Os "hackers" criadores de malwares do final dos anos 1980 e 1990 eram pessoas experientes em tecnologia que tentavam provar suas habilidades se divertindo um pouco e testando seus limites. Alguns dos primeiros malwares eram inofensivos, enquanto outros eram realmente prejudiciais.
O vírus Cascade, por exemplo, não causou nenhum dano real, no sentido de que não alterou nenhum arquivo, espiou um dispositivo infectado ou roubou dados; simplesmente fez com que as letras "caíssem na tela" do dispositivo infectado e se acumulassem na parte inferior, como folhas caindo de uma árvore. Da mesma forma, o vírus Ping Pong mostrava uma bola quicando para frente e para trás, e a pior coisa que esse vírus fez foi travar o computador, mas isso só acontecia em certos tipos de máquinas.
Naquela época, os vírus e malwares eram disseminados lentamente, já que se espalhavam principalmente por meio de disquetes, o que significa que poderia levar meses para um vírus chegar a diferentes países. Na verdade, alguns dos primeiros vírus têm o nome de cidades, como o vírus de Viena ou Sevilla2.
Por volta de 1996, os vírus de macro, projetados para habitarem documentos do Microsoft Word, começaram a se tornar comuns. A internet estava começando a ganhar popularidade naquela época, e os usuários começavam a compartilhar documentos, gernado uma oportunidade para os criadores espalharem seus vírus em um ritmo mais rápido e muito maior do que antes.
Em 1999, worms de e-mail começaram a circular, dando início a uma nova era no mundo dos vírus de computador, que duraria anos. Melissa foi o primeiro de macro que se autopropagou, enviando a si mesmo para os primeiros 50 endereços de e-mails armazenados nos contatos do Microsoft Outlook.
O vírus em si não era perigoso, mas causou um colapso nos servidores de e-mails devido à grande quantidade de mensagens eletrônicas enviadas de uma só vez. Em maio de 2000, o vírus ILOVEYOU foi lançado, infectando mais de 10 milhões de computadores Windows em todo o mundo. Ele sobrescrevia arquivos e também enviava a si próprio para todos os endereços encontrados nos contatos registrados no Windows infectado de um usuário.
Durante esse tempo, os “script kiddies”, jovens com poucas habilidades de programação, começaram a criar seus próprios malwares, modificando vírus de script, como o ILOVEYOU.
Em 2001, as vulnerabilidades começaram a ser exploradas por vírus em uma escala maior: Nimda, Code Red e Klez eram alguns dos mais populares. Dois anos depois, em 2003, os vírus saltaram para um nível totalmente novo com o worm Blaster, que se aproveitou de uma fragilidade do Windows e foi capaz de infectar qualquer computador não corrigido sem a interação do usuário, bastando apenas ter o PC conectado à internet. O Blaster realizou ataques de DDoS (Negação de Serviço Distribuído) generalizados.
Mas então, o dinheiro entrou no jogo
Conforme os diferentes aspectos comportamentais da vida migraram para o mundo digital (fitness, compras, entretenimento e serviços bancários), surgiram novos caminhos para que os cibercriminosos obtivessem lucro. Não muito após as entidades financeiras começarem a oferecer serviços bancários pela internet, os primeiros trojans bancários - malwares projetados para roubar credenciais bancárias - apareceram, bem como os primeiros ataques de phishing. Isso deu início à era do cibercrime.
Em 2004, vimos os primeiros trojans bancários sendo aplicados, utilizando técnicas básicas, porém eficazes.
Esses ataques evoluíram até um ponto em que era possível ver o profissionalismo das pessoas por trás dos desenvolvimentos de malware
Um bom exemplo disso foi o Zeus, também conhecido como ZBOT, visto pela primeira vez em 2007 capturando credenciais de usuários, alterando formulários de páginas da web e redirecionando os internautas para sites falsos (entre outras coisas), mas evoluindo consistentemente com o tempo. Ele foi difundido na internet até 2010 e sua descendência ainda é generalizada.
Muitos outros seguiram esse exemplo (como Gozi, Emotet e SpyEye), e até hoje os invasores desenvolvem continuamente novas variantes constantemente introduzidas de forma a impedir sua detecção por soluções de segurança dos dispositivos dos usuários.
