordo com Jarek Jakubchek, analista de crimes cibernéticos da Europol, muitos criminosos acham que não são rastreados quando, na verdade, o uso do BTC cria uma trilha de papel e acelera sua detecção. Apesar dos recursos avançados dos hackers, o código que eles criam também pode conter bugs e vulnerabilidades. Um deles foi usado pela polícia francesa para descobrir uma grande rede de criptomoedas, como relatado pelo Cointelegraph.
Análise de transação e de padrão de ataque
A rastreabilidade das transações de criptomoeda não é suficiente para capturar um criminoso. A polícia nem sempre é capaz de identificar imediatamente as partes envolvidas em tal atividade, mas pode rastrear e analisar padrões no movimento de ativos digitais para desmascarar os criminosos.
Na busca de transações suspeitas, os agentes da lei usam ferramentas de monitoramento desenvolvidas por empresas como Elliptic, CipherTrace e Chainalysis. Por exemplo, um serviço criado pela Elliptic Enterprises é usado pela polícia internacional para rastrear transações de criptomoeda quanto há links para atividades ilícitas. O software detecta transferências suspeitas com base nos padrões das transações anteriormente vinculadas a operações ilegais de criptomoeda.
Em uma entrevista ao Cointelegraph, o cofundador da Elliptic, Tom Robinson, disse que o uso generalizado dessas ferramentas "dificulta aos criminosos sacar seus ativos digitais porque as exchanges são alertadas para a origem ilícita dos fundos e podem notificar a polícia."
A Chainalysis, outra empresa de segurança cibernética, assinou um contrato com o IRS para fornecer software de rastreamento de transações e acesso a maus atores. A empresa prestou serviços semelhantes a várias agências de inteligência e foi com a ajuda da Chainanalysis, e de sua ferramenta Know Your Transaction, que o FBI detectou transações ilegais na infame plataforma da deep web, Silk Road.
Então, o que devemos fazer com isso?
Segundo a Juniper Research, os danos econômicos dos ataques cibernéticos podem chegar a US$ 8 trilhões em 2022. Pior ainda, como previsto pela Cybersecurity Ventures, o ransomware atacará empresas a cada 11 segundos, em comparação a cada 14 segundos em 2019. Portanto, a pergunta permanece: por que, apesar das ações das agências policiais e os esforços dos governos para regular ativos digitais, o número de crimes com criptomoeda ainda é significativo? Thomas Stubbings, presidente da plataforma de cibersegurança do governo austríaco, disse ao Cointelegraph:
“É conveniente e é anônimo. Atualmente, não há melhor maneira de sacar. Enquanto houver países em que os criminosos possam sacar criptos, essa atividade acontecerá.”
Ao mesmo tempo, segundo ele, os preços crescentes das criptomoedas e a demanda por elas não afetam o crescimento de tais crimes. O fato é que os criminosos não usam ativos digitais como investimento especulativo, apenas sacam, independentemente do preço atual. Além disso, Stubbings acredita que a regulamentação é ineficaz. Ele adicionou que o foco principal no combate a crimes relacionados a criptomoeda deve ser colocado em sua prevenção:
“Você não pode lutar contra as criptomoedas. Você só pode combater o cibercrime e esse é o mesmo trabalho pesado e antigo de sempre: conscientização, monitoramento, medidas preventivas, unidades de investigação de crimes cibernéticos, etc.”
O IRS compartilha a mesma visão. Koopman observou que, mesmo com ambos os aspectos - aplicação e regulamentação - os criminosos continuarão a explorar as melhores vias e optaram atualmente por usar a moeda digital. Na sua opinião, para reduzir significativamente os cibercrimes que envolvem cripto, é necessário focar no aprimoramento das capacidades técnicas das agências policiais e na implementação em larga escala dos procedimentos de identificação do usuário:
“À medida que a infraestrutura continua a crescer em termos de processadores de pagamento e exchanges legítimas com práticas KYC/AML, o setor financeiro público e tradicional começará a implementar mais criptomoedas no uso padrão. Acredito que 2020 continuará vendo um refinamento de papéis/responsabilidades e maior uso.”