De acordo com o relatório anual Internet Organised Crime Threat Assessment, produzido pela Europol, esse ano será marcado por uma mudança de estratégia dos criminosos que usam a modalidade ransomware para atacar, apoiando-se cada vez mais em “redes de parceiros”. O levantamento destaca que as técnicas de ataque e aliciamento estão mais sofisticadas a fim de tornar alvos mais precisos e melhores ganhos financeiros.
A Europol é uma agência europeia, que presta apoio aos 27 Estados-Membros da União no âmbito da luta contra as formas graves de criminalidade internacional e de terrorismo. Segundo os dados do relatório, os cibercriminosos continuam explorando as oportunidades criadas por confinamentos e trabalho remoto, aproveitando também os programas de afiliados de ransomware, buscando cooperação com hackers e outros desenvolvedores de malwares, ampliando os pacotes as-a-service.
O destaque dessa prática são os programas de afiliados, que a Europol carateriza como uma evolução do modelo ransomware-as-a-service, “onde os operadores partilham lucros com parceiros que podem violar uma rede alvo e recolher toda a informação necessária para lançar um ataque, ou implementarem eles próprios o malware”, diz o estudo.
O aliciamento interno é um ponto crítico nas estratégias de defesa. Na visão de Abian Laginestra, CISO da Aliansce Sonae Shopping Centers, os “sindicatos de ransonwares” utilizam amplamente o modelo Crime As a Service, logo, o uso de redes de apoio já é uma realidade. “Está havendo uma democratização do aliciamento, ou seja, não será somente na dark web que os coadjuvantes satélites serão encontrados, mas também na surface web e nas redes sociais como Instagram, Facebook e Twitter”, destaca o executivo em entrevista à Security Report.
Pedro Nuno, CISO do Banco BMG concorda e acrescenta que o aliciamento não é novo, pois acontece em todos os processos em que existem dados de clientes ou acessos a informações sensíveis. “Não podemos esquecer de um ponto muito importante: o cibercrime é organizado. É preciso ficar atento, pois o aliciamento pode vir de várias áreas com pessoas infiltradas em centrais de atendimento, nos departamentos de fraudes e infraestrutura, até mesmo na própria Segurança”, alerta o executivo.
Acesso privilegiado
Informação pessoal e credenciais privilegiadas estão em alta demanda no mercado ilícito, pois são meios eficazes para melhorar a taxa de sucesso de todos os tipos de ataques. O Relatório de Atividade Criminosa Online no Brasil, produzido pela Axur, acompanhou os ataques cibernéticos e os principais dados referentes a phishing, malwares, infrações em uso de marca e vazamento de dados em 2021.
A plataforma da companhia detectou automaticamente 273 milhões de credenciais expostas ao longo de 2021. Os times de especialistas da companhia expandiram essa detecção para 935 milhões de credenciais. O segundo trimestre de 2021 foi, sem sombra de dúvidas, o mais movimentado em relação ao assunto. Sozinho, o mês de junho é responsável por 41,2% de todas as credenciais identificadas em 2021.
Como as credenciais têm alto valor para o cibercrime, é natural que o aliciamento seja vantajoso e encurte o processo de ataque. “As ferramentas de PAM, IGA e Zero Trust são armas de inteligência contra o aliciamento. No entanto, me preocupo mais com questões políticas e motivacionais. Não vejo funcionários vazando credencial por motivos financeiros, mas por desgosto com as empresas. Um gerente insatisfeito com acesso privilegiado pode causar muitos danos, esquecendo que assinou um acordo de sigilo e responsabilidade, por exemplo”, pontua Abian Laginestra.
“Aliciamento é crime e o aliciado deve responder por isso. Medidas mais severas e um ajuste nas leis deve ser repensado com urgência. Ao mesmo tempo, as empresas podem atuar de forma proativa, criando mecanismos para identificar possíveis casos”, completa Pedro Nuno. Ele acrescenta que existem passos importantes nessa identificação como arcabouços jurídicos; acordos de sigilo e responsabilidade; monitoramento de acessos; auditorias; análise nas mídias sociais e Deepweb; e análise de reputação/antecedentes dos colaboradores e prestadores de serviço.
Para os parceiros, a análise pode ser ainda mais rígida, adicionando sistemas de antifraude e motores de riscos e foco no tipo de acesso e o que a pessoa faz com a informação. Além disso, monitoramento constante em todo ambiente. Em 2021 a Axur identificou 1.800 GitSecrets, que são credenciais de autenticação digital concedendo acesso a serviços, sistemas e dados.
Segundo o levantamento, o volume e diversidade dessas credenciais de autenticação digital está crescendo rapidamente à medida que as arquiteturas migram para a nuvem, mas também contam com cada vez mais componentes e aplicativos. AWS Keys, Facebook Access Token, Google (GCM) Service Acount e Senhas SSH são alguns tipos de GitSecrets monitorados.
“Conscientização e treinamentos em cibersegurança são disciplinas essenciais para eliminar o aliciamento. Também é importante contar com o apoio da área de RH. Todo esse cenário é preocupante e demonstra que Segurança da Informação é o que tenho falado há algum tempo: é um assunto corporativo e não de TI”, finaliza Abian Laginestra.