Não é todo dia que se descobre um novo grupo de hackers russos completo com uma rotina de música e dança (realizada ao vivo), uma interface de usuário elegante (com modo escuro!) e um modelo de negócio claramente pensado.
Mas foi exatamente isso que nossa equipe de pesquisa de segurança descobriu com o “AlphaLock”, uma “organização de treinamento de testes de penetração” que treina hackers e monetiza seus serviços através de um programa de afiliados dedicado.
Descobrimos originalmente seu grupo através de um canal público no Telegram que desde então tornou-se privado.
Esta postagem servirá como uma investigação detalhada e descrição de um dos grupos de crimes cibernéticos mais ousados, estranhos e melhor comercializados que surgiram em 2023.
Uma das tendências de crimes cibernéticos mais marcantes de 2023 tem sido a diversificação e especialização de função que ocorreu entre os criminosos.
Existem cadeias de suprimentos detalhadas e complexas, criando economias de escala para os cibercriminosos.
AlphaLock serve como um dos primeiros e interessantes exemplos que vimos de um grupo de ameaças tentando criar seu próprio pipeline fim a fim para gerar receita.
O modelo de negócios deles parece ser dividido em duas partes: Treinamento de Código Bazooka Pentest e o Mercado Hacker ALPentest.
Ninguém quer acreditar que são os vilões, nem mesmo os atores de ameaças.
AlphaLock toma medidas para afirmar que eles estão apenas treinando “pentesters”, um fenômeno familiar para quaisquer pesquisadores de segurança familiarizados com mensagens de grupos de ransomware e suas alegações de “testes de penetração depois do fato”.
O modelo de negócios do AlphaLock parece ser dividido em duas partes.
A primeira parte envolve treinar um “exército” de hackers através de cursos online personalizados.
Os atores de ameaça explicam em detalhes em seu canal de Telegram:
Mas talvez, após ler isso, você ainda tenha reservas.
Será que o curso de Código Bazooka realmente pode ajudá-lo a ganhar a vida e justificar uma despesa de 185 dólares? AlphaLock fez as contas.
Como dissemos no início, único é apenas o começo para descrever esse grupo.
Se o modelo de negócio envolvesse apenas a venda de cursos de teste de penetração por 185 dólares, isso seria bastante padrão.
No entanto, isso representa apenas a primeira etapa dos planos do AlphaLock.
O próximo passo envolve o fórum do web escuro XSS, e um programa de afiliados onde suspeitamos que eles planejam fazer a maior parte dos seus lucros.
A segunda parte deste esquema de negócios é um corolário direto do primeiro - usar os hackers recém-treinados para criar um mercado onde atores de ameaça podem comprar “serviços de testes de penetração” direcionados a uma organização específica.
A seguir, uma captura de tela de seu vídeo de dança recentemente lançado anunciando a criação do programa de afiliados AlphaLock:
Código Bazooka explica:
Código Bazooka compartilhou imagens da versão “beta” do novo mercado hacker.
Os atores de ameaça poderão listar alvos que eles desejam “testar a penetração” e outros atores de ameaça podem então atacar as empresas, postar a prova e receber o dinheiro da recompensa.
Presumivelmente, os hackers que conduzem os ataques serão formados pelos mesmos indivíduos que participam no curso de Código Bazooka.
Infelizmente para o Código Bazooka, porém, eles parecem ter atraído muita atenção recentemente.
Alguns dias atrás, eles postaram este longo comunicado e anunciaram que todo o programa estava se mudando para um novo aplicativo de chat descentralizado e menos conhecido, Matrix.
AlphaLock parece ser pelo menos relativamente sofisticado e ativo no Telegram, Matrix e no fórum da web escuro XSS.
Existem algumas percepções interessantes que podemos obter do amplo ecossistema de crimes cibernéticos do AlphaLock.
A sofisticação e comoditização do cibercrime continua a crescer: Agora temos um exemplo real de um grupo de ameaças que procura criar sua própria pool de talentos através de um programa de treinamento, vai a grandes esforços para se comercializar e planeja monetizar isso através de um esquema de hacker para alugar.
O nível de sofisticação técnica necessário para fazer isso não é muito alto, mas o nível de sofisticação organizacional e o conhecimento de negócios é bastante interessante.
Ransomware não é o único jogo na cidade: os criminosos cibernéticos normalmente escolhem o caminho de menor resistência, que é mais provável ser rentável, isso tem sido cada vez mais o caso à medida que o ecossistema de cibercrime evoluiu para uma economia de mercado funcional.
No entanto, AlphaLock representa outro método potencial para monetizar e democratizar o cibercrime.
Este pode ser um modelo alternativo particularmente interessante para grupos de ransomware se os EUA seguirem com a proposta de proibir pagamentos de ransomware.
Falta um ator de ameaça técnica? Uma das coisas mais fascinantes sobre o AlphaLock é que eles querem criar um pipeline de talentos para povoar seu mercado hacker.
Isso sugere que pode haver limitações na oferta de atores de ameaça talentosos que tenham o grau necessário de sofisticação ao ponto em que tentaram construir seu próprio pipeline de atores.
A marca: Nossos pesquisadores notaram um foco crescente na “marca” do grupo e identidade entre grupos de ameaças financeiramente motivados.
AlphaLock claramente fez investimentos significativos em tempo para criar uma marca e reputação para si mesmo.
Observe na postagem final que eles até anunciam que estão procurando contratar alguém para se promover no Telegram e nas redes sociais.
Linhas Borradas: Muitos profissionais de segurança frequentemente assumem que atores de ameaça operam principalmente na web escura.
Na maioria dos casos hoje isso não é mais o caso.
Existem linhas cada vez mais borradas entre sites claros na web, Tor, e aplicativos de mídias sociais como Telegram que criam avenidas fáceis para atores de ameaça se reunirem e se comunicarem.
A Flare fornece gerenciamento de exposição a ameaças contínuas, de alto valor e personalizado para organizações em diversas indústrias.
Nossa plataforma SaaS detecta ameaças em centenas de mercados e fóruns da web escura, milhares de canais ilícitos do Telegram e fontes claras de risco na web.
A Flare integra-se ao seu programa de segurança existente em 30 minutos, com integrações nativas que permitem que você construa um programa de cibersegurança liderado por ameaças.
Inscreva-se para uma avaliação gratuita para saber mais.
Patrocinado e escrito pela Flare.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...