Queira o Sr. Perito explicar como verificar o destinatário em uma transação de BitCoin/Litecoin

As transações utilizando moedas virtuais crescem cada dia mais ao redor do mundo, tanto para transações lícitas, quanto para transações ilícitas. O fato de uma transação realizada com moeda virtual ser supostamente anônima, sem identificação de origem ou destino, incentiva ainda mais a sua utilização dentro da Deepweb para o comércio de drogas, contrabando e, até mesmo, para o pagamento de resgates referentes a sequestros de dados.

O sequestro de dados já não é algo tão incomum, pelo contrário, em alguns países ele tem se tornado uma triste realidade para empresas e usuários, pois, afinal de contas, o que define o valor de uma empresa não é apenas o seu tamanho físico, número de funcionários ou abrangência de sua marca, mas, principalmente, os dados (ou informações) que essa empresa manipula, armazena ou gera.  Hoje são os dados (ou informações) que têm garantido a sobrevivência, maturidade e a evolução das empresas. Em razão disso, é importante, mais do que nunca, priorizar a segurança dos sistemas utilizados pelas empresas, pois, diferente de antes, esses sistemas, como um todo, são os alvos preferidos dos hackers e sequestradores digitais. (clique aqui para acessar outro post sobre sequestros de dados e entender mais sobre o assunto).

O sequestro de dados funciona da seguinte forma:

  • É enviado um malware (denominado CryptoLocker) para o usuário por meio de phishing ou de outra maneira (pendrive, mensagem instantânea, sites de internet etc.);
  • Após sua execução, esse malware criptografa os arquivos do computador infectado (doc, xls, pdf, ppt, etc.) e se conecta a um servidor que possui a chave para descriptografia dos dados;
  • O malware cria um alerta ao usuário informando sobre o sequestro e solicitando a transferência de uma quantidade determinada de Bitcoins para um endereço de wallet (carteira);
  • Por fim, é iniciada uma contagem regressiva informando sobre a possível destruição dos dados criptografados no computador, caso o pagamento não seja realizado.

Embora o malware CryptoLocker seja conhecido como principal ameaça relacionada ao sequestro de dados, não se pode acreditar que as empresas de antivírus estejam 100% preparadas para esse tipo de ataque (sequestro de dados) apenas por terem desenvolvido uma vacina contra esse malware específico. Devemos lembrar que a corrida hacker sempre beneficia o malfeitor. Quando uma empresa de antivírus desenvolve uma forma de conter uma ameaça, outras já foram criadas. Assim, devemos esperar, muito em breve, notícias sobre outros tipos de ataques que usam o mesmo conceito de sequestro de dados com pagamento de resgate por Bitcoins.

O que motiva esse tipo de ataque é o fato de o pagamento solicitado pelo sequestrador ser realizado por meio de Bitcoins, moeda virtual que, em tese, não permite que a transação seja rastreada como em uma transação bancária convencional. Isso dá ao sequestrador a sensação de impunidade.

O objetivo desse artigo é apresentar um estudo sobre o que ocorre em uma transação de Bitcoin e tentar descobrir se, de fato, é ou não impossível identificar o destinatário de uma transação dessa natureza.

Detalhes do experimento:

Para esse experimento foram realizadas 06 transações Litecoins, moeda similar ao Bitcoin, a partir de um computador tratado como vítima de um ataque. Outro computador foi utilizado como sequestrador dos dados, o qual irá receber o valor pago em Litecoins. Os endereços de IP dos respectivos computadores estão a seguir:

Computador da suposta vítima: IP 189.46.246.43 conexão Speedy.

Computador do suposto sequestrador: IP 179.231.156.160 conexão Vivo.

O Litecoin foi utilizado pelo seu baixo custo que hoje está em torno de R$ 12,00, diferente do Bitcoin que está em torno de R$ 1.200,00.

