Fabiana Adm, Autor em Citis | Página 55 de 150

Os hackers do Oriente Médio e do Norte da África vêm formando uma espécie de irmandade, devido a convergências culturais e ideológicas na cena underground do cibercrime. É o que diz o estudo “Digital Souks: A Glimpse to the Middle Eastern and North African Underground”, liderado pela Trend Micro, que revela como agem os “souks” (como são chamados os camelôs e feirantes nos países árabes) no mercado digital clandestino dessas regiões.

Segundo o levantamento, a religião cumpre um papel importante na união das pessoas que possuem um posicionamento semelhante, seja em fóruns de discussão, em lojas virtuais, sites, redes sociais e outras organizações. Há uma recorrente mentalidade de “espírito de compartilhamento” entre esses grupos, algo que transcende as transações ilícitas.

“É ainda um mercado em ascensão. A região não está tão atualizada em termos de dimensão e alcance quando comparada com outras, mas os produtos e serviços disponíveis são comuns e sofisticados”, afirma Ihab Moawad, o vice-presidente da empresa de segurança de dados na nuvem no Mediterrâneo, Oriente Médio e África.

Hacking e malwares como serviços

Duas ofertas características da área denominada MENA (Middle East North Africa — Oriente Médio e Norte da África) são a terceirização de cibercrimes como o hacking e a disseminação de malwares por encomenda. A própria “irmandade” garante a criação, fluxo, distribuição e captação dos valores, negociados via Bitcoin.

De acordo com a pesquisa, em outros mercados, como a América do Norte e a Rússia, fornecedores costumam concentrar suas vendas em “produtos” e não em planos de ciberataques contra grandes grupos. O hacktivismo — que é a invasão de sistemas sob influência de ideias em comum — acontece com mais frequência por demanda, com o objetivo de comprometer redes, divulgar dados confidenciais e aumentar o número de praticantes de ações ilícitas no meio digital. Uma das vítimas foi a agência espacial norte-americana, a NASA.

Deface realizado no site da agência espacial norte-americana, a NASA

Faturamento alto com “cashout”

O estudo revela que a MENA registra lucro significativo com os serviços de “cashout”, que consiste na conversão de produtos roubados em dinheiro, que normalmente é pago via cartões bancários, Bitcoins e pagamento em dinheiro vivo. O site underground turco Darbe Turk, por exemplo, possui uma seção destinada somente para essa prática. Itens como um PlayStation 4 são comercializados por um preço bem menor do que o oficial e a transação gera entre 2% e 10% para os intermediários.

Essa prática se destaca por ignorar os mecanismos de segurança e os requisitos legais (passaporte, comprovante de residência e identificação pessoal) na região, como os que estão disponíveis para a compra de celulares e cartões SIM descartáveis.

Preços de cashout na região da MENA

Outra fonte rentável nesse mercado paralelo é a venda de hospedagem regionalizada, que permite configurar o idioma e o horário locais e possui velocidades de conexão mais rápidas. Uma única ligação de IP e 50 GB de espaço no disco rígido, por exemplo, são vendidos a US$ 50. Há planos mais baratos, a partir de US$ 3. Esses valores estão alinhados com outros mercados clandestinos, como o da China.

O ransomware — cibercrime em que seu computador é “sequestrado” em troca por um valor, normalmente pago em criptomoeda — vem crescendo assustadoramente em todo o mundo nos últimos anos e está “na moda” no mercado ilegal: uma pesquisa indica que as vendas de softwares para essa prática de extorsão virtual cresceu 2.502% entre 2016 e 2017.

Os dados são da companhia de serviços anti-malware Carbon Black, que publicou neste mês um estudo sobre 21 dos mais populares sites de distribuição desses programas na Dark Web. O levantamento revela que há pelo menos 6,3 mil pontos de comercialização e 45 mil “produtos” listados nos cantos mais sombrios da rede.

Gráfico da Carbon Black mostra a média anual que um vendedor de software comercializa por ano em cada país

Na temporada passada, foram registrados US$ 249 milhões (perto de R$ 805 milhões) em transações de aplicativos de ransomware, enquanto este ano esse número chegou a US$ 6,2 bilhões (cerca de R$ 20 bilhões). Alguns vendedores estão faturando mais de US$ 100 mil por ano (R$ 323 mil), quantia superior aos US$ 69 mil (R$ 223 mil) que ganham em média os mais bem-sucedidos vendedores de utilitários legítimos nos Estados Unidos, de acordo com o PayScale.com.

