Recentemente uma ameaça às credenciais das organizações vem sendo notada como um grande risco comercial e a Outpost24 investigou como funciona e toda a operação dos conhecidos como Traficantes de Credenciais, ou Traffers, em seu relatório The Rising Threat of Traffers. Empresas de todos os setores enfrentam ameaças cibernéticas cada vez mais virulentas e sofisticadas toda semana, com um fluxo de ataque crescente, exaurindo as soluções comuns de segurança.
O setor de seguros vem se destacando em relação aos riscos, devido aos dados e ativos que possuem e que podem ser monetizados pelos Traffers, incluindo PII (informações de identificação pessoal).
O ataque é feito em fases:
O ecossistema de roubo de credenciais é composto por diferentes etapas, iniciando pela coleta de credenciais. Nesta etapa, são usadas muitas fontes e técnicas por parte dos atacantes, incluindo a infecção por malware (usando ladrões, trojans bancários, keyloggers, etc.), phishing (T1566), man-in-the-middle (T1557), força bruta (T1110), sequestro de DNS (T1584.002), exploração de vulnerabilidades (T1203), entre outras ações.
A fase seguinte consiste na filtragem e extração; a terceira etapa em validação; e, finalmente, o quarto e último passo será no lucro com as credenciais roubadas com a sua venda ou negociação.
Uma observação muito importante sobre as mudanças no ecossistema é que na terceira fase, a validação, não é mais realizada pelos próprios cibercriminosos. Em seu lugar, a etapa de verificação é passada para os compradores, permitindo transações mais rápidas para os cibercriminosos, além de influenciar os clientes a confiar na popularidade/credibilidade do vendedor para fazer suas compras.
Mais de uma alternativa de ataque:
Agindo em mais de uma opção, as equipes de traffers também podem distribuir outras famílias de malware além dos ladrões – como criptografadores e RATs. Mas, de acordo com a investigação do Outpost24 KrakenLabs em fóruns e canais privados, esses traficantes tendem a distribuir principalmente ladrões, o que denota que seu principal objetivo é participar do mercado de credenciais.
Além disso, fóruns clandestinos de cibercriminosos, como o chamado fórum de engenharia social Zelenka, vem crescendo e adaptando-se aos novos tempos e desde cedo em 2021 tem sessões de fórum dedicadas para traficantes. Outros fóruns têm seções ou tópicos semelhantes dedicados ao tópico.
Comportamento de assinaturas vitalícias nos últimos anos:
A periodicidade dessas transações vem chamando a atenção, pois os ladrões são reunidos por ano de anúncio e não necessariamente por mês. Durante a investigação, foi observada uma tendência geral, no período de 2018 a 2021, de preços geralmente mais baixos que giravam em torno de US$ 45 por assinatura vitalícia. No entanto, por volta do final de 2021 e 2022, há um aumento significativo nos preços e nas assinaturas vitalícias, que agora estão em torno de US$ 900 – um aumento de 2.000% em relação ao período anterior.
Nos últimos anos, não era muito comum os anunciantes fazerem assinaturas diárias, semanais ou mensais, pois no passado, os ladrões costumavam ser vendidos como um produto em uma compra única. Mas agora a tendência crescente é o modelo as-a-service, em que as ferramentas são disponíveis para períodos de aluguel.
Onde e como essas ameaças atuam:
O que devemos ficar atentos é que os mercados clandestinos do crime cibernético atendem a todos os tipos de atividades maliciosas, por isso a nova dinâmica que se apresenta a partir da consolidação do modelo de traffers traz mudanças consistentes em todo o ecossistema subterrâneo do cibercrime. Como um ramo mercadológico ilegal, o cibercrime também atua com a profissionalização de prestadores de serviços, criação de novos serviços, melhoria de produtos, aumento de preços de produtos.
Atividades como a venda de contas roubadas do YouTube, o abuso do Google Ads, a promoção de serviços de Search Engine Optimization (SEO) para aumentar a visibilidade de resultados maliciosos no YouTube e ferramentas adicionais como crypters (também conhecidos no submundo como FUD), kits de phishing, e outros tipos de malware também devem ser considerados como produtos e serviços acessórios para o modelo de tráfego desses cibercriminosos e como agem.
Uso de SEO para promover os ataques e seus resultados maliciosos:
Os serviços de SEO são um ótimo exemplo de prestação de serviços underground altamente adaptável ao modelo de tráfego usado pelos traffers. Mesmo não sendo uma regra, pode ser oferecido junto nos kits que são fornecidos pelas administradoras aos traficantes.
Mas, criminosos independentes podem atingir os provedores de serviços de SEO para comprar o serviço, que podem ser usados para potencializar resultados em diversas plataformas (Google, Facebook, YouTube), mas como um dos principais direcionadores de tráfego é o YouTube, os serviços de SEO podem ser direcionados principalmente para esta plataforma.
Como prevenir-se dos ataques de credenciais:
Depois de explicar quem são, como agem e seus riscos, é necessário agir para evitar ser vítima de um esquema de roubo de credenciais, especificamente a cadeia de ataque dos traffers. A Outpost24 recomenda cyber práticas de higiene para usuários finais, evitando a infecção por malware em primeiro lugar. Para manter as empresas seguras, medidas de segurança adicionais, fora das mãos dos usuários finais, são fortemente sugeridas. Adicionar uma assinatura de uma solução antivírus (para analisar a legitimidade de sites, bloquear páginas suspeitas, sinalizar conteúdo malicioso, e detectar uma infecção por malware) também é fundamental para a garantia da proteção de suas identidades.
Veja as ações que devem ser realizadas pelas organizações:
- Configure políticas de segurança do navegador para todos os usuários em sua organização:
- Desative o salvamento de senha automático e manual do navegador e as configurações de preenchimento automático para todos os usuários, pois as credenciais armazenadas nos navegadores da Web podem ser facilmente recuperados por ladrões de informações;
- Bloqueie totalmente as instalações de software iniciadas pelo usuário final.
Proteja as credenciais com soluções adicionais:
- Use um gerenciador de senhas corporativo para gerar senhas mais fortes e manter as credenciais seguras;
- Habilite métodos de autenticação multifator (quando disponíveis) para todas as contas, incluindo aplicativos de terceiros;
- Detecte credenciais comprometidas em tempo real com a solução Outpost24 Cyber Threat Intelligence: https://outpost24.com/ na seção produtos/inteligência de ameaças cibernéticas.
Atualize regularmente seu programa de treinamento de usuário final para as ameaças mais recentes. Neste caso, conselhos práticos para evitar a infecção por malware da forma como é feito pelas equipes de traffers:
- Ao clicar em um anúncio, ou qualquer link, verifique se você foi redirecionado para o site desejado;
- Preste muita atenção a erros de digitação de domínio, conteúdo divergente e outras bandeiras vermelhas em um site para evitar ser vítima de um anúncio ou conteúdo fraudulento;
- Não baixe software “crackeado” em dispositivos corporativos e pessoais.
A Outpost24 está em constante atenção aos desenvolvimentos futuros deste ecossistema de roubo de credenciais em geral e as tendências crescentes, como a proliferação comprovada de grupos de traficantes, para manter uma boa visibilidade do cenário cibercriminoso e reunir informações abrangentes.
Para garantir medidas fundamentais para a segurança de seus clientes com a Outpost24, fale já com time da M3Corp: https://m3corp.com.br/contato
Posts recentes