Outro tipo de trojan que se tornou muito popular no início dos anos 2000 para gerar renda entre os cibercriminosos foi o chamado “vírus policial”. Quando esse tipo de malware infectava o computador, uma mensagem era exibida dizendo que havia conteúdo ilícito no seu dispositivo (como pornografia, filmes baixados etc.) e que, para evitar ser processado, o usuário tinha que pagar uma multa.
Usavam o endereço IP do computador para localizar a pessoa e mostrar uma mensagem personalizada
Muitos mudavam a imagem de fundo do desktop Windows da vítima, mostrando aquela mensagem, e até usavam o endereço IP do computador para localizar a pessoa e mostrar uma mensagem personalizada. Por exemplo, se o cidadão estava nos EUA, o aviso falso vinha do FBI em inglês e usando a bandeira dos EUA; na Espanha era uma mensagem em espanhol com a bandeira local e se passando por um guarda civil ou a polícia nacional, entre outros.
Depois disso, os cibercriminosos continuaram visando aos dados sigilosos das pessoas de diferentes formas e ganhando dinheiro usando-os, vendendo-os no mercado negro, ou mesmo encriptografando-os e mantendo-os reféns em troca de um resgate (isso é o que chamamos de ransomware). Mas não apenas contas bancárias e dados pessoais das pessoas estavam sendo alvejados.
Mirando nas grandes organizações para lucrar mais
Os cibercriminosos tornaram-se mais ambiciosos e se voltaram para entidades maiores e grandes empresas, com mais ativos para proteger e mais dinheiro para gastar em resgates.
Eles começaram a ganhar acesso a redes e dados corporativos, roubando-os e encriptografando-os ou fazendo uma cópia, e ainda ameaçavam liberá-los para o público, a menos que uma determinada quantia de dinheiro fosse paga aos agentes por trás do golpe. Isso provou ser um negócio muito lucrativo.
Ao longo do último ano, houve um grande aumento no número de ataques de ransomware, acentuado pela pandemia. Dados da Avast confirmam que o ransomware cresceu 20% durante março e abril em comparação com janeiro e fevereiro de 2020. Organizações como Travelex, Universidade da Califórnia, Communications & Power Industries (CPI) e a cidade de Florence (Alabama), para citar algumas, tiveram que pagar milhões de dólares em resgate depois de serem atacadas em 2020.
As maneiras pelas quais os cibercriminosos obtêm acesso até hoje variam, mas alguns até oferecem "serviços de consultoria", dando às vítimas dicas para proteger suas redes corporativas com o intuito de evitar ataques futuros.
Quanto mais dinheiro eles recebem, mais ataques avançados preparam para o futuro e maiores são os alvos que podem atacar, incluindo organizações nacionais e internacionais, e até mesmo países como um todo.
Dinheiro no cibercrime
A quantidade de residências com computador doméstico atingiu 27% e cresceu para quase 50% em 2019 em todo o mundo. Além disso, o número de usuários de internet quadruplicou, saltando de 1,1 milhão para 4,1 milhões de 2005 a 2019.
O aumento no número de usuários de internet e de PC em conjunto com a inovação de softwares e aplicativos que as pessoas usam – porém, mais importante, para o que elas os utilizam –, causou uma mudança no comportamento dos cibercriminosos. Os criadores de golpes se transformaram em verdadeiros "empresários", começando a trabalhar de forma independente, assim como em gangues, e seus motivos mudaram de "se exibir, testar suas habilidades e brincar" para "terem foco em ganhos financeiros".
Em vez de provar suas competências, quebrando as regras e gerando o caos, a maioria dos cibercriminosos atualmente quer apenas obter mais dinheiro. Um estudo global recente confirmou que 86% das violações de dados em 2020 tiveram motivação financeira. É nosso trabalho nos proteger da melhor maneira possível e garantir que dificultemos ao máximo a capacidade dos cibercriminosos de ganhar a vida espalhando malware e tirando vantagem de outras pessoas.
***
Luis Corrons, colunista quinzenal do TecMundo, é Pesquisador Adjunto Sênior da Avast. Sempre atento às últimas notícias sobre cibersegurança, malware e darknet, Luis é veterano e palestrante do setor de segurança. Também é repórter da WildList, Chairman do Conselho de Diretores da Anti-Malware Testing Standards Organization (AMTSO) e membro do Conselho de Administração da MUTE (Malicious URLs Tracking and Exchange).
Categorias