Blog WatchGuard

O mercado negro das credenciais está mais ativo do que nunca

Existem dezenas de milhares de páginas e fóruns clandestinos na dark web que não são indexados pelos motores de busca, pelo que permanecem escondidos a menos que o utilizador tenha conhecimento prévio do endereço. Isto inclui fóruns de discussão onde são partilhadas técnicas ou ferramentas com as quais podem ser perpetrados ciberataques, mas estes sites servem também como um mercado negro para a compra e venda de dados obtidos ilicitamente. Obviamente, todas estas transações no mercado negro são realizadas utilizando criptomoedas e outros métodos que são difíceis de rastrear pelas autoridades.

IAB e RaaS

Estes sites são cada vez mais utilizados para campanhas de ransomware, nas quais os cibercriminosos podem gastar alguns dólares em ferramentas ou comprar credenciais completas e extorquir um resgate de centenas de milhares de dólares se forem bem-sucedidos. São dois os "atores" principais envolvidos nestes mercados:

  • Initial Access Brokers (IAB): indivíduos ou grupos que conseguem obter dados como credenciais de acesso a redes empresariais, que são uma mercadoria altamente valiosa.  
  • Operadores de ransomware: os compradores das credenciais que, depois, executam a campanha maliciosa utilizando os dados, ou, como está a tornar-se cada vez mais comum, oferecem os seus serviços como um grupo de Ransomware-as-a-Service (RaaS) aos hackers, que, depois, realizam o ataque.

Triplicar por três

Há algumas semanas, um grupo de analistas de cibersegurança publicou um relatório no qual analisava centenas destes fóruns na dark web e descobriu que o número de credenciais de acesso a redes empresariais para venda aumentou de 362, na análise anterior, para 1.099, um aumento de três vezes em apenas um ano. 

O relatório observa que a procura neste mercado cresceu de acordo com a proliferação de ciberataques de ransomware. Muitos indivíduos e grupos sentem-se encorajados a entrar no mercado pelo pagamento bem-sucedido de resgates de milhões de dólares por várias organizações. Mas os analistas também apontam o aumento do trabalho à distância devido à pandemia como uma das principais causas deste crescimento. Muitas das credenciais para venda pertencem a ferramentas VPN e RDP

Ponto de Acesso Remoto (RAP)

O nosso Relatório de Segurança na Internet Q3 2021 destaca este boom do ransomware e dos ciberataques que tiram partido das ferramentas de trabalho remoto. Neste cenário de ameaça, as empresas são recomendadas a implementar soluções de Ponto de Acesso Remoto (RAP) que permitem um acesso completamente seguro às redes empresariais da organização. 

Seja a partir de uma sucursal ou de casa, os colaboradores estão, desta forma, ligados a um ponto de acesso Wi-Fi fiável que, através de uma rede IPSec IKEv2 VPN, está ligado aos escritórios centrais onde os servidores estão alojados, que, por sua vez, estão protegidos por um dispositivo de firewall de última geração. 

Além disso, isto permite às equipas de TI gerirem fácil e centralmente o acesso remoto à rede corporativa e manter um controlo rigoroso sobre permissões e credenciais, uma vez que também lhes permite implementar soluções avançadas de autenticação multifatorial (MFA) para verificar e gerir adequadamente a identidade de cada utilizador. Isto assegura que as redes empresariais estão muito melhor protegidas contra tentativas de obtenção de credenciais por parte dos IAB.