As razões dessa alta

O ransomware está por aí há um bom tempo, contudo, foi com a proliferação em massa da Bitcoin e do navegador Tor é que os bandidos — e os aspirantes — encontraram maneiras mais fáceis de praticar os crimes.

Com a criptomoeda e o browser é fica mais fácil contratar vários tipos de serviços relacionados, a exemplo de suporte de ações de alto risco e transações de baixa confiança por meio de sistemas de custódia. O amadurecimento das inovações no mercado paralelo criou uma economia underground dedicada ao assunto na Dark Web.

Oferta de serviços para ransomware na Dark Web

Para compreender ainda melhor alta do ransomware, some a esse cenário a falta de controles de segurança fundamentais, a exemplo de backups, testes, restauração, correção, visibilidade e estratégias de prevenção desatualizadas — sem contar as vítimas que sequer sabem do que se trata o assunto.

Redes Linux podem ser alvo de próximos ataques

O levantamento feito pela Carbon Black também listou “tendências” para os próximos anos nesse mercado paralelo do ransomware. Segundo a pesquisa, os sistemas Lynux estão na mira e a ideia dos criminosos é pedir ainda mais dinheiro a cada ataque. Por exemplo, os bandidos devem realizar mais injeções SQL para infectar servidores e cobrar um preço de resgate mais elevado. Isso já aconteceu com o serviço em nuvem MongoDB no início deste ano.

Outras projeções:

O ransomware se tornará mais segmentado, em busca de determinados tipos de arquivos e empresas específicas, como firmas de advocacia, de saúde e de impostos. Já existe software para atacar negócios de forma que os pequenos ajustes no código possam atingir arquivos críticos e proprietários, como projetos do AutoCAD. Isso ajuda os criminosos se ficar fora do radar de muitas linhas defensivas.
Ao invés de criptografar os arquivos e enviar a chave para descriptografá-los, algumas amostras do levantamento revelaram que alguns bandidos estão extraindo o conteúdo antes de embaralhar o acesso. Isso aumenta o estresse em grandes empresas, porque os dados também podem ser comercializados no mercado paralelo.
Já há indícios de uso do ransomware como “cortina de fumaça”. Ou seja, um adversário podem simular um ataque dessa natureza e enquanto a equipe de defesa tenta descriptografar o arquivo os atacantes estão na verdade realizando outras ofensivas a um sistema.
O ransomware deve aumentar a cada anos nas redes sociais na forma de um malware como o Koobface, conteúdo compartilhado em forma de links maliciosos em sites como o Facebook
Não pague ransomware
Como dá para notar, o assunto é sério e é necessário saber o que fazer para não contribuir com a disseminação dessa prática. O TecMundo recomenda que você não pague ransomware. O mercado do crime virtual gera bilhões de dólares anualmente pelo mundo e só no Brasil, em 2016, esse número foi US$ 32 bilhões.

Em 2016, a internet mundial ficou impactada quando um mega-ataque à empresa de DNS Dyn levou vários serviços online a ficarem inacessíveis. Na ocasião, o ataque DDoS utilizou uma botnet chamada Mirai para sobrecarregar a companhia e criar um efeito dominó na rede. Agora, uma ameaça muito pior está se preparando para criar estragos ainda maiores, como alertam especialistas.

A Mirai era uma rede de dispositivos conectados controlados remotamente. A ideia era bem simples: varrer a internet procurando câmeras, geladeiras, fogões, lixeiras e basicamente todo tipo de objeto conectado (a famosa Internet das Coisas) que não tivesse a proteção adequada. O sistema procurava esses aparelhos e testava combinações de login e senha padrão de fábrica ou estáticas para tomar controle e utilizá-los em ataques em massa como o que atingiu a Dyn.

A nova ameaça, descoberta pela empresa de segurança chinesa Qihoo 360 e pela israelense CheckPoint, tem potencial para ser muito pior. Chamada tanto de “Reaper” quanto de “IoT Troop”, essa rede vai além de procurar por essas credenciais padrão de fábrica: ela usa técnicas para hackear esses objetos conectados mesmo sem saber a combinação de login e senha.

