Fóruns São Para Sempre | Parte 1 - Cibercrime Nunca Morre
Se alguém pudesse prever o futuro no final da década de 1990, quando os primeiros fóruns cibernéticos surgiram, poucos teriam sido capazes de entender que esse modelo de comunicação e coleta iria durar bem para o novo milênio.
A sobrevivência do fórum cibercriminoso diante de novas tecnologias mais seguras e a pressão constante da aplicação da lei não é uma surpresa para os pesquisadores da Digital Shadows. Reunindo extensas pesquisas e profundas percepções “vividas” sobre o submundo dos cibercriminosos, as inúmeras razões pelas quais e como os fóruns persistem são descritas em nosso novo artigo, The Modern Cybercriminal Forum.
Nossas descobertas de pesquisa abrangem alguns insights reveladores:
- Tecnologias Alternativas: À medida que novos fóruns continuam a aparecer e as adesões ao fórum aumentam, os usuários têm frequentemente expressado relutância em se mudar para outras plataformas para suas necessidades de comunicação e negociação. Eles veem desvantagens em tecnologias alternativas, apesar da suposta segurança e eficiência que oferecem. Muitos atores de ameaças têm preocupações com a segurança de tecnologias alternativas, mas continuam a ter fé no anonimato e proteção oferecidos por fóruns confiáveis.
- Pedigree: Muitos fóruns possuem uma longa história e um pedigree respeitado, que é extremamente atraente para os cibercriminosos. Os fóruns veneráveis tendem a atrair atores de ameaças qualificados e atuam como repositórios de informações cibernéticas.
- Credibilidade: Pode ser difícil para os atores de ameaças julgar com quem estão lidando em um aplicativo de mensagens ou Automated Vending Cart (AVC). Mas os sistemas de reputação do fórum e os históricos de postagem dos usuários fornecem aos atores de ameaças indicações valiosas sobre a credibilidade de outros cibercriminosos.
- Sistemas de Arbitragem e Custódia: Os sistemas de arbitragem e custódia dos fóruns garantem acordos justos e consequências para transações fracassadas. É difícil negar o apelo deste recurso quando um cibercriminoso quer fazer um acordo com outro.
- Plataforma de Publicidade: Não só oferecem um espaço para se comunicar e negociar, os fóruns também dão aos usuários um valioso espaço publicitário e oportunidade de alcançar uma ampla base de usuários.
- Comunidade: Os benefícios de uma comunidade solidária e experiente são valorizados por membros de um fórum, que dão e recebem conselhos, e aprendem com os erros uns dos outros.
INTRODUÇÃO – UM FUNDO EM FÓRUNS
Fóruns. Datando do início da década de 1970, os fóruns web estão entre as mais antigas e básicas tecnologias de comunicação na Internet, o conceito de um fórum remonta ainda mais longe. O surgimento de um fórum de cartões chamado CarderPlanet nos primeiros anos do milênio consolidou um modelo estabelecido – um emulado por quase todos os futuros fóruns de cibercriminosos. Assim como o fórum antigo, hoje os cibercriminosos ainda usam fóruns para buscar conselhos e discutir as últimas técnicas e desenvolvimentos. Os fornecedores geralmente oferecem itens, incluindo:
- acesso a sistemas internos
- contas do site
- bancos
- credenciais
- ferramentas
- malware
- detalhes do cartão de crédito
- tutoriais de crimes cibernéticos
Em comparação com o modelo de thread-and-post desajeitado usado por fóruns, várias tecnologias de comunicação e negociação surgiram, oferecendo maior eficiência, conveniência e segurança. Existem serviços de mensagens e aplicativos criptografados como Telegram, Wickr e Discord, além de tecnologias descentralizadas como blockchain DNS, i2P e BitTorrent. Plataformas de negociação automática, como marketplaces e AVCs, também se enraizaram no cenário.
Paralelamente ao surgimento dessas tecnologias, os fóruns provaram ser uma arena arriscada e ultrapassada para atores de ameaças. Eles são frequentemente interrompidos pelos serviços de segurança em muitas jurisdições, e muitas vezes desaparecem silenciosamente. Muitos acreditam que os fóruns Hell e KickAss deixaram de funcionar por esse motivo (em 2015 e 2019, respectivamente), embora isso não tenha sido confirmado pelas autoridades. Em outros momentos, os sucessos das agências de aplicação da lei são divulgados na mídia global. Em setembro de 2019, autoridades bielorrussas apreenderam os servidores do notório fórum de hackers Xakfor. A comunidade de cibercriminosos está bem ciente da presença das autoridades em seus fóruns, e que alguns fóruns só sobrevivem por tanto tempo porque são valiosos para a polícia reunir informações e evidências.
