Estudos da Trend Micro revelaram que a dark web conta com mais de 200.000 websites contendo 550 bilhões de documentos individuais; venda de códigos maliciosos, vírus, drogas, armas e contratação de assassinos de aluguel são algumas das atividades ilícitas encontradas por lá.

Em 2013, operações policiais encerraram as atividades do Silk Road – mercado operante através da Darknet. Desde então, existe um interesse crescente na profundidade e abrangência da Deep Web. Esta parte da internet representa um ambiente em que os hackers podem conversar, compartilhar códigos e estratégias maliciosas e lucrar com informações roubadas durante os crescentes ciberataques em curso.

Em pesquisa desenvolvida pela Trend Micro foram descobertas 576.000 URLs únicas da Deep Web, coletando detalhes de mais de 38 milhões de eventos individuais. A análise – que teve duração de dois anos – comprovou que a Deep Web contém uma quantidade incrível de dados – 7500 terabytes, que, quando comparados aos 19 terabytes da web ‘’superficial’’, é quase inacreditável. Graças a um notório aumento em atividades cibercriminosas nos últimos anos, esta parte obscura da internet inclui aproximadamente 550 vezes mais informações públicas do que a web tradicional.

Enquanto a Deep Web é conhecida como o paraíso de atividade dos hackers, ela não se resume apenas a esse objetivo. Segundo a empresa de segurança, ao analisar mais profundamente a rede clandestina, os tipos de usuários que a alavancam e os processos e informações compartilhadas, as empresas podem ter uma melhor noção do ambiente de ameaça geral – e estarem mais preparadas para se proteger contra vulnerabilidades e ataques emergentes.

O que é a Deep Web?

Grande parte do público inicialmente soube da Deep Web depois da prisão de Ross Ulbricht, que agia com o nome de Dread Pirate Roberts na comunidade secreta do Silk Road. A Trend Micro observou que Ulbricht havia construído um mercado digital de bilhões de dólares, onde a lavagem de dinheiro e a compra de drogas ilícitas aconteciam. Devido a estas atividades, Ulbricht foi acusado de tráfico de drogas e conspiração para violação computacional – entre outros crimes – e foi condenado à prisão perpétua.

Como a Trend Micro observou no estudo “Below the Surface: Exploring the Deep Web”(PDF) – a Dark Web, como às vezes é chamada – foi inicialmente estabelecida para oferecer aos usuários um espaço seguro, longe de qualquer censura que impedisse o livre discurso, e, eventualmente, se transformou em um refúgio para o cibercrime.

O que acontece na Deep Web?

O tráfico de drogas que ocorria no mercado do Silk Road não é o único exemplo de atividade ilegal da Deep Web. Afinal de contas, com mais de 200.000 websites contendo 550 bilhões de documentos individuais, fica claro que a Deep Web é usada para mais do que apenas o tráfico de substâncias ilícitas.

Por meio de sua análise, descobriu-se que os hackers participam de uma ampla gama de outras atividades, incluindo: Compra e venda de armas de fogo; Obtenção de informações de identidades roubadas para fins fraudulentos; Lançamento de operações cibercriminosas por meio de amostras criadas de malware; Contratação de hackers e até mesmo de matadores de aluguel.

Um destino para os dados roubados

O roubo e a venda de informações roubadas são especialmente prejudiciais para as empresas e negócios. Quando ocorre uma violação de dados dentro da infraestrutura de uma empresa, o objetivo final é tipicamente roubar o máximo de informações possíveis. Isto pode incluir dados sobre funcionários e clientes, tais como suas informações bancárias, de saúde, entre outras.

Além disso, os cibercriminosos podem escolher as formas nas quais gostariam de vender os dados roubados. Isto pode incluir a precificação de itens para arquivos individuais ou grupos de documentos – números de cartões de créditos roubados, por exemplo, podem ser vendidos por peça ou como um pacote. Nos casos de identidades roubadas, em que é útil ter um nome, número de CPF, endereço físico e de e-mail, os hackers preferem reunir o máximo de informações possíveis e criar perfis.

Estudando o comércio de malware

Os hackers também vendem amostras de vírus pelas quais é possível fazer essas violações. Aprender sobre estas atividades é particularmente útil e pode ajudar pesquisadores e líderes de empresas a descobrirem as tendências emergentes no mundo da atividade hacker. Descobrir as amostras de malware mais vendidas na Deep Web, por exemplo, pode permitir que uma empresa trabalhe de maneira proativa para se proteger contra riscos específicos que os cibercriminosos estão vendendo no momento.

A Trend Micro descobriu que não há somente amostras de malware sendo colocadas e vendidas na Deep Web: algumas ainda promovem a rede TOR que sustenta esta parte da internet para dar suporte ao lançamento de ataques.

“Infelizmente, dados todos os benefícios que os cibercriminosos conseguem ao hospedar partes mais permanentes de suas infraestruturas nos serviços ocultados pela TOR, acreditamos que cada vez mais famílias de malware se mudarão para a Deep Web no futuro”, declarou a Trend Micro.

Ninguém está protegido

A Trend Micro também descobriu que nenhum usuário ou empresa é considerado “intocável” quando se trata de ciberataques. Em adição à venda e lançamento do malware necessário para ataques empresariais em grande escala, a Deep Web também oferece as ferramentas necessárias para atacar pessoas em destaque, como celebridades, líderes de governo e outras pessoas públicas. E a atividade maliciosa não para por aí.

O Pesquisador Sênior de Ameaças da Trend Micro, Marco Balduzzi, explicou que para melhor estudar os acontecimentos cibercriminosos na Deep Web, os pesquisadores simularam uma instalação maliciosa dentro do TOR que promovia um conjunto de oásis. Estes oásis foram criados para expor certas vulnerabilidades e operações de hackers que ocorriam dentro do ambiente criado.

Os pesquisadores descobriram vários insights importantes, incluindo que a Deep Web não era tão protegida quando alguns acreditavam que fosse – apesar de configurar um ambiente simulado disponível apenas para membros convidados, a Trend Micro descobriu que os hackers disponibilizaram um oásis através das pesquisas em mecanismos de busca.

E não para por aí, os cibercriminosos começaram a atacar pessoas dentro de seu próprio círculo.

“Nosso mercado privado foi comprometido nove vezes em dez tentativas”, afirmou Balduzzi. “A maioria destes ataques adicionava web shells ao servidor, concedendo ao hacker a capacidade de executar os comandos do sistema no nosso oásis. Isto permitiu a adição de outros arquivos, tais como malas diretas eletrônicos, páginas de deface e kits de phishing. Nossa principal descoberta é que as organizações operando na Dark Web parecem estar atacando umas às outras”.

Insights que as empresas podem aprender com a Deep Web

Tendências no comércio de malware: Devido aos mercados de malware serem abundantes na Deep Web, estudar esta atividade pode ajudar as organizações a estarem mais bem preparadas para se protegerem. Uma tendência na venda de amostras de ransomware, por exemplo, pode demonstrar uma necessidade pelo monitoramento melhorado para se proteger do tipo de atividade suspeita que pode indicar um ataque;

“Em outras palavras, a Dark Web pode ser pensada como um pequeno lago cheio de peixes premiados para serem pescados por uma empresa que está tentando reforçar suas defesas”, escreveu Polancich. “Descubra o que pode ter sido roubado ou usado contra você e melhore sua postura geral em segurança para fechar qualquer brecha para infiltração”.

Fonte: Security Report