São Paulo, maio de 2018 - Em maio de 2017, um dos maiores facilitadores do cibercrime, Scan4You, foi retirado ar depois que dois principais suspeitos, Ruslans Bondars e Jurijs Martisevs, foram presos na Letônia e extraditados para os Estados Unidos pelo FBI. Em maio de 2018, o caso contra os operadores do Scan4You foi concluído em um tribunal federal da Virgínia.

A Equipe de Pesquisa Avançada de Ameaças Trend Micro (FTR) começou a acompanhar as operações do Scan4You em 2012, e desde então mantém contato com os investigadores do FBI responsáveis pelo caso desde 2014. Nossa pesquisa sobre o Scan4You levou cinco anos, passando algumas de nossas descobertas para o FBI até que o serviço fosse retirado do ar.

O que é o Scan4You?

Scan4You é um serviço contra antivírus (CAV) que permite que os cibercriminoso verifiquem a detecção da versão mais recente de seu malware contra os mecanismos antivírus (AV) mais modernos. Este serviço ajuda os cibercriminosos a tornarem suas campanhas de malware mais eficientes, pois assim podem otimizar o desempenho e testar o malware para reduzir as taxas de detecção.

Uma vez que os serviços como o Scan4You facilitam que agentes iniciantes façam uma rápida escalada na carreira do cibercrime, interromper um serviço CAV tão significante é uma importante medida preventiva para dificultar que novos agentes se aventurem no cibercrime. A interrupção destes serviços também ajuda a aumentar os custos das campanhas de malware de agentes mais experientes que aparentemente estão usando os serviços CAV. Por último, colocar um fim a este tipo de serviço também manda um forte recado para o mercado clandestino de que facilitar o cibercrime pode levar à prisões e processos na justiça.

Operadores do Scan4You também estavam envolvidos em outras atividades cibercriminosas

A utilização de um serviço CAV significa que um agente malicioso confia nele. Portanto, não é uma surpresa que os donos do Scan4You tenham conquistado uma reputação entre os próprios cibercriminosos. Os operadores do Scan4You em estão em atividade, pelo menos, desde 2006 e estão associados a alguns dos negócios mais longevos do cibercrime.

Eles não administravam apenas um serviço CAV, também estavam envolvidos em uma das maiores e mais antigas gangues de spam farmacêutico conhecida como Eva Pharmacy. O grupo tornou-se infame pelas vendas ilegais de remédios controlados comercializados cuidadosamente através da otimização do mecanismo de busca e spam. Eles também estavam envolvidos na propagação de malwares bancários como o SpyEye e ZeuS. O Scan4You utilizou por muitos anos a rede corporativa de um Provedor de Internet (ISP) letão e Ruslans Bondars trabalhou para uma empresa letã desenvolvedora de software relacionada a uma série de websites, incluindo um que foi multado por propaganda enganosa e fraude em 2010.

Investigando as atividades do Scan4You

O site Scan4You afirma não compartilhar informações de suas varreduras com empresas de segurança de internet, como a Trend Micro. Evidentemente, isso não é totalmente verdade. Enquanto o Scan4You garantia que os loops de feedback para os servidores da Trend Micro sobre as varreduras de arquivos fossem desabilitados, o Scan4You também realizou verificações de reputação das URLs, endereços de IP e domínios. A maneira com que o Scan4You armou tudo isso significa que todos as varreduras de reputação contra os serviços de reputação web da Trend Micro estavam visíveis para nós há anos. Desde 2012, coletamos uma ampla gama de informações sobre as operações do Scan4You e, em particular, informações sobre as muitas varreduras de reputação que foram realizadas diariamente. Um autor de malware usualmente verificaria a reputação das páginas iniciais ou dos servidores comando-e-controle (C&C) no Scan4You logo antes de iniciar uma nova campanha. Conseguimos observar estas verificações e, em muitos casos, pudemos bloquear antecipadamente os novos domínios maliciosos antes que pudessem ser utilizados.

Outros grandes serviços CAV como o VirusCheckMate e AVDetect também desabilitaram os loops de feedback nas varreduras de arquivo, mas recebemos suas varreduras de reputação de endereços de IP, URLs e nomes de domínios. Isto possibilitou estimar suas fatias de mercado. Ao longo dos anos, o Scan4You sempre foi o serviço CAV mais conhecido:

LEGENDA: Comparação de varreduras de URL pelo Scan4You (S4Y), VirusCheckMate (VCM) e AVDetect (AVD) em 2015; não há escala vertical uma vez que temos apenas dados de amostragem (Fonte: Trend MicroTM Smart Protection Network).

Colaboração Proativa com as autoridades

Esta é a segunda vez que a Trend Micro ajudou a interromper um serviço CAV. A Trend Micro também auxiliou na investigação contra o Refud.me, um serviço CAV de médio porte que utilizava a interface de programação de aplicativo (API) do Scan4You. O dono do Refud.me foi preso em 2015 e o caso na justiça foi concluído em 2018.

O Scan4You era o serviço CAV mais conhecido. Quando foi retirado do ar, esperávamos ver muitos de seus usuários migrarem para o único e principal CAV que ainda estava online: o VirusCheckMate. No entanto, nossos dados mostram que não houve um crescimento significativo no número de varreduras de reputação da web realizados no VirusCheckMate após maio de 2017. Aparentemente, a maioria dos usuários do Scan4You parou de usar um serviço CAV público.

As prisões dos operadores do Scan4You, Ruslans Bondars e Jurijs Martisevs, mandaram um recado importante para o submundo do cibercrime. Não somente a utilização e criação de malware que vitimiza alvos inocentes é crime. Em pelo menos algumas jurisdições, também é crime auxiliar terceiros na realização destes ataques. Graças aos anos de trabalho da Trend Micro e do FBI, demos mais um passo adiante para garantir a segurança do mundo conectado de hoje.

Saiba mais sobre nossa pesquisa contra o maior serviço CAV no mercado clandestino, seus operadores, e os nós que ligam o Scan4You a outros cibercriminosos; The Rise and Fall of Scan4You