No último ano, das 4,11 bilhões de credenciais detectadas pela plataforma Axur, 96,1% delas estavam expostas na Deep & Dark Web. Isso é o que mostra o Relatório de Atividade Criminosa Online 2022. Esse dado aponta para uma mudança drástica em comparação com as detecções do ano anterior, em que 98,2% das credenciais identificadas estavam em grandes vazamentos.
A mudança aponta para o crescimento dos marketplaces de credenciais corporativas, localizados na Deep & Dark Web. É hora de entender como os cibercriminosos operam esses marketplaces e como proteger as credenciais da sua empresa.
As credenciais são a alma da autenticação
Primeiramente, é importante entendermos porque as credenciais de uma empresa são tão visadas por cibercriminosos. Estudos apontam que as credenciais são o tipo de dados organizacionais mais rápido para os invasores colocarem as mãos. Tal informação é preocupante, uma vez que as credenciais corporativas referem-se a dados específicos ou ferramentas de autenticação necessárias para verificar a identidade de um usuário, autenticá-lo e conceder acesso a um sistema ou ID de rede.
Caso um invasor consiga uma credencial que não tenha sido bloqueada pelo proprietário ou pela equipe de segurança, ele terá acesso a uma porta capaz de comprometer toda a segurança de uma organização, movimentando-se lateralmente e escalando privilégios. Não por acaso, os mesmos estudos mostram que invasores podem acessar sistemas ou dados críticos em 85% das categorias de roubo de credenciais privilegiadas. Em resumo, podemos compreender que a existência de Marketplaces de credenciais deve-se a três pontos principais:
- Credenciais ainda são a forma mais comum de autenticação das empresas
- São o elo entre empresas, seus ativos e seus clientes
- São peças fundamentais nas violações de dados
Diante de tão grande relevância e potencial de lucros na exploração de credenciais, começamos a entender a existência de mercados dedicados à venda desses dados. Vejamos como eles funcionam e como a lucratividade acontece.
Como funcionam os marketplaces do cibercrime
A economia da Deep & Dark Web é movimentada principalmente por dois grupos: mercados ilegais e armazenamento de dados. O primeiro envolve a venda de diversos produtos e serviços ilegais, como drogas, armas, vale-presentes e cartões pré-pagos roubados. As movimentações e operações de tais atividades são feitas através de grupos no Telegram, WhatsApp e/ou fóruns da Deep & Dark Web, que permitem comunicação entre os criminosos. Já o segundo foca em dados confidenciais, como dados de cartões de crédito, detalhes de contas bancárias, métodos de cracking e credenciais corporativas.
Os marketplaces de credenciais existem há anos, funcionando como sites comuns. O funcionamento desses comércios é semelhante a qualquer site de comércio eletrônico, com filtros por produto, preço e compras por escrow. Além disso, os administradores desses sites incorporam avaliações e análises de usuários, para reforçar a autenticidade deles, assim como em um e-commerce comum..
Os valores das credenciais vendidas nesses sites mudam de acordo com o peso das credenciais. Em nossas análises observamos que dados de cartões de crédito podem ser encontrados por US$15, enquanto um passaporte pode custar até US$4.000. Os criminosos seguem o rastro da lucratividade para precificar seus produtos.
Mas afinal, quem opera esses marketplaces?
Essa é uma pergunta difícil de ser respondida com precisão, já que o próprio ambiente da Deep & Dark Web possibilita o anonimato. Sendo assim, esses comércios são operados por grupos que utilizam técnicas de segurança de ponta, capazes de ocultar suas identidades e a localização de seus servidores, tornando assim, praticamente impossível para as organizações legais interromper suas atividades.
Por isso, é fundamental trabalhar com um monitoramento na Deep & Dark Web, aliado a um time de especialistas em Cyber Threat Intelligence capaz de conduzir investigações sobre táticas, técnicas e procedimentos, além de apoiar a formulação mais assertiva de resposta a incidentes.
Danos causados pelo roubo de credenciais corporativas
A lucratividade do cibercrime com o mercado de credenciais roubadas é movimentada pelos prejuízos às organizações que são vítimas desses ataques. As consequências são inúmeras, tanto financeiras, como de reputação e até mesmo, ações judiciais. A saber:
- Custos de mitigação de roubo de credenciais: Mitigar e recuperar operações após ou durante um ataque envolve diversos custos para uma empresa. Uma pesquisa da Ponemon avaliou o custo médio anual para uma organização mitigar um incidente em US$ 6,6 milhões.
- Danos à reputação da marca: A reputação de uma marca é um dos ativos mais importantes para uma empresa. Ter credibilidade e confiança dos consumidores é essencial para qualquer empresa. Quando os criminosos conseguem obter credenciais corporativas, com inúmeras possibilidades de ataques, indiretamente ele passa a ter em mãos a reputação de uma empresa.
- Prejuízos ligados às leis de privacidade: A Lei Geral de Proteção de Dados tornou-se uma preocupação extremamente relevante para as empresas, pois responsabiliza as mesmas diante de infrações, vazamentos de dados e incidentes envolvendo a privacidade dos clientes e colaboradores. É uma preocupação extremamente relevante.
Além de utilizarem técnicas avançadas para esconder suas identidades e localizações, os criminosos também usam diferentes estratégias para obtenção de credenciais corporativas.
As principais fraudes contra as empresas
Os produtos fornecidos pelos vendedores dos marketplaces da Deep & Dark Web são geralmente obtidos através de ataques phishings, malwares, ransomwares, BEC – Business E-mail Compromise e, claro, os ataques de preenchimento de credenciais.
Os ataques de phishing são utilizados para roubar as credenciais de uma empresa, normalmente com sites falsos. As estratégias aplicadas são as já conhecidas, em que um site falso é projetado para se parecer com uma página de login legítima, como um site de banco on-line ou aplicativos. Para conduzir o usuário ao site falso, o invasor envia uma mensagem de spear phishing, de uma fonte aparentemente confiável, um banco, colega ou uma autoridade. Quando o usuário tenta fazer login no site de phishing, as credenciais são enviadas diretamente ao invasor.
Já com os ataques de ransomware, cibercriminosos conseguem obter as credenciais na primeira fase da invasão, onde a criptografia é aplicada para sequestrar os dados confidenciais da empresa, além de impedir o acesso às informações. A ação pode ser iniciada semelhante ao phishing, com um usuário clicando em um link falso, ou mesmo fazendo um download aparentemente confiável. Os prejuízos causados por ataques de ransomware são enormes anualmente, cerca de US$ 621 milhões só em 2021 e US$ 692 milhões em 2020, só em pagamento de resgate. Já os prejuízos envolvendo a paralisação das empresas chegam na casa dos bilhões.
Outra forma de roubar credenciais é através do comprometimento de um e-mail corporativo (BEC). Em 2021, essa estratégia representou 8% dos ataques cibernéticos mais aplicados contra organizações, de acordo com a Unitrends. Os cenários de aplicação podem variar, como, por exemplo:
- Fraudes do CEO: onde o golpista se passa pelo diretor ou executivo como o CEO ou CFO para persuasão da vítima.
- Comprometimento da conta de um colaborador: quando a conta de um colaborador da empresa é invadida e utilizada pelo cibercriminoso.
- Representação do procurador: estratégia onde o golpista se passa por um advogado para pressionar a vítima e obter as informações.
Os agentes de ameaças seguem focando seus ataques de BEC em regiões onde a implementação do MFA (Autenticação Multifator) ainda é fraca, como na América Latina, onde os ataques são bem sucedidos.
Outra forma de obter credenciais corporativas é através de malwares, softwares feitos para roubar dados da sessão do navegador, senhas armazenadas e outras informações confidenciais como cofres, carteiras de criptos e etc. Um exemplo de malware projetado para isso é o Oski, criado em 2019, escrito em C++. O Oski foi projetado para roubar todas esses exemplos de informações que já citamos aqui e utiliza duas técnicas de ofuscação, como criptografia de strings e carregamento dinâmico de DLLs e funções.
O Stealer Oski foi projetado para roubar dados confidenciais e sensíveis de aproximadamente 60 aplicativos diferentes. Apesar de antigo, o Oski é um exemplo de como os cibercriminosos utilizam malwares para roubar credenciais corporativas.
Por fim, o preenchimento automático de credenciais, uma estratégia com uma escala de uso preocupante. O ataque ocorre quando o cibercriminoso utiliza um bot para testar credenciais vazadas em outros sites, ou através das senhas mais utilizadas pelos usuários. Se bem sucedido, as credenciais podem ser colocadas como produtos em marketplaces da Deep & Dark Web.
Tais estratégias são apenas algumas das formas utilizadas por cibercriminosos para conseguir as credenciais corporativas e alimentar os marketplaces. Apesar da análise curta que fizemos, essas informações são fundamentais, uma vez que os criminosos aproveitam todas as vulnerabilidades possíveis para conseguir credenciais. Além dos exemplos de produtos e estratégias que apresentamos aqui, outros canais são utilizados como streaming de conteúdo que divulga fraudes, venda de curtidas e seguidores falsos, propagandas fraudulentas, etc.
Não à toa, os dados apontam para a urgente necessidade de identificação dessas atividades e adoção de estratégias mais eficazes no combate ao comércio de credenciais corporativas, como veremos a seguir.
Identificando credenciais roubadas
Da mesma forma que os cibercriminosos aplicam táticas para roubar e vender credenciais corporativas, os profissionais de segurança também se empenham em analisar e utilizar estratégias para identificar esses mercados ilegais, monitorando a Deep & Dark Web. Conheça alguns exemplos:
Snowball Sampling
Snowball Sampling é uma metodologia utilizada para localizar serviços ocultos na Deep & Dark Web, incluindo coleta de dados e fluxos de CTI. Esse método consiste em uma arquitetura de rastreador da web que usa um URL raiz e rastreia o site em busca de links de saída para outros sites. É bem semelhante à forma como os primeiros rastreadores da web funcionavam, sendo muito utilizada para fóruns da Deep & Dark Web, onde informações sobre vazamentos, roubos e comércio de dados estão presentes.
Monitoramento de sites com inteligência OSINT
Outra maneira de identificar credenciais e dados roubados é através do monitoramento de sites obscuros. A inteligência de código aberto utiliza estratégias avançadas para identificar os ataques, vulnerabilidades e ataques bem-sucedidos. Através do reconhecimento, fontes de informação, coleta, processamento e análise de dados, os profissionais de segurança podem obter informações contextuais, realizando análises mais precisas sobre o cenário de ameaças.
Análises de mídias sociais
Assim como a surface web, a Deep & Dark Web também possui suas mídias sociais, mais precisamente os fóruns, utilizados para comunicação e publicação de dados e serviços roubados. Sendo assim, uma boa análise de fóruns da Deep & Dark Web pode fornecer informações importantes sobre as tendências atuais de ataques, dados recém coletados e as estratégias dos cibercriminosos que operam no ambiente da Deep & Dark Web.
Essas estratégias, assim como muitas outras, compõem a inteligência de ameaça, utilizada para o monitoramento, combate e proatividade das ações criminosas envolvendo dados corporativos na Deep & Dark Web.
Dicas para proteger seus negócios
Existem alguns caminhos e estratégias que podem ser adotadas para trabalhar a prevenção e evitando que as credenciais da sua empresa acabem compondo as prateleiras dos marketplaces da Deep & Dark Web.
Utilizar senhas exclusivas para todas as contas e sistemas
Parece óbvio, mas é sempre importante reforçar o uso de senhas exclusivas para cada conta e sistema diferentes. Apesar de óbvio, esse ainda é um grande desafio para as organizações e colaboradores. Incentivar o uso de um cofre de senhas pode ser uma boa alternativa para mitigar esse problema, evitando a reutilização de senhas para aplicativos diferentes.
Realize o gerenciamento de patches
O gerenciamento de patches é essencial para a segurança das empresas, principalmente para lidar com ameaças como o roubo de credenciais. Sendo assim, desenvolva uma estratégia de gerenciamento de patches, garantindo que todas as atualizações dos sistemas estejam em dia.
Ativação do MFA
A autenticação de múltiplo fator pode impedir a maioria dos ataques de controle, além de adicionar uma camada extra na proteção de acessos. Entretanto, o MFA não é infalível e os cibercriminosos podem interceptar, falsificar e quebrar esse sistema.
O que fazer se um vazamento ocorrer?
Mesmo com todas as medidas de proteção, não é possível impedir completamente uma exposição de dados. Sobretudo, quando falamos de credenciais corporativas, estamos falando de variáveis que, muitas vezes, atingem milhares de colaboradores e suas experiências pessoas.
Seja através de uma exposição acidental ou criminosa, é essencial contar com um monitoramento de riscos fora do perímetro, com tecnologias de inspeção e detecção ágeis o suficiente para que a reação seja imediata.
Soluções especializadas como o Monitoramento Deep & Dark Web da Axur permitem que a detecção aconteça nos principais grupos, canais e fóruns fechados e não indexados da web, com tecnologia para automatizar o tratamento dessas ameaças.
Além disso, o Axur Research Team - ART da Axur é especialista em analisar, detectar e fornecer informações estratégicas para ações assertivas contra ameaças, oferecendo o apoio necessário inclusive na interação com criminosos, buscando a raiz do problema.
Conheça o Monitoramento Deep & Dark Web da Axur e saiba como monitorar e proteger a sua empresa de riscos como esse.
Referências
Authorities Seize Online Marketplace for Stolen Credentials
Stolen company credentials used within hours, study says
Credential stuffing is fuelling the dark web trade in customer log-ins
How credentials became an attacker’s easiest target
Collective dynamics of dark web marketplaces
5 Dark Web Marketplaces Security Professionals Need To Know About
How to Locate Dark Web Hacker Forums for Security Research
Produzir e espalhar informação acessível e democrática sobre cibersegurança, é nisso que acredito.