Além de ataques distribuídos de negação de serviço (DDoS) e vazamentos de dados, o modus operandi dos grupos de ameaças abrange um escopo amplo de atividades comuns inerentes ao cibercrimes
Grupos hacktivistas que operam por motivação política ou ideológica empregam uma ampla gama de métodos de financiamento para apoiar suas operações. A empresa israelense de inteligência cibernética KELA observa que, embora o hacktivismo pareça causar interrupção do serviço por meio de ataques distribuídos de negação de serviço (DDoS) ou danos à reputação por meio de vazamentos de dados, o modus operandi desses grupos de ameaças abrange um escopo mais amplo de atividades, incluindo táticas comuns de crimes cibernéticos.
Essas táticas incluem roubar e vender dados, vender malware e licenças de botnet, exigir resgate das vítimas ou até mesmo oferecer serviços de aluguel de hackers direcionados a alvos sem significado político.
Começando com o grupo pró-Rússia Killnet, a KELA diz que os hacktivistas promoveram uma botnet para alugar em novembro de 2021, mas seus métodos de monetização se expandiram significativamente neste ano. O Killnet criou um serviço de aluguel de hack em março passado, anunciou um novo serviço de aluguel de DDoS em julho e lançou um programa de treinamento “dark school” vendendo nove cursos de hacking para hackers interessados em maio. Também em maio, à medida que os seguidores do grupo cresciam no Telegram, o Killnet anunciou uma plataforma de troca de criptomoedas que cobrava uma taxa de serviço entre 3% e 4%.
Entre novembro de 2022 e abril deste ano, o Killnet foi observado tentando vender logs, dados e acesso a redes em seus canais no Telegram e no fórum Infinity, que pertence e é operado pelo grupo e também exibe anúncios. Por fim, o grupo tentou extorquir as vítimas para que pagassem resgate para impedir ataques DDoS ou excluir dados roubados, como no caso do RuTor em agosto de 2022, BlackSprut em novembro daquele ano, o governo da Letônia, também em novembro, e a Otan em abril deste ano.
O Anonymous Russia, outro grupo hacktivista pró-Kremlin, também teve atividades de monetização além de ataques DDoS com motivação política direcionados a países europeus. Em abril, o grupo deixou de solicitar doações para lançar serviços pagos, como o malware Tesla botnet anunciado no canal do grupo no Telegram. Em maio, o Anonymous Russia anunciou o lançamento de um novo serviço DDoS para atingir sites Tor, claramente voltado para clientes do espaço da dark web.
Outro grupo é o Phoenix, também pró-Rússia e com foco em DDoS, que inicialmente foi lançado como uma subequipe do Legion e que rapidamente adotou métodos alternativos de monetização, como a venda de dados roubados no Telegram a partir de março deste ano. As vítimas do Phoenix que foram abertamente extorquidas no canal Telegram do grupo incluem o escritório de advocacia Michele Bonetti e a empresa de telecomunicações Cellular Pacific.
O líder do grupo também afirmou que eles oferecem serviços DDoS de aluguel, enquanto ele oferece cursos de treinamento de hackers via Telegram por uma taxa de até US$ 2.675. Em abril, o grupo Phoenix anunciou que iniciaria a transmissão de vídeo e áudio de seus ataques, permitindo que o lance mais alto acessasse a transmissão ao vivo.
O Anonymous Sudan, um grupo hacktivista que surgiu em janeiro deste ano e tem laços documentados com o Killnet, também vende dados roubados em seu canal no Telegram, segundo a KELA. Em março, o grupo tentou vender o que alegou ser dados roubados da Air France por US$ 3 mil, enquanto exigia um pagamento de US$ 3,5 mil da Scandinavian Airlines (SAS) para impedir os ataques.
Em junho, o Anonymous Sudan anunciou que havia atacado a Microsoft e exigiu o pagamento de US$ 1 milhão para interromper os ataques DDoS que paralisaram os serviços da empresa. Em julho, o grupo anunciou a venda de um banco de dados supostamente contendo os dados de 30 milhões de contas da Microsoft por US$ 50 mil.
O Arvin Club é um grupo hacktivista ativo desde 2019 que luta contra o regime iraniano, lançando ataques DDoS contra ministérios e organizações governamentais. Em abril, o grupo lançou um canal no Telegram baseado em assinatura (US$ 49) para vender dados roubados de seus ataques, explorações e vulnerabilidades mais recentes e muito mais.
Por fim, o relatório da KELA destaca o grupo hacktivista pró-russo Passion, que surgiu em dezembro de 2022 usando sua própria botnet para atacar organizações ucranianas. Poucos dias após o lançamento do grupo, essa botnet foi colocada à venda a partir de US$ 30/semana, enquanto a versão mais recente, que também está disponível para compra, foi anunciada em março.
A KELA acredita que esses grupos hacktivistas estão monetizando suas operações principalmente para se manterem ativos e continuarem lançando ataques poderosos contra seus alvos. No entanto, independentemente de seu financiamento, isso não os torna menos perigosos para usuários e organizações.
Por exemplo, no início de junho, a Microsoft sofreu várias interrupções no portal da web para o Azure, Microsoft OneDrive e Microsoft Outlook. O Anonymous Sudan reivindicou a autoria dos ataques e levou até dez para que a Microsoft finalmente admitisse que seus serviços foram interrompidos em ataques DDoS.
Fonte:
https://www.cisoadvisor.com.br/hackers-financiam-operacoes-usando-taticas-comuns/
