São Paulo, novembro de 2023 – Para além de fraudes direcionadas a consumidores, dados de clientes e funcionários representam o maior ouro do mundo do cibercrime devido ao potencial de escala. De acordo com a NovaRed, maior provedor pure-player ibero-americano de serviços e soluções em cibersegurança, a profissionalização da comercialização de Malware as a Service (MaaS) pelos cibercriminosos acende o alerta para empresas que não possuem defesa para vetores iniciais de ataque: os infostealers. Essa categoria de malware é focada em coletar informações pessoais como senhas, logins, dados de cartões, wallets, cookies e documentos, pode vazar em média 300 credenciais por máquina, além de impactar todo o ambiente digital da empresa a partir do colaborador atingido.
“Os infostealers costumam coletar dados salvos em navegadores (browsers) e em aplicativos, mas também incluem funcionalidades que gravam as credenciais digitadas pela vítima no teclado (keystrokes) e que armazenam a movimentação do mouse e da tela da vítima (screenlogger)”, explica Adriano Galbiati, diretor de Operações da NovaRed. Esse tipo de malware pode ser distribuído de diversas formas pelos cibercriminosos, como via phishing (golpes aplicados por e-mail) e na instalação de aplicativos, programas, cracks e ativadores de licenças, por exemplo.
Os malwares infostealers, no entanto, são apenas um meio para que outro ataque seja efetivado. Atualmente, grande parte dos grupos de ransomware, uma forma de sequestro de dados, faz uso de malwares infostealers para facilitar o acesso a uma credencial corporativa, em vez de identificar uma vulnerabilidade no sistema da empresa. “Um resgate em criptomoeda do ataque de ransomware pode ultrapassar US$ 500 mil dependendo do porte e da confidencialidade dos dados vazados da empresa”, ilustra Adriano.
O especialista indica a profissionalização com a alta movimentação econômica do roubo de credenciais no mercado do cibercrime. O modelo MaaS permite a comercialização dos principais stealers em formatos de assinatura, por um determinado período. “A partir da assinatura, você tem acesso a dados do mundo todo e pode filtrar conforme a sua necessidade. Se o alvo for determinada empresa é só filtrar máquinas infectadas por stealers que tenham credenciais do site da marca em questão. Também é possível comprar informações individuais por US$ 9, por exemplo”.
Outro alerta é a respeito da má implementação do segundo fator de autenticação, que pode ser burlado a partir do momento que o atacante tem acesso ao login e senha, mais o cookie de sessão. “O tempo de vida útil dessas informações, no entanto, é curto para os cibercriminosos devido à possibilidade de mudança das credenciais ao longo do tempo. Após infectar a máquina da vítima, é feita a venda dos logs, seguido da distribuição em grupos e fóruns e, em grande escala, redistribuição e indexação por sites. Isso significa que a resposta ao incidente precisa ser ainda mais rápida”, exemplifica o executivo.
O recorte corporativo da ameaça se dá de duas maneiras principais: um colaborador que tenha sua máquina corporativa atacada, o que pode indicar vulnerabilidades no sistema de segurança cibernética, ou um colaborador que acesse o e-mail corporativo e demais plataformas do trabalho pelo computador pessoal afetado devido a alguma instalação. Isso faz com que o quadro interno abra uma brecha cibernética para que o cibercriminoso tenha acesso a ainda mais informações confidenciais da companhia.
Como reagir a um incidente cibernético?
“Após ser impactado pelo infostealer, é importante ter em mente que apenas trocar a senha não é o suficiente se a máquina ainda estiver infectada e suscetível a vazar mais dados para o atacante”, diz Adriano. O primeiro passo é verificar se o dispositivo comprometido é corporativo ou não. Se for corporativo, deve ser analisado como as soluções de antivírus e sistemas de defesa não conseguiram proteger a máquina, a fim de averiguar se outros computadores e smartphones da empresa também podem ser atingidos. Em seguida, todas as credenciais do usuário devem ser trocadas para fazer a sanitização de dados. No entanto, caso seja uma máquina pessoal, cabe à empresa apenas orientar o colaborador e também estabelecer políticas mais rígidas de segurança da informação.
Adriano lista oito recomendações para se prevenir de vetores de ataque cibernético:
-
Habilitar o Múltiplo Fator de Autenticação (MFA);
-
Habilitar política de troca periódica de senhas;
-
Implementar uma gestão unificada de credenciais;
-
Estabelecimento de políticas de não salvamento de senhas e limpeza de cookies em navegadores;
-
Monitoramento contínuo com rápida tomada de ação em credenciais corporativas comprometidas (BEC);
-
Monitoramento de acessos indevidos a plataformas;
-
Gestão de antivírus/EDR/XDR unificada;
-
Política de não permissão de instalação de softwares e extensões em navegadores.
“Não há solução que vá proteger uma companhia por completo, mas é por isso que a temática de cibersegurança deve estar presente em todos os níveis da empresa para garantir a mitigação dos riscos nos mais diversos pontos de contato. O ambiente digital de um parceiro, inclusive, também deve estar no radar de averiguação”, completa Adriano.
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