A botnet Reaper foi criada com base no código da Mirai, mas o potencial para danos é ainda maior. A revista Wired dá uma explicação ótima sobre a diferença: “É a diferença entre apenas ver se a porta está destrancada e arrombar fechaduras para entrar em uma casa”. Esse método novo já arrebanhou mais de 1 milhão de dispositivos, que estão prontos para serem usados em algum ataque. E o número só cresce.

Ainda não há registros de um ataque usando a rede Reaper, mas seu potencial é imenso, podendo deixar para trás o impacto causado pela Mirai, justamente pela capacidade de hackear dispositivos com um nível adequado de proteção.

Segundo a CheckPoint, o malware já tem ferramentas para dominar roteadores D-Link, Netgear e Lynksys, além de câmeras conectadas vendidas por marcas como Vacron, GoAhead e AVTech. Muitas das vulnerabilidades usadas, no entanto, já foram corrigidas pelas fabricantes, mas não é um hábito do consumidor comum atualizar o firmware de seus eletrônicos.

A questão que resta é saber qual é o objetivo das pessoas ainda não identificadas por trás da Reaper. A rede ainda não foi usada para ataques, mas os aparelhos infectados por ela podem receber novos códigos para serem utilizados para diversos objetivos. Isso dito, vários dos dispositivos não servem para muito mais do que munição para DDoS, o que gera a pergunta sobre qual é o alvo. “Nós não sabemos se eles querem apenas criar caos global; eles têm algum alvo ou indústria que querem derrubar?”, pergunta Maya Horowitz, diretora da equipe de pesquisas da CheckPoint.

O berço brasileiro dos crackers banker. O lugar onde nasceram os piratas de computador no Brasil. Estamos na cidade de Parauapebas, Sudeste do Pará. distante 652 km da capitalBelém.

No inicio dos anos 2000, Parauapebas-PA foi várias vezes alvo de ações da Polícia Federal. A maioria dos cibercriminosos presos, como de praxe foram soltos voltaram a cometer o mesmo tipo de ataque virtual.

É o caso do cracker Adalberto Monteiro de Oliveira, o Sarita, e da mulher dele, Monique Soares. Os dois, eram foragidos da Justiça. Ela, já tinha sido presa duas vezes. Ele, três vezes na época, ao ser abordado pela polícia (em 2005) Adalberto teria resistido a prisão e foi baleado, fugiu e ambos foram presos novamente em 2006. Nesse sentido podíamos perceber a fragilidade de leis para a internet desde sempre.

Pioneiro cibercriminoso bancário

Fábio Florêncio Silva, considerado o primeiro hacker banker do Brasil foi preso (já tinha sido presos duas vezes antes) em Parauapebas no ano de 2005, assim como Adalberto eMonique, ele também foi preso e solto outras vezes. Com ele foi apreendido na época um carro deR$ 100 mil comprado, segundo a polícia, com dinheiro dos golpes. Fábio Florêncio Silva teria trabalhado como técnico da Vale do Rio Doce em Carajás (em 1999) juntamente com Ataíde Evangelista (outro cibercriminoso) conhecido na época como “Gênio da Informática”, que automatizou o programa hacker “Disney” e causaram prejuízos em diversas instituições bancárias (ao menos 100 milhões), os golpes virtuais teriam começado no Banco Itaú em 1998 e durou até2000, quando ele reforçou a segurança. Depois foi a vez do Banco do Brasil, Caixa Econômica dentre outros bancos.

“Esse dinheiro escorrega da mão da gente como se fosse água. A maioria destrói em farras, noitadas”, dizia Fabio.

“Existem vários Ataídes cometendo o mesmo crime”, disse Ataíde ao ser preso em Marabá-PA.

Bancos tinham medo de vazar informações

Em uma época que a internet era muito insegura os bancos temiam que suas imagens fosse jogadas na lama, e dificultavam o trabalho da polícia escondendo fatos e com isso ajudando indiretamente os cibercriminosos.

Modo de agir dos cibercriminosos de Parauapebas

A organização cibercriminosa da cidade paraense era comandada por Antônio Francisco Fernandes de Souza, que solicitou a criação dos programas de computador capazes de roubar dados, e os amigos Fábio Florêncio Silva (que já praticava crimes informáticos e era recrutado sempre por quadrilhas virtuais) e Ataíde Evangelista que usava seus conhecimentos técnicos.

