Como já explanado em artigos anteriores publicados ou replicados no DCIBER.ORG, a rápida evolução e a proliferação das diversas organizações de crimes cibernéticos e atores de ameaças, como os fenômenos criminógenos de Ransomware-as-a-Service (RaaS), Malware-as-a-Service (MaaS) e Phishing-as-a-Service (PHaaS), fizeram surgir, nessa esteira, novos ecossistemas complexos de negócios espúrios que impregnaram a Dark Web, movimentando, internacionalmente, milhões (porque não bilhões) de dólares. De acordo com a Crowdstrike, Ransomware como serviço (Ransomware-as-a-Service – RaaS) é um modelo de negócios ilícitos usado por desenvolvedores de ransomware, no qual eles alugam variantes do código malicioso (ou novas cepas) da mesma forma que desenvolvedores de software legítimos alugam produtos acessados em nuvem, como Software-as-a-Service. O Ransomware-as-a-Service oferece a todos, mesmo pessoas desprovidas de conhecimento técnico, a capacidade de lançar ataques cibernéticos eficiente com emprego de ransomware, apenas contratando a ferramenta lesiva como se fosse um serviço virtual. Os kits Ransomware-as-a-Service permitem que atores mal-intencionados, sem habilidade ou tempo para desenvolver as próprias variantes do malware de extorsão criptoviral, possam ativá-los ou executá-los de forma rápida, eficiente e econômica. Esses serviços são razoavelmente fáceis de encontrar na Dark Web, onde são anunciados da mesma forma que os produtos lícitos são divulgados na superfície legítima da World Wide Web.
Um kit Ransomware-as-a-Service pode incluir suporte 24 horas por dia, 7 dias por semana, ofertas agrupadas, análises de usuários, fóruns, infraestrutura, manutenção, serviço de apoio aos afiliados e outros recursos idênticos aos oferecidos por provedores legítimos de Software-as-a-Service. O preço dos kits de Ransomware-as-a-Service varia de US$ 40,00 por mês a vários milhares de dólares – valores triviais, considerando que a demanda média de resgate no terceiro trimestre de 2020 foi de US$ 234.000,00 (e com tendência de aumento). Nesse ecossistema criminoso, os desenvolvedores não precisam que todos os ataques sejam bem-sucedidos para aquisição de vantagens econômicas ilícitas, embora seja comum a participação nos lucros auferidos com as extorsões criptovirais, nas hipóteses em que as vítimas são coagidas a pagar o valor do resgate. Mutatis mutandis, essa complexidade e diversidade da cadeia produtiva também se aplicam aos desenvolvedores de ferramentas de Phishing-as-a-Service, que também auferem vultosos lucros com a venda de assinaturas periódicas (anual ou mensal) de kits de campanha de phishing, serviços de apoio técnico, oferta de domínios e subdomínios de hospedagem de sites falsos, carteiras de criptomoedas, lavagem de dinheiro, etc.
Com a migração dos criminosos cibernéticos mais sofisticados para o modelo de negócios baseado no fenômeno do capitalismo de plataforma, expressando-se no mundo da criminalidade como poderosos setores de Software-as-a-Service (SaaS) ou cloud computing, surgiram, com o tempo, inúmeros conflitos interindividuais e coletivos entre os desenvolvedores, operadores e afiliados a esses novos ecossistemas de infrações criminais. Curiosamente, as forças que atuam no submundo da criminalidade cibernética transcenderam aquela visão estereotipada de que “entre bandidos não pode haver honra”, assim como revogaram do ambiente criminoso aquela velha máxima, comum em território nacional, de que “ladrão que rouba ladrão tem cem anos de perdão”. Uma pesquisa recente publicada no blog da Analyst1, empresa especializada em oferecer às organizações legítimas um método mais eficiente de reunir e enriquecer a inteligência de ameaças cibernéticas, revelou que os criminosos convencionaram um conjunto de regras e preceitos normativos para a arbitragem e a resolução equânime de conflitos de interesses, nas hipóteses de violação das relações jurídicas obrigacionais, plasmadas em contratos de serviços ilícitos. Em outros termos, os criminosos criaram uma espécie de sistema de justiça arbitral para mediação de conflitos e aplicação de sanções àqueles considerados culpados pela lesão causada aos parceiros contratuais, em ambiente virtual. É irônico e, ao mesmo tempo, bizarro imaginar que criminosos cibernéticos ousaram fundar um sistema jurídico que se legitima pela observância de um conjunto de regras procedimentais. E, ao contrário do que ocorreu com os “Tribunais do Crime” comuns em organizações criminosas nacionais e transnacionais que, por exemplo, exploram o tráfico de drogas, o tráfico de armas e o tráfico de seres humanos e órgãos, verdadeiras máfias ou “sindicatos do crime”, os “Tribunais de Arbitragem” da Dark Web não exigem a identificação das partes em conflito (polo passivo e polo ativo da demanda trazida ao juízo arbitral).
