Foto: divulgação ESET

Credencial roubada é o ‘artigo’ mais valioso do cibercrime

Nova pesquisa Flashpoint mostra que os cibercriminosas estão se concentrando mais na aquisição de credenciais roubadas para burlar as medidas de segurança
Da Redação
12/03/2023

Uma das mercadorias mais valiosas no submundo do crime cibernético são as credenciais roubadas, pois podem fornecer aos invasores acesso a redes, bancos de dados e outros ativos sensíveis das organizações. Uma prova disso é que, somente no ano passado, foram relatadas 4.518 violações de dados e nada menos de 22,6 bilhões de credenciais e registros pessoais roubados ou expostos, que variaram de contas e informações financeiras a e-mails e números de CPF, de acordo com um novo relatório da Flashpoint. 

Segundo o estudo da empresa de segurança cibernética, mais de 60% dessas credenciais e outros dados foram roubados de organizações do setor de tecnologia da informação, que geralmente hospedam dados para clientes de outros setores.

A Flashpoint, especializada em inteligência de ameaças cibernéticas, monitora constantemente os mercados, fóruns e outros canais de comunicação de criminosos cibernéticos. Até o momento, seu banco de dados de informações sobre ameaças inclui 575 milhões de postagens em fóruns ilegais, 3,6 bilhões de mensagens de bate-papo, 39 bilhões de credenciais comprometidas, 85 bilhões de credenciais exclusivas de e-mail/senha e mais de 2 bilhões de números de cartão de crédito que foram roubados e depois compartilhados entre cibercriminosos.

“A proliferação de dados obtidos ilegalmente oferece aos operadores de ameaças amplas oportunidades para contornar medidas e controles de segurança organizacional, capacitando grupos de ransomware como LockBit a manter dados para resgate, ou vendê-los ou expô-los em mercados ilegais”, diz o relatório.

Ainda de acordo com a empresa, a maioria das gangues de ransomware opera em um modelo baseado em serviço. O grupo paga afiliados para invadir redes, obter acesso administrativo e implantar seu ransomware para obter o pagamento de resgate. Muitos desses afiliados, no entanto, compram acesso a redes de outros cibercriminosos, conhecidos como provedores de acesso inicial, que geralmente dependem de credenciais roubadas para obter esse acesso, especialmente credenciais para serviços de acesso remoto, como VPNs e Remote Desktop Protocol (RDP).

O grupo de ransomware mais bem-sucedido no ano passado foi o LockBit, cuja atividade aumentou depois que outra notória gangue de ransomware chamada Conti encerrou suas operações em maio. A LockBit conseguiu atrair muitos dos ex-colaboradores do Conti renovando seu programa de afiliados com melhores “ofertas”.

No ano passado, a Flashpoint registrou 3.164 vítimas que as gangues de ransomware listaram publicamente, um aumento de 7% na comparação com o ano anterior. Com base nas tendências observadas para 2023, a empresa estima que o número de vítimas este ano deve superar o número de 2022. 

Esse crescimento, segundo a empresa, se deve às estratégias adotadas pelas gangues de ransomware, que cada vez mais compartilham códigos, além de táticas, ferramentas e procedimentos, graças, em grande parte, à proliferação dos mercados ilegais. Embora vários mercados ilegais tenham sido derrubados ou fechados espontaneamente, como o SSNDOB, Raid Forums e Hydra, outros rapidamente surgiram para ocupar seus lugares. Os cibercriminosos geralmente mantêm canais de comunicação alternativos como o Telegram, onde podem se manter informados e anunciar novos mercados alternativos após o desaparecimento de um. 

Apenas no ano passado, a Flashpoint registrou o surgimento de 190 novos mercados ilícitos. Um fórum anunciado como substituto do Raid aumentou de 1.500 membros em março para mais de 190 mil em novembro de 2022. “Fraudadores, corretores [brokers] de acesso inicial, grupos de ransomware e operadores de ameaças persistentes avançadas [APT] recorrem a esses mercados, lojas e fóruns para negociar credenciais roubadas e registros pessoais, que são aproveitados em uma variedade de atividades ilícitas”, diz a empresa.

