Publicidade

Roubo de credenciais é o principal objetivo de ciberataques de todos os tipos

Por| Editado por Claudio Yuge | 06 de Abril de 2022 às 22h00

Link copiado!

Divulgação/1Password
Divulgação/1Password

Operações dos mais diversos crimes virtuais, sejam eles golpes ransomware ou roubo de perfis em redes sociais, sempre podem ocorrer com uma situação parecida: a coleta de credenciais de usuários com acesso à rede alvo em específico. O grupo Lapsus, que vem sendo muito citado na mídia, é um exemplo disso, quando atacou serviços da Microsoft após conseguir os dados de acesso de um funcionário da empresa.

E essas situações não ocorrem somente com os ataques feitos pelo Lapsus. Vários ataques de malware, como o Racoon e o RedLine, que alugam suas estruturas de ataques por US$ 100 (cerca de R$ 464, na cotação atual) no submundo do cibercrime, são iniciados após o envio de e-mail maliciosos ou disseminados em publicações e comentários fraudulentos em redes sociais. Após executados, eles capturam dados do navegador e do sistema, incluindo senhas, e costumam desaparecer logo em seguida para não dar chance aos antivírus.

Continua após a publicidade

Segundo dados da firma de segurança virtual Axur, dos exemplos acima, o RedLine em especial é o responsável pela exposição de 54 milhões de credenciais de usuários somente nesses três primeiros meses de 2022 - e todas elas, após essas situações, podem ser vendidas em ambientes de crime virtual para facilitar acessos futuros de outros golpistas. Os domínios brasileiros são os que mais aparecem em meio a essas informações vazadas, seguido dos EUA e Índia.

E somente os números já assustam, a situação piora ao analisar os dados: cerca de 30 mil dessas credenciais roubadas são de contas que administram a infraestrutura de sistemas em nuvem, o que pode colocar em risco todo o negócio das empresas impactadas.

Como o ransomware RedLine e outras ameaças roubam credenciais

Um ladrão de senha tradicional registra dados durante a transmissão ou digitação, mas esse não é caso do RedLine. A ameaça funciona capturando credenciais armazenadas, incluindo as sessões ainda ativas no navegador web, o que então permite configurar esse código de autorização diretamente no navegador dele e passar direto pelo login, sem necessidade de uso da autenticação em duas etapas toda vez.

Continua após a publicidade

Nesse contexto, a verificação em duas etapas raramente protege contra o RedLine, já que depois que um código de autorização é obtido pelo navegador do usuário legítimo, ele pode ser reutilizado nos próximos acessos - o que significa que se ele for comprometido pela ameaça, o controlador dela também pode acessar os serviços.

Por esses mesmos motivos, empresas que utilizam a nuvem pública em sua infraestrutura ou atuam no desenvolvimento de software precisam ter cuidado com as chaves de acessos, já que esses acessos contornam a verificação em duas etapas, e se tornam alvos em potencial dos ladrões de credenciais. Igualmente, o mesmo cenário também pode ser visto em crimes contra carteiras de criptomoedas.

Para Axur, o processo de evitar o roubo de credenciais envolve agilidade em detecções

Conhecendo as ameaças, a Axur afirma que se torna fundamental enxergar os riscos presentes no dia a dia dos sistemas e adotar as medidas corretas para evitar a exposição de todas essas credenciais. A firma de segurança, porém, afirma que amenizar o risco da exposição dessas credenciais passa pela existência de um monitoramento do ambiente e, no melhor cenário, de uma visão antecipada da atuação dos atacantes - que analise e identifique possíveis pontos fracos de privacidade.

Continua após a publicidade

Além disso, embora existam várias formas de autenticar um acesso hoje em dia, como biometria, uma chave de nuvem pública, um certificado ou carteiras digitais, no fim elas funcionam de forma muito semelhantes a senhas, o que também significa que vulnerabilidades parecidas podem ser encontradas nesses métodos - tornando ainda mais importante a identificação de pontos fracos nesses sistemas.