Essas “cortes do crime cibernético” operam em ambientais virtuais, onde impera o anonimato dos participantes. Todos os dias, há dezenas de casos em toda a Dark Web que chegam a esse sistema de justiça clandestino e esperam, pacientemente, que os criminosos cibernéticos de alto escalão (geralmente membros da administração de um fórum) resolvam a disputa e julguem quem será o vencedor e o perdedor da demanda deduzida no “juízo arbitral”. O processo de arbitragem inaugura-se com uma lide, ou seja, um conflito de interesses qualificado por uma pretensão resistida, como na consagrada definição de Francesco Carnelutti. Por exemplo, o agente da ameaça comprou, de um operador de Phishing-as-a-Service, o acesso a uma rede de computadores comprometida com a instalação de um backdoor ou pelo vazamento de credenciais de acesso privilegiado. Porém, o agente descobriu que o mesmo acesso havia sido vendido ou cedido, em data anterior, para outra entidade ou ator malicioso, que acabou por modificar o modo de acesso à rede ou ser descoberto pelas equipes de resposta a incidentes e eventos cibernéticos. Ao entrar em contato com o prestador ou fornecedor da atividade de hacking, este se recusou reembolsar as despesas pela assinatura ou aluguel do serviço ilícito. Nesse cenário, o ator da ameaça, na qualidade de consumidor frustrado do serviço de hacking, se dirige a um fórum da Dark Web, especializado em arbitragem de conflitos, para demandar o parceiro contratual ao ressarcimento pelos prejuízos causados pela dupla alienação do acesso à rede comprometida e pela violação das regras contratuais.
Aprofundando as pesquisas, a Analyst1 descobriu o fórum Dark Web Court 101, o qual publicou instruções e orientações sobre o funcionamento da corte de arbitragem. Para iniciar o processo, o reclamante/requerente deve abrir um tópico em um subfórum dedicado que, geralmente, tem o título “Tribunal” ou “Arbitragem” e fornecer os seguintes detalhes: a) o resumo da reclamação (a narração dos fatos e das circunstâncias do conflito; b) o apelido ou a forma de identificação do réu/requerido, incluindo o link para o perfil; c) informações sobre a forma de se estabelecer contato com o réu/requerido (por exemplo, Facebook, Twitter, Instagram, Telegram, Jabber ou endereço de e-mail), para que possa ser “citado” ou “notificado” para prestar esclarecimentos e se defender da pretensão do autor da demanda. Outrossim, o demandante deverá enviar provas ou evidências qualificadas dos fatos constitutivos da pretensão resistida, incluindo todos os logs de bate-papo, mensagens, capturas de tela, transações em criptomoedas e outras informações relevantes e que possam contribuir para a elucidação do caso. Com a designação do “juiz” ou do “árbitro” para processar e julgar o caso, é iniciada a fase de interrogatório, quando o réu/requerido poderá apresentar “contestação” e/ou “reconvenção”. Como acontece nos processos judiciais reais, poderá ocorrer a conciliação ou a transação entre as partes, com homologação de um acordo. Vencidas essas etapas sem a resolução consensual do conflito, o julgamento poderá se encerrar com um veredicto ou uma sentença. O réu/requerido poderá ser absolvido por inexistência do fato alegado ou por insuficiência do conjunto probatório. Entretanto, se o árbitro condenar o réu/requerido ao ressarcimento dos prejuízos causados ao demandante, o criminoso cibernético terá um prazo específico para cumprir o veredicto. Na hipótese de não observância dos comandos emergentes da sentença, o réu/requerido será banido das atividades futuras do fórum clandestino, circunstância que poderá atingi-lo diretamente na reputação como fornecedor de serviços de crimes cibernéticos, com perdas inestimáveis de clientes e de potenciais clientes.
As comunidades que habitam esses fóruns de arbitragem, sustentados por criminosos, tratam dos casos com isonomia, sem privilegiar as demandas mais complexas ou com pedidos vultosos de compensações, ressarcimentos ou indenizações. Os casos de média complexidade envolvem a pretensão de centenas ou alguns milhares de dólares. Almejando assegurar a transparência dos processos, todos membros do fórum de arbitragem têm o direito de comentar e de participar dos autos e das audiências virtuais. Embora tenham o direito de participar e de opinar sobre os fatos em julgamento, esses membros regulares do fórum não atuam como se integrassem um Conselho de Sentença de um Tribunal do Júri ou de uma Corte Popular e, portanto, não poderão votar ou decidir o caso concreto, como espécie de órgão colegiado. As investigações revelaram, ainda, que esses fóruns, embora comuns entre os usuários de linguagem russa, não discriminam os participantes pela origem, sexo, raça, cor, idiomas ou padrões culturais.