Ainda de acordo com o relatório, as violações de dados são uma das principais fontes de credenciais expostas. Embora a principal causa de violações de dados individuais seja o hacking, esse método é responsável apenas por 28% das credenciais e registros vazados que chegam aos mercados clandestinos. Mais de 71% das credenciais e registros pessoais vazaram de apenas 5% das violações de dados e foram resultado de configurações incorretas de bancos de dados e serviços.

Uma das mercadorias mais valiosas no submundo do crime cibernético são as credenciais roubadas, pois podem fornecer aos invasores acesso a redes, bancos de dados e outros ativos sensíveis das organizações. Uma prova disso é que, somente no ano passado, foram relatadas 4.518 violações de dados e nada menos de 22,6 bilhões de credenciais e registros pessoais roubados ou expostos, que variaram de contas e informações financeiras a e-mails e números de CPF, de acordo com um novo relatório da Flashpoint. 

Segundo o estudo da empresa de segurança cibernética, mais de 60% dessas credenciais e outros dados foram roubados de organizações do setor de tecnologia da informação, que geralmente hospedam dados para clientes de outros setores.

A Flashpoint, especializada em inteligência de ameaças cibernéticas, monitora constantemente os mercados, fóruns e outros canais de comunicação de criminosos cibernéticos. Até o momento, seu banco de dados de informações sobre ameaças inclui 575 milhões de postagens em fóruns ilegais, 3,6 bilhões de mensagens de bate-papo, 39 bilhões de credenciais comprometidas, 85 bilhões de credenciais exclusivas de e-mail/senha e mais de 2 bilhões de números de cartão de crédito que foram roubados e depois compartilhados entre cibercriminosos.

“A proliferação de dados obtidos ilegalmente oferece aos operadores de ameaças amplas oportunidades para contornar medidas e controles de segurança organizacional, capacitando grupos de ransomware como LockBit a manter dados para resgate, ou vendê-los ou expô-los em mercados ilegais”, diz o relatório.

Ainda de acordo com a empresa, a maioria das gangues de ransomware opera em um modelo baseado em serviço. O grupo paga afiliados para invadir redes, obter acesso administrativo e implantar seu ransomware para obter o pagamento de resgate. Muitos desses afiliados, no entanto, compram acesso a redes de outros cibercriminosos, conhecidos como provedores de acesso inicial, que geralmente dependem de credenciais roubadas para obter esse acesso, especialmente credenciais para serviços de acesso remoto, como VPNs e Remote Desktop Protocol (RDP).

O grupo de ransomware mais bem-sucedido no ano passado foi o LockBit, cuja atividade aumentou depois que outra notória gangue de ransomware chamada Conti encerrou suas operações em maio. A LockBit conseguiu atrair muitos dos ex-colaboradores do Conti renovando seu programa de afiliados com melhores “ofertas”.

No ano passado, a Flashpoint registrou 3.164 vítimas que as gangues de ransomware listaram publicamente, um aumento de 7% na comparação com o ano anterior. Com base nas tendências observadas para 2023, a empresa estima que o número de vítimas este ano deve superar o número de 2022. 

Esse crescimento, segundo a empresa, se deve às estratégias adotadas pelas gangues de ransomware, que cada vez mais compartilham códigos, além de táticas, ferramentas e procedimentos, graças, em grande parte, à proliferação dos mercados ilegais. Embora vários mercados ilegais tenham sido derrubados ou fechados espontaneamente, como o SSNDOB, Raid Forums e Hydra, outros rapidamente surgiram para ocupar seus lugares. Os cibercriminosos geralmente mantêm canais de comunicação alternativos como o Telegram, onde podem se manter informados e anunciar novos mercados alternativos após o desaparecimento de um. 