O que interessava a quadrilha interestadual de cibercriminosos com base em Parauapebas-PA, era número de conta bancária e senha de cartão – 20 milhões era o número de brasileiros cadastrados para acessar bancos por computador na época –. Para dar o golpe, o pirata manda um e-mail. Um correio eletrônico, com um texto chamativo. Em busca de mais informações, a vítima clica no endereço sugerido. Aparece então a tela falsa, com espaço para numero de conta e senha. Os dados que a vitima envia vão direto para o computador do pirata. (Golpe usado até os dias atuais).

O piratas também atacavam usando um programa espião, conhecido como Cavalo de Tróia. Pelo e-mail, ele mandava uma mensagem com um arquivo anexado. Uma foto, um cartão virtual por exemplo. Quando o e-mail é aberto, o espião se instalava, captura tudo o quer for digitado e manda para o pirata, inclusive conta e senha, assim que a vitima acessa a página verdadeira do banco. (Também usado até hoje).

Cada programa de invasão era vendido por até R$ 15 mil.

Quem comprava o programa invasor era conhecido como pirata. É ele quem disparava (phishing) e-mails à caça de vítimas. Da quadrilha também fazem parte os aliciadores – os que atraem clientes de bancos para participar do esquema. Na conta desses clientes era depositado o dinheiro desviado de vitimas.

Quarenta clientes de bancos que emprestaram contas responderam a inquérito em São Paulo na época.

“De 10 a 20% do valor que seria creditado na conta corrente era destinado para esse titular da conta que emprestava, alugava cartão e senha bancária”, disse Fábio Alcântara, delegado.

Na época não existia uma lei específica para crimes de internet, Fábio Florêncio, o homem que implantou os golpes eletrônicos, respondeu por furto e formação de quadrilha.

“Não aconselho ninguém a fazer isso não. O futuro é isso aqui”, falava Fábio.

As operações que caçaram os crackers de Parauapebas.

A primeira operação ocorreu em 2001 denominada de ‘Cash Net‘ surpreendeu os habitantes da cidade paraense, nunca uma operação do tipo tinha sido realizada. Em 2003 ocorreu a operação ‘Cavalo de Troia‘ e em 2004 a ‘Cavalo de Troia II‘ aconteceu também em outros estados, já que os cibercriminosos de Parauapebas fugiam para outros lugares.

A partir dessas ações também surgiram outros desdobramentos como as operações ‘Pégasus I e II‘ em 2005 e ‘Replicante‘ em 2008.

Curiosidades

Os habitantes de Parauapebas chamavam os crackers de ‘batatas’ porque alguns mal sabiam operar o Windows e criaram o site batatas.com para se comunicar.

Na época não havia leis específicas para crimes virtuais, os presos eram soltos e voltavam a praticar os crimes.

Pará, Maranhão, Ceará, Goiás, Piauí e Tocantins eram os estados de ondem agiam a quadrilha.

De 80 a 100 milhões é o tamanho estimado do prejuízo dado pelos crackers paraenses (os números não são precisos).

Vários menores de idade foram presos, e a idade média dos adultos era de 20 a 25 anos na época.

Muitos crackers usavam lan houses para praticar seus crimes.

Wellington Patrick Borges Souza foi preso novamente em 2011 após criar uma nova quadrilha de criminosos virtuais bancários, ele era integrante da quadrilha que foi presa em 2004 na operação cavalo de troia.

Ataíde Evangelista era um ‘robin hood virtual’ chegava a roubar de um para dar a outro ‘necessitado’. Não tinha curso superior na área de TI era um autodidata.

As vítimas começaram a sugerir a contratação de hackers para defender os bancos.

Em 2007 a justiça condenou 65 integrantes da quadrilha em primeira instância. Fábio Florêncio Silva pegou 19 anos, Adalberto Monteiro pegou 12 anos e Ataíde Evangelista pegou 17 anos e o ‘chefe’ da quadrilha Antônio Francisco Fernandes de Souza pegou 21 anos de prisão.

Os crackers de Parauapebas-PA foram os primeiros a serem condenados por crimes virtuais no Brasil (2007), abrindo caminho para punir fraudes virtuais.

Até hoje (2017 ano que foi feito essa matéria) a polícia continua prendendo crackers oriundos de Parauapebas (Cidade prodígio?) vide operação Stalker realizada em Julho de 2017.

A partir dessa organização cibercriminosa que surgiu em Parauapebas/PA, diversas outras surgiram pelo Brasil.