Em abril de 2021, dois criminosos afiliados ao grupo de Ransomware-as-a-Service (RaaS), denominado Conti (operadora e pentester) foram processados em US$ 2.000.000,00 (dois milhões de dólares) por violações associadas a um acordo para hackear e criptografar redes de uma instituição de ensino sediada no sede nos Estados Unidos da América. No entanto, após quase um mês e meio de julgamento, que incluiu a revelação de registros de bate-papos internos e correspondência com a vítima afetada, a reclamação foi rejeitada com o argumento de um árbitro. Em outubro de 2021, o grupo Conti foi processado novamente por US$ 12.000,00 (doze mil mil dólares). Porém, a arbitragem foi rapidamente recusada, porque os tópicos relacionados aos ataques por ransomware foram proibidos e não foram bem-vindos nos principais fóruns de crimes cibernéticos desde maio de 2021. Contudo, esses não são os únicos dois casos de afiliados de gangues de ransomware sendo processados. O sistema judiciário de crimes cibernéticos viu outras arbitragens de alto perfil contra REvil e Netwalker, onde a reclamação financeira mais elevada atingiu valor superior a US$ 20.000.000,00 (vinte milhões de dólares).
Como exposto no artigo The Dark Web Has Its Won People’s Court, o colaborar da Darkreading, Jai Vijayan, apontou que, no início do ano de 2021, pesquisadores do Huntress Labs relataram que hackers (black hats) observam códigos de conduta próprios e possuem uma espécie de sistema de tribunal subterrâneo para aplicá-los. Um caso que a empresa monitorou envolveu várias reclamações de afiliados contra os operadores de Ransomware-as-a-Service do grupo DarkSide, os quais buscavam ressarcimentos por ataques que haviam realizado com o precitado malware. As reclamações foram feitas quando o DarkSide interrompeu abruptamente as operações depois que as autoridades dos Estados Unidos da América descobriram que aquele grupo criminoso estava por trás do ataque cibernético contra a Colonial Pipeline, que resultou na escassez temporária no fornecimento de petróleo ao longo da Costa Leste daquele País. As reclamações foram resolvidas pelos administradores do fórum de crimes cibernéticos onde as demandas foram apresentadas, sendo que os valores foram pagos aos reclamantes, por meio de uma “conta de custódia” gerida pelo grupo Darkside, criada especificamente para suprir essas eventualidades.
Noutra banda, os pesquisadores da Analyst1 constataram a existência de requerentes que, enfurecidos pelo resultado da arbitragem ou pela inadimplência da parte contrária, levaram a questão para o lado pessoal e, após ameaças, vazaram informações sobre a identidade completa dos adversários, endereços físicos, perfis em mídias sociais, números de telefones e informações sobre parentes, punindo-os com a retirada do véu do anonimato. Desprovidos do necessário anonimato, os criminosos cibernéticos se tornam presas fáceis dos adversários e das forças policiais e de aplicação da lei, prejudicando a concretização dos negócios espúrios.
Os pesquisadores concluíram que os criminosos virtuais, nos últimos anos, compreenderam que, se fornecerem produtos ou serviços considerados não confiáveis ou enganosos, eles serão socialmente censurados e materialmente responsabilizados no ambiente cibernético onde operam, máxime quando se depararem com os nomes e apelidos estampados nos tópicos destinados aos processos de arbitragem. Logo, em caso de condenação e sucumbência nos autos virtuais, os atores de ameaças poderão perder os bens mais preciosos que ostentam: a reputação e a credibilidade em um mundo selvagem, caótico e altamente competitivo. Se forem julgados e condenados poderão naufragar as carreiras criminosas e terão que navegar uma longa e tormentosa jornada para a reconstrução dos negócios. Causa perplexidade o fato de que esses “Tribunais de Arbitragem” ou “Tribunais de Crimes Cibernéticos”, pelo status de convenção social, representam o nascimento de instituições não oficiais de caráter nitidamente coercitivo, a compelir os atores de ameaças a observar um “conjunto de regras” e “preceitos éticos” que conduzirão à estabilidade, à harmonia e à pacificação dos novos ecossistemas de negócios ilícitos. Esse é um fenômeno criminológico que não interessa apenas a Comunidade de Inteligência, com também os operadores do Direito e os estudiosos da criminologia contemporânea.
Fonte: https://www.crowdstrike.com/cybersecurity-101/ransomware/ransomware-as-a-service-raas/
Fonte: https://www.coveware.com/blog/q3-2020-ransomware-marketplace-report
Fonte: https://www.thesslstore.com/blog/phishing-as-a-service-turn-key-phishing-kits/
Fonte: https://analyst1.com/blog/dark-web-justice-league
Fonte: https://www.darkreading.com/threat-intelligence/the-dark-web-has-its-own-people-s-courts
Fonte: https://www.huntress.com/blog/pulling-back-the-curtain-a-journey-through-the-dark-web
Fonte: https://www.darkreading.com/author/jai-vijayan
Fonte: CARNELUTTI, Francesco. Instituições do processo civil. Vol. I. Tradução de Adrián Sotero De Witt Batista. Campinas: Servanda, 1999. p. 80.
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
