Licença de uso vitalícia de ransomware, conhecido como Stampado, é vendida pela Dark Web por apenas US$ 39.
Desenvolver ransomware para distribuição é um grande negócio. Dentro do mercado de malware, este é um nicho muito lucrativo e está em constante crescimento, levando os seus criadores, como em qualquer negócio, a lançar novos “produtos” para manter seus clientes envolvidos.
Aqueles que desejam realizar ataques ransomware, mas não têm conhecimentos técnicos para sua criação ou habilidades necessárias para manter e executar suas operações, podem contar com fornecedores especializados.
A distribuição pode ser realizada por meio da venda da licença ou por meio do “aluguel” do produto, modelo conhecido como ransomware-as-a-service (RaaS). Neste modelo, o “cliente” se cadastra em um programa de afiliados, pagando algo em torno de US$ 50, que comissionará os seus membros por cada resgate bem-sucedido. O único trabalho que o membro afiliado tem é o de espalhar a praga para o maior número possível de pessoas, maximizando as chances de conseguir um resgate. Para o distribuidor RaaS isto é ótimo: sobra mais tempo para se concentrar no desenvolvimento e melhoria do ransomware, enquanto os afiliados cuidam da divulgação.
Um relatório recente da Flashpoint1 mostrou que um típico operador russo de ransomware pode chegar a ganhar US$ 90.000 por ano, 13 vezes a mais que um salário médio local, sendo uma opção atraente.

Stampado Ransomware
Ontem fiquei sabendo que uma nova família de ransomware – a qual nunca havia ouvido falar, mas que em breve, certamente, aparecerá nos noticiários – está sendo promovida em fóruns que reunem cibercriminosos e por meio de campanhas publicitárias na darkweb2.
A estratégia de preços da quadrilha é bem agressiva. Bem abaixo do valor praticado pelos concorrentes, cobram apenas US$ 39 para uma licença vitalícia. Os valores, na Dark Web, podem variar de algumas centenas de dólares até alguns milhares. Exemplos: Cryptolocker (US$ 3.000); Locky (US$ 3.000); Golias (US$ 2.100).
Enquanto alguns ransomware são oferecidos pelos preços acima, o baixo preço do Stampado torna o produto muito atraente para os futuros cibercriminosos que desejam iniciar seu próprio “negócio” sem a necessidade de conhecimentos técnicos.
O discurso de vendas do Stampado é simples e muito entusiasmado:
Você sempre quis ter um ransomware, mas nunca quis pagar centenas de dólares por isso? Este e-mail é para você! Stampado é um ransomware barato e fácil de gerenciar, desenvolvido por mim e minha equipe. Você não precisará de um host. Tudo que você precisa é de uma conta de e-mail.
Outra parte do anúncio enfatiza a flexibilidade oferecida pelo Stampado:
O arquivo pode ser enviado nos seguintes formatos: exe, bat, dll, SCR, e cmd.
Uma vez que o computador for infectado, Stampado adiciona a extensão “.locked” em todos os arquivos sequestrados.
Abaixo, um printscreen do anúncio dos criminosos na dark web:
Os criadores do Stampado enviaram um vídeo de apresentação para o Youtube:
Alguns detalhes sobre o Stampado:
- Stampado não precisa de privilégios de administrador para infectar computadores;
- As vítimas têm 96 horas para pagar o resgate de 1 bitcon (US$ 660) dos arquivos.
- Após a infecção, os invasores ameaçam excluir, aleatoriamente, apenas um arquivo criptografado dos sistemas infectados a cada seis horas até que o resgate seja pago.
Conclusão
O desenvolvimento e distribuição de malware funciona como um negócio. Os criminosos cibernéticos procuram maximizar os seus lucros e, para tanto, adaptam as mesmas estratégias usadas por nós, em nossos negócios legítimos, para o mercado do submundo do crime. Assim como nós, eles têm que competir com qualidade, atendimento ao cliente, preço, reputação e inovação. Há uma tendência crescente na adoção do Software-as-a-service (SaaS) como forma de distribuição e comercialização do software malicioso.
O modelo RaaS é extremamente atraente para os cibercriminosos, uma vez que reduz as barreiras de entrada para o cibercrime, já que os compradores recebem acesso a um painel de controle, que lhes permite modificar e executar suas operações de extorsão digital.
Para nós que trabalhamos na área de cibersegurança sabemos o quanto é difícil acompanhar o ritmo de desenvolvimento dos cibercriminosos, que estão sempre um passo a frente. Resta-nos adotar uma postura que combine educação, adoção de controles técnicos e realização de backups.
Referências
- Flashpoint Releases New Research on Organized Russian Ransomware: https://www.flashpoint-intel.com/news/flashpoint-releases-new-research-on-organized-russian-ransomware/ ↩
- Dirt Cheap Stampado Ransomware Sells on Dark Web for $39: https://threatpost.com/dirt-cheap-stampado-ransomware-sells-on-dark-web-for-39/119284/ ↩
Comments by Ricardo Córdoba Baptista