A Agência Nacional de Energia Elétrica (ANEEL) aprovou, na última terça-feira (24), o aumento de 42,8% para o valor do patamar 2 da bandeira tarifária vermelha. O que isso significa? A taxa extra cobrada nas contas de luz quando a bandeira for acionada vai passar de R$ 3,50 paraR$ 5 a cada 100 kWh consumidos. Ou seja: a conta vai ficar bem mais cara.

Em forma de protesto, o site oficial da ANEEL amanheceu com uma mensagem da Anonymous, com assinatura de Morpheus. “A Eletrobras é a maior produtora de energia juntamente da usina de Itaipu. Hoje, o governo atua no sentido de sucatear Estatais o quanto pode, demitindo milhares de trabalhadores, justamente para forjar uma justificativa para a privatização”, escreveu o hacker. “O resultado? O aumento de 40% na sua conta de energia elétrica. Além disso, aumentam a tarifa também no mês onde as famílias mais gastam, por conta da temperatura elevada, com ventilador e ar-condicionado”.

O hacker teve sucesso em alterar um domínio da Agência Nacional de Energia Elétrica, incluindo uma imagem da Anonymous e o texto.

“Além da exploração ambiental de forma predatória, que dá base ao sistema capitalista, se relaciona com a diminuição dos índices pluviométricos e o principal fator: que o governo do vampirão (leia-se Michel Temer) quer garantir o lucro dos empresários às custas dos trabalhadores que, ao contrário desses exploradores, só têm aumento na sua manutenção de vida e nos salários fica a desejar. Subverta! Não vamos pagar a conta! Desobediência civil já!”, finalizou o hacker.

A célula da AnonOpsBR, um dos braços da Anonymous no Brasil, twittou a invasão: “Olá, Aneel e Sr. Presidente @MichelTemer temos um recado para os senhores. Com Amor, O POVO #Anonymous”.

Prezados Clientes/Parceiros

Em reunião com representantes da Telbrax, agora Vogel Telecom, no qual somos parceiros de negócios há 5 anos, nos foram apresentadas condições imperdíveis para clientes da CITIS com demanda de Link dedicado e Voz.

Optando pela migração ou contratação, a Vogel Telecom garante as seguintes vantagens:

Conexão Dedicada
Estabilidade de Sinal
Alta Disponibilidade
Velocidade Garantida – download e upload
Suporte 24×7

Provavelmente receberão o contato de um dos consultores da Vogel Telecom, então solicitamos que informem ser cliente da CITIS e nos comunique, então trabalharemos em conjunto para conseguir condições diferenciadas com melhor custo/benefício.

Havendo interesse, contate-nos, para que possamos intermediar a negociação.

Atenciosamente.

Comercial – CITIS

Continuaremos buscando soluções para ofertar a nossos clientes que permitam o custo interessante, mas sempre priorizando, qualidade e disponibilidade.

Nós já vimos dois ataques de resgate em grande escala neste ano – estamos falando sobre o infame WannaCr y e ExPetr (também conhecido como Petya e NotPetya). Parece que um terceiro ataque está em ascensão: o novo malware é chamado Bad Rabbit – pelo menos, esse é o nome indicado pelo site darknet vinculado na nota de resgate.

O que é conhecido no momento é que o Ransomware Bad Rabbit infectou vários grandes meios de comunicação russos, com a agência de notícias Interfax e Fontanka.ru entre as vítimas confirmadas do malware. O Aeroporto Internacional de Odessa informou sobre um ataque cibernético em seu sistema de informação, embora seja o mesmo ataque ainda não ser claro.

Os criminosos por trás do ataque Bad Rabbit estão exigindo 0,05 bitcoin como resgate – isso é aproximadamente $ 280 à taxa de câmbio atual.

De acordo com nossas descobertas, o ataque não usa explorações. É um ataque drive-by: as vítimas baixam um falso instalador Adobe Flash de sites infectados e iniciam manualmente o arquivo .exe, infectando-se assim. Nossos pesquisadores detectaram uma série de sites comprometidos, todas as notícias ou sites de mídia.

Se é possível recuperar arquivos criptografados por Bad Rabbit (seja pagando o resgate ou usando alguma falha no código do ransomware) ainda não é conhecido. Os especialistas em antivírus da Kaspersky Lab estão investigando o ataque e estaremos atualizando esta publicação com suas descobertas.