Por essas razões, muitos profissionais de segurança cibernética têm aludido a fóruns que estão condenados à redundância. Com os cibercriminosos realizando mais transações e discussões em plataformas alternativas, você esperaria que a necessidade de fóruns diminuísse. Não se pode negar que os cibercriminosos estão cada vez mais usando outras plataformas; Digital Shadows até escreveu sobre esse fenômeno: Como os cibercriminosos estão usando plataformas de mensagens. Mas o surgimento de tecnologias alternativas não tem escrito o fim dos fóruns, que parecem estar prosperando contra todas as probabilidades.
APELO INEGÁVEL: EVIDÊNCIAS DE QUE FÓRUNS AINDA SÃO POPULARES
Vários fatores apoiam a ideia de que os fóruns estão aqui a longo prazo. Novos sites estão aparecendo continuamente, os números de membros continuam subindo e os usuários frequentemente expressam relutância em desviar-se do modelo tradicional do fórum. O surgimento de novos fóruns é impulsionado principalmente pela necessidade de substituir os fracassados.
Fora com o velho…
A cena de crimes cibernéticos em língua inglesa tem experimentado uma instabilidade notável nos últimos anos, com fóruns estabelecidos e incipiente desaparecendo continuamente por muitas razões variadas.
Figura 1: Ciclo de vida de fóruns prevalentes (*denota apreensão legal de fórum ou desligamento pelos administradores)
Intervenção policial
As derrubadas da polícia ou dos serviços de segurança têm sido a razão para o fim da maioria dos fóruns extintos. Entre eles estava o proeminente fórum Dark0de, tornado offline por uma operação liderada pelo FBI em 2015. A Dark0de estava em operação desde 2007 e ganhou notoriedade entre os cibercriminosos de língua inglesa para a discussão e venda de ferramentas de hackers, explorações, dados violados e serviços de spam. Outra baixa foi o antigo fórum Infraud. No seu auge, a Infraud manteve uma operação de meio bilhão de dólares vendendo serviços de hackers e fraudes, antes que uma coalizão internacional de aplicação da lei apreendesse o fórum em 2018.
Figura 2: A página inicial da Infraud após sua derrubada
Má conduta do proprietário/membro
Outros fóruns morreram por negligência de seus donos. Por exemplo, o Digital Shadows viu sites abandonados por seus administradores –0day foi uma plataforma cibernética proeminente que foi lançada no início de 2014. Ainda assim, no final de 2017, os administradores do fórum aparentemente o abandonaram. Nossas investigações mostraram que os pedidos de registro ficaram sem resposta, e os serviços jabber do site caíram. Circularam rumores de que o fórum não estava mais ativo: os administradores tinham saído sem apagar as luzes. No momento da escrita, a URL do Tor do fórum não está mais acessível, e a URL da Web clara desapareceu há vários anos.
Figura 3: Página inicial de 0 dias
Às vezes, a má conduta dos membros do fórum também pode desempenhar um papel. Que os fóruns em língua russa são muito mais bem sucedidos do que seus homólogos em língua inglesa podem ser atribuídos em grande parte à incrível disciplina das plataformas de língua russa. Regras rígidas regem que tipo de linguagem pode ser usada (palavrões estão fora, o russo correticamente correto está), quais seções aceitarão novos tópicos e como os moderadores do fórum devem ser tratados (desafiando as opiniões dos moderadores está definitivamente fora). Tais regras garantem a ordem e garantem que os fóruns não possam se fragmentar porque é improvável que os membros se rebelem.
Má execução
Em seguida, há os fóruns que fracassam por causa da má implementação por parte de seus criadores. Torigon foi lançado por um trio de atores de ameaças em setembro de 2019 com o objetivo explícito de reunir hackers de língua inglesa e russa para negociar malware e explorações em uma única plataforma. Mas o fórum falhou em fornecer traduções para o russo para falantes não-ingleses e negligenciou a promoção do site dentro da comunidade de cibercriminosos. O resultado? Falta de engajamento e falha em atingir o mercado-alvo.
Figura 4: Marca Torigon
… Com o novo
Apesar da considerável imprevisibilidade, a morte geral dos fóruns de língua inglesa não é iminente. Na verdade, a cena é melhor comparada a um jogo de “whack-a-mole”: Assim que um fórum desaparece do que outro aparece para tomar seu lugar. No subterrâneo cibernético, o apetite por novos fóruns está longe de diminuir.
A extraordinária tenacidade do modelo de fórum dentro da comunidade cibernética em língua inglesa indica que os atores de ameaças ainda veem grande valor no uso dessas plataformas. Iniciar um novo fórum requer esforços e recursos substanciais que nem sequer garantem o sucesso; mesmo assim, vemos vários novos sites lançados a cada ano. Às vezes, fóruns que foram interrompidos pela polícia até tentam voltar à cena, contando com sua renomada marca para lhes dar credibilidade — há rumores sobre o reaparecimento do Inferno (como o Inferno Recarregou) e Dark0de.
O apetite por novos fóruns é visto até mesmo entre os cibercriminosos de língua russa. Embora sua cena seja caracterizada pela notável estabilidade e longevidade dos fóruns, às vezes os sites perecem… mas nem sempre para sempre para sempre. Em 2018, um fórum anteriormente extinto, o DamageLab, foi relançado como XSS. Devido principalmente ao pedigree da equipe experiente por trás do fórum, o XSS cresceu e passou a desafiar até mesmo as plataformas de língua russa mais proeminentes. E em março de 2019, um novo boato circulava por fóruns de cibercriminosos: o fórum de codificação Cult of the Russian Underground (CORU) — desaparecido em ação desde 2016 — seria ressuscitado. Em abril de 2019, o CORU havia aberto o registro.
FORÇA EM NÚMEROS: O MEMBRO DO FÓRUM EM CONSTANTE CRESCIMENTO E CONTAGEM DE POSTAGEM
Números de membros de fóruns e contagens de thread/postes mostram que a popularidade dos fóruns está aumentando continuamente, apesar do advento de tecnologias alternativas como o Telegram.
Figura 5, 6 e 7: Evidências de crescimento nos números de adesão e pós-contagem
Torum
Torum era apenas um pequeno e insignificante jogador orbitando os anéis externos da cena cibernética em 2017, continuando na mesma linha em 2018. Mas onde ele suportou, talvez por licença poética, o popular fórum em inglês KickAss não deveria ser mais. 2019 tem sido um bom ano para a Torum, nos oito meses de fevereiro a outubro de 2019, sua base de usuários aumentou 639%, já que o inglês do submundo do cibercriminoso encontrou um novo lugar para se rearupar.
Figura 8: Logotipo torum
Explorar
Exploit é um dos fóruns cibernéticos mais importantes da língua russa. É operado continuamente desde 2005, e muitos atores e comentaristas de ameaças a consideram uma plataforma para alguns dos cibercriminosos mais qualificados. Apesar - ou talvez por causa - de sua longevidade e reputação, a Exploit também viu um crescimento significativo na adesão nos últimos meses. Em março de 2018, o site tinha 40.390 inscritos. Em novembro de 2019, a contagem era de 47.347: um aumento de 17,2% em um fórum já estabelecido. Um fator contribuinte pode ter sido a decisão de introduzir o registro automático em inglês, para permitir que usuários que não falam russo se juntem mais facilmente. A contagem de postagem da Exploit saltou de 846.020 em março de 2018 para 1.012.575 em novembro de 2019.
Figura 9: Explorar logotipo
XSS
XSS foi anteriormente DamageLab: um dos fóruns cibernéticos originais em língua russa. O DamageLab foi dobrado após a prisão em 2017 de seu administrador (discutiremos isso mais em um futuro blog nesta série). Ainda assim, o ex-administrador da Exploit comprou um backup parcial do XSS no final de 2018 e, desde então, construiu o fórum em uma comunidade próspera e ativa, refletida em seu crescente número de membros. Eles tiveram um aumento de 84% entre fevereiro de 2019 (10.344 membros) e novembro de 2019 (19.040). E não vamos ignorar a contagem de postes, que cresceu de 130.040 para 162.470.
Figura 10: Logotipo XSS
Os números de visitas também sugerem que a popularidade dos fóruns permanece estável. O número de visitas a dois fóruns cibernéticos populares em língua inglesa, Nulled e Raidforums, mal diminuiu desde abril de 2019, de acordo com o site de métricas de visita SimilarWeb[.] com. As visitas à Exploração aumentaram em mais de 20.000 no mesmo período, de acordo com o mesmo site.
Figura 11: Comparação de Nulas (azul) e Raidforums (amarelo) visitam figuras, nos últimos seis meses (Fonte: SimilarWeb[.] com)
Figura 12: Explorar números de visitas, últimos seis meses (Fonte: SimilarWeb[.] com)
Agora que temos alguns exemplos de fóruns proeminentes, quais são suas alternativas? O que faz um bom fórum? A parte 2 desta série de blogs discutirá a resistência dos usuários do fórum à mudança do modelo do fórum.
Fiquem ligados.