Apenas no ano passado, a Flashpoint registrou o surgimento de 190 novos mercados ilícitos. Um fórum anunciado como substituto do Raid aumentou de 1.500 membros em março para mais de 190 mil em novembro de 2022. “Fraudadores, corretores [brokers] de acesso inicial, grupos de ransomware e operadores de ameaças persistentes avançadas [APT] recorrem a esses mercados, lojas e fóruns para negociar credenciais roubadas e registros pessoais, que são aproveitados em uma variedade de atividades ilícitas”, diz a empresa.

Ainda de acordo com o relatório, as violações de dados são uma das principais fontes de credenciais expostas. Embora a principal causa de violações de dados individuais seja o hacking, esse método é responsável apenas por 28% das credenciais e registros vazados que chegam aos mercados clandestinos. Mais de 71% das credenciais e registros pessoais vazaram de apenas 5% das violações de dados e foram resultado de configurações incorretas de bancos de dados e serviços.

Outra forma popular de roubar credenciais de usuários é o phishing e 2022 foi um ano recorde no envio de páginas de phishing registradas pela Flashpoint. Essa atividade também foi comoditizada com kits de phishing sendo rotineiramente disponíveis para compra e novas técnicas sendo desenvolvidas. Um exemplo é o EvilProxy, uma plataforma de phishing como serviço que usa a abordagem  man-in-the-middle — ou adversary-in-the-middle (AiTM), como também é conhecida —  para interceptar credenciais de login, bem como tokens de autenticação multifator.

Veja isso
Ataque de BEC rouba credenciais usando página da Evernote
Milhares de sites são sequestrados usando credenciais de FTP

Programas de malware, em particular ladrões de informações que podem extrair credenciais de login salvas em navegadores e outros aplicativos, também estão em alta demanda em fóruns clandestinos. Juntamente com os ladrões comerciais existentes, como Raccoon, RedLine e Vidar, novos programas desse tipo entraram no mercado em 2022, incluindo AcridRain e TyphonStealer.Finalmente, as explorações de vulnerabilidades conhecidas também são uma mercadoria de alto valor e podem levar a violações de dados. Os analistas do Flashpoint registraram 766 instâncias em que cibercriminosos discutiram vulnerabilidades por identificador CVE (Common Vulnerabilities and Exposures) em fóruns clandestinos com preços para exploits confiáveis entre US$ 2.000 e US$ 4.000, mas chegando a US$ 10 mil para os mais avançados. 

Outra forma popular de roubar credenciais de usuários é o phishing e 2022 foi um ano recorde no envio de páginas de phishing registradas pela Flashpoint. Essa atividade também foi comoditizada com kits de phishing sendo rotineiramente disponíveis para compra e novas técnicas sendo desenvolvidas. Um exemplo é o EvilProxy, uma plataforma de phishing como serviço que usa a abordagem  man-in-the-middle — ou adversary-in-the-middle (AiTM), como também é conhecida —  para interceptar credenciais de login, bem como tokens de autenticação multifator.

Programas de malware, em particular ladrões de informações que podem extrair credenciais de login salvas em navegadores e outros aplicativos, também estão em alta demanda em fóruns clandestinos. Juntamente com os ladrões comerciais existentes, como Raccoon, RedLine e Vidar, novos programas desse tipo entraram no mercado em 2022, incluindo AcridRain e TyphonStealer.Finalmente, as explorações de vulnerabilidades conhecidas também são uma mercadoria de alto valor e podem levar a violações de dados.

Os analistas do Flashpoint registraram 766 instâncias em que cibercriminosos discutiram vulnerabilidades por identificador CVE (Common Vulnerabilities and Exposures) em fóruns clandestinos com preços para exploits confiáveis entre US$ 2.000 e US$ 4.000, mas chegando a US$ 10 mil para os mais avançados. 

Compartilhar:

Últimas Notícias