De acordo com nossos dados, a maioria das vítimas desses ataques está localizada na Rússia. Também vimos ataques semelhantes, porém menos, na Ucrânia, Turquia e Alemanha. Este ransomware infectou dispositivos através de uma série de sites de mídia russo hackeados. Com base em nossa investigação, este é um ataque direcionado contra redes corporativas, usando métodos semelhantes aos usados ??no ataque do ExPetr. No entanto, não podemos confirmar que está relacionado ao ExPetr. Continuamos nossa investigação. Enquanto isso, você pode encontrar mais detalhes técnicos nesta publicação na Securelist .

Os produtos da Kaspersky Lab detectam o ataque com os seguintes veredictos: UDS: DangerousObject.Multi.Generic (detectado pela Kaspersky Security Network), PDM: Trojan.Win32.Generic (detectado pelo System Watcher) e Trojan-Ransom.Win32.Gen.ftl.

Usuários dos produtos Kaspersky Lab:

Certifique-se de que o System Watcher e o Kaspersky Security Network funcionem. Caso contrário, é essencial ativar esses recursos.

Outros usuários:

Bloqueie a execução de arquivos c: \ windows \ infpub.dat e c: \ Windows \ cscc.dat.
Desative o serviço WMI (se for possível no seu ambiente) para impedir que o malware se espalhe pela sua rede.

Dicas para todos:

Faça backup de seus dados.
Não pague o resgate.

A Anon H4, uma das células mais ativas da Anonymous no Brasil, divulgou um documento com informações pessoais — em sua maioria, públicas — do senador Aécio Neves (PSDB) na madrugada desta terça-feira (24). Dias antes, a célula havia derrubado o site pessoal do senador.

“Nós avisamos, não iremos descansar até que você e seus aliados caiam. Que tal vocês ligarem para ele, mandarem e-mails para ele e seus amiguinhos? #OpForaAécio”, escreveu a Anon H4 na página oficial do Facebook.

O exposed é um dos modus operandi mais antigos de células Anonymous. As informações mostradas podem permitir desde uma avalanche de emails e ligações ao exposto, até um trabalho mais refinado para phishing direcionado, por exemplo.

Anteriormente, quando a célula derrubou a página pessoal do senador, ela divulgou a seguinte mensagem: “Indignados com a atual situação política do Brasil, com os votos favoráveis ao corrupto senador Aécio Neves, vamos iniciar uma série de ataques aos sites de todos aqueles que resolveram ferrar o brasileiro devolvendo o poder ao parlamentar corrupto”, publicou a célula no Facebook. “Embora seja algo que, para muitos, não soluciona o problema, estamos aqui para demonstrar nossa força, nossa indignação. Esperem por nós”.

O senador Aécio Neves estava afastado do mandato no Senado desde setembro, por determinação da Primeira Turma do STF. Aécio foi denunciado pela Procuradoria Geral da República pelos crimes de corrupção passiva e obstrução de Justiça. Na terça-feira (17), indo contra a decisão do STF, o Senado derrubou a decisão de afastar Aécio e devolveu os poderes do mandato.

exposed

Segundo pesquisadores da ESET, cibercriminosos estão infectando computadores Apple Mac com o malware Proton; dessa maneira, comprometendo o software Elmedia Player e o Folx. A injeção do malware aconteceu na versão gratuita do software disponível no site oficial de desenvolvedor da Eltima — e o Proton entra no Mac sem disparar qualquer alerta antivírus.

A desenvolvedora Eltima reconheceu a presença do malware e comentou o seguinte, como trouxe o HackRead: “No dia 19 de outubro de 2017, fomos informados pela ESET de que nossos servidores foram hackeados e os apps Folx e Elmedia Player estavam distribuindo malware. Apenas as versões dos softwares presentes em nosso site estavam infectadas. Contudo, o mecanismo integrado de atualização automática não foi afetado”.

O malware Proton era vendido na Dark Web em 2016 por alguns bitcoins. Na época, a ferramenta maliciosa era buscada por muitos cibercriminosos por sua capacidade de vigilância e controle: ao infectar uma máquina, o Proton tem controle total do dispositivo, podendo roubar senhas, acompanhar troca de mensagens e vídeos em tempo real pela webcam, baixar arquivos etc.

A única maneira de limpar o Proton de um computador infectado é a reinstalação completa do sistema operacional. Apesar do problema ser corrigido no servidor da Elmedia, fica o alerta para usuários não realizarem downloads em sites terceiros para manter a integridade do computador.