Seu Computador Vale Mais Hackeado do que Protegido: O Mercado Negro dos IABs

Já chegou em casa alguma vez, começou a procurar seu celular, mas não o encontrou?

Você vai ficando cada vez mais desesperado; não está no seu bolso, nem na sua mochila. Aí você pergunta para quem estava junto com você: “Você viu meu celular?”. Por dentