O Mantis, a plataforma de DRP (digital risk protection) da ISH Tecnologia, localizou na dark web 1.548 acessos remotos de sistemas brasileiros sendo comercializados. A plataforma da empresa varre a internet em busca de informações sensíveis de seus clientes, nos níveis de surface, deep e dark web, buscando em especial dados e ativos que os clientes cadastram para monitoramento. O público-alvo para essas credenciais é constituído por outros hackers interessados em aplicar golpes de ransomware em pessoas ou empresas.
Os acessos localizados pelo Mantis são na verdade conjuntos de dados que estão num grande marketplace de credenciais. Segundo Ulysses Monteiro, gerente de soluções da plataforma, há mais de 1,3 milhão de credenciais à venda nesse marketplace. Os conjuntos de dados, ele explica, exibem parte do IP acessado pela credencial: os cibercriminosos informam os dois primeiros octetos (identificação da rede), por meio dos quais é possível determinar a quem pertence o bloco. É possível também determinar o país, estado da federação, sistema operacional que roda no endereço, velocidade da conexão nesse endereço, privilégios do usuário e preços que variam de US$ 4 a US$ 40, de acordo com o perfil da máquina ou servidor infectado.
Das máquinas infectadas no Brasil, 541 são de empresas, enquanto as outras pertencem a pessoas físicas, sendo principalmente computadores pessoais que são contaminados para dar acesso aos servidores de empresas. Monteiro explica que os resultados da investigação indicam a predominância de São Paulo e Bahia como os estados com mais endereços contaminados: “As máquinas estão sendo vendidas em um RDP Shop, um tipo de site de comercialização de acessos remotos a servidores já comprometidos. O valor é maior quando a máquina comprometida é de uma empresa considerada grande, com alto faturamento, ou com alto recursos computacionais de link e processamento”.
Veja isso
Expostos 1,9 milhão de RDPs e 2,5 milhões de bancos de dados
Ransomware russo derruba maior oleoduto dos EUA
O tipo de acesso comercializado mostra que muitas organizações no Brasil também estão expostas e sujeitas a passar pelos problemas que atingiram, duas semanas atrás, a Colonial Pipeline, operadora de um dos maiores oleodutos americanos. Ela foi paralisada por um ataque de ransomware que congelou suas operações por cinco dias e lhe custou um resgate de US$ 5 milhões segundo a agência de notícias Bloomberg.
Segundo informações coletadas pela equipe do Mantis, apenas neste mês de maio, 93 empresas já tiveram dados expostos por não pagamento de resgate. “Os principais vetores iniciais de um ataque de Ransomware são via RDP ou conexões de acesso remoto. Muitos grupos de ransonware terceirizam o que chamamos de comprometimento inicial, adquirindo sistemas já comprometidos para acesso, movimentação lateral e execução do processo de sequestro de dados por meio de criptografia”, conclui Ulysses Monteiro.
Com dados da assessoria de imprensa