Antes de iniciar o experimento vamos entender como funciona uma transação utilizando essas moedas virtuais:

Funcionamento de uma transação:

O Bitcoin/Litecoin é uma moeda virtual. As principais fontes a respeito de como uma transação com essa moeda é realizada indicam que ela acontece por meio de uma conexão Pear to Pear (P2P ou ponto a ponto), ou seja, a transferência parte do computador de origem até o de destino sem passar por um órgão regulador ou algo do tipo (um servidor central, por exemplo).

Para realizar uma transação com essas moedas virtuais é necessário possuir um Wallet (carteira) no computador de origem e outro no computador destino. Esse Wallet gera um endereço de transferência que permite a realização da transação.

As imagens a seguir mostram um Wallet de origem e seu endereço de recebimento.

Wallet de origem:

Endereço para recebimento do Wallet:

Se uma transferência fosse realizada para esse Wallet o pagador iria digitar o valor da transferência e indicar o endereço da carteira de destino. Na imagem a seguir é possível notar uma transferência no valor de 1.21 Litecoins da partir do Wallet acima para o Wallet do computador utilizado como sequestrador.

Após a transferência, em apenas 10 segundos o valor é depositado no Wallet de destino. Para cada transação é cobrada uma taxa de 0,001 Litecoins, ou seja, essa transação passa por um servidor que é utilizado como intermediário, o qual desconta essa taxa.

Agora, vamos ao experimento:

Durante a transação mostrada acima, a rede utilizada pelo computador de origem (vítima do suposto ataque) foi monitorada para tentativa de rastreamento do endereço IP do computador de destino da transação (suposto sequestrador), o qual estava conectado à internet com o endereço de IP 179.231.156.160.

O fato é que o computador vitima aparentemente não se conectou diretamente ao computador do sequestrador (IP 179.231.156.160), como deveria ser em uma rede Pear to Pear (ponto a ponto), o que indica que a transação, em verdade, não acontece através de uma conexão direta entre os terminais de origem e destino, como indicam as principais referências no tema.

Para checar se de fato o experimento estava correto, foram realizadas outras 5 transações, todas elas através de um computador monitorado. Novamente, não houve conexão com o endereço IP esperado. Ao invés disso, os endereços IP de destino das transações, conforme monitoramento realizado, foram:

Qtd. Endereço IP
5 5.9.123.140
5 50.136.48.55
5 50.131.127.87
5 78.47.228.210
5 118.200.87.181
5 173.230.150.11
5 188.40.119.196
5 199.191.58.178
5 76.126.244.142
5 83.163.217.101

Nota-se, portanto, que as transações realizadas não foram diretamente para o computador de destino da transação. Todas elas passam por diversos servidores ao redor do mundo. A tabela a seguir mostra alguns dados sobre os referidos endereços IP:

Endereço IP Responsável Localidade
5.9.123.140 Hetzner Online AG Germany
50.136.48.55 Comcast Cable Communications Holdings, Inc USA
50.131.127.87 Comcast Cable Communications Holdings, Inc USA
78.47.228.210 Hetzner Online AG Germany
118.200.87.181 SingNet Pte Ltd Singapore
173.230.150.11 LINODE-US USA
188.40.119.196 Hetzner Online AG Germany
199.191.58.178 Shane Lindsay USA
76.126.244.142 Comcast Cable Communications, Inc. USA
83.163.217.101 XS4ALL Internet BV Netherlands

É possível identificar estes servidores (endereços de IP) em um vídeo no YouTube. Lá eles são identificados como miners verificadores da transação:
https://www.youtube.com/watch?v=Gc2en3nHxA4#t=55

Não sabemos, até o momento, se é possível identificar o destinatário das transações realizadas, nem mesmo qual a responsabilidade de cada servidor por onde a transação passou. Estes temas serão objeto do próximo estudo, o qual englobará (i) análise do computador que recebe a transações, (ii) pesquisa das empresas responsáveis pelos endereços IP identificados e (iii) conclusão se, de fato, é ou não possível identificar o endereço IP do destinatário de uma transação Bitcoin/Litecoin. Até o próximo estudo.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s