O primeiro passo de qualquer invasão de infraestrutura corporativa depende do acesso não autorizado dos cibercriminosos. A demanda por uma credencial é tão grande que se formou um verdadeiro mercado clandestino de acessos com pessoas especializadas em adquirir e vender entradas ilícitas nos sistemas corporativos.

O ataque se inicia com hackers especializados promovendo ações de “pentests” contra vários alvos diferentes, até que consigam acessar um deles. Nesse momento, os métodos são variados: via phishing, exploração de vulnerabilidades, descoberta de senhas frágeis, aplicação de força bruta, entre outras técnicas de invasão.

Após o acesso indevido, o cibercriminoso tem dois caminhos. Primeiro, ele pode atacar o ambiente comprometido, a depender do arsenal disponível, ou vender esse acesso para outros tipos de atacantes interessados naquelas credenciais comprometidas. Segundo, é possível que o criminoso anuncie seus ‘produtos’ em fóruns e comunidades clandestinas na Deep Web, Dark Web ou até mesmo em redes sociais mais abertas, como o Telegram. Ali eles também pedem um preço considerando a importância do ambiente invadido, o nível do acesso e o quanto que eles conseguiram se sustentar naquele ambiente disfarçados.

Caique Barqueta, Analista de Malware da ISH, explica que os cibercriminosos precisam equilibrar muito bem a exposição de suas ofertas, a fim de manterem a discrição enquanto tentam atrair o melhor comprador. Exemplo é que eles nunca informam o nome da companhia invadida, para impedir que empresas de monitoramento em Cibersegurança identifiquem a invasão e alertem as vítimas.

“Eles se restringem a informar apenas a vertical de negócios e o faturamento para atrair a atenção dos compradores. Isso frequentemente nos obriga a interagir com o vendedor na busca de alguma identificação mínima que ajude a perceber quem está comprometido com aqueles dados”, afirmou Barqueta.

Além disso, muitos desses fóruns são mantidos por grupos já estabelecidos no mercado clandestino e bem estruturados, mantendo equipes específicas para todos os tipos de invasão. E isso atrai outros grupos menores na busca por essas credenciais roubadas.

“Esse é um mercado altamente lucrativo e aquecido, com atividades acontecendo diariamente graças aos acessos iniciais. Um operador de malware, por exemplo, vê nisso uma oportunidade de não esquentar tanto a cabeça para forçar uma intrusão por si só. Ele pode simplesmente comprar as credenciais roubadas”, alerta o especialista.

Segundo o analista, é possível coibir estas comunidades clandestinas. Mas é uma tarefa bastante difícil, uma vez que monitorar todo o espaço para identificar as estruturas críticas demanda muita ação governamental e muita burocracia.

“Frequentemente essas comunidades passam por vários processos passando por IPs e países, até mesmo donos de servidores. Investigar demanda muito tempo. Um mercado volátil e aquecido, além de ações de suporte a esses fóruns vindas de governos, como o da Rússia, gera ainda mais complicadores para uma repressão bem-sucedida”, explica Barqueta.

Gerenciamento de Senhas

Para lidar com os riscos do mercado negro de credenciais, é necessário às companhias fortalecerem ao máximo as complexidades de suas chaves de acesso com senhas robustas. A recomendação de Barqueta é o uso de “cofres de senhas”, permitindo que se criem várias senhas complexas e aleatórias para cada necessidade.

Entretanto, o Analista de Malwares também reconhece que, para um líder em Cyber, o desafio está em proteger a “senha mestra” de acesso ao cofre, o que exporia uma verdadeira mina de ouro aos criminosos. Mas, ao mesmo tempo, ela evita as práticas ruins que comprometem as credenciais, como força bruta ou exploração de credenciais fracas. “Também é possível instalar uma série de MFAs, ligações, tokens, ou qualquer outra ferramenta de privacidade para liberar acesso às senhas”, elencou ele.

Outra preocupação dos CISOs são os processos de terceirização dos serviços. Em caso de qualquer incidente que esse parceiro possa ter no futuro, poderá comprometer a própria companhia. “É necessário prestar atenção à ferramenta que se pretende aplicar, bem como o fornecedor dela, até para que o gerenciamento das senhas seja feito da melhor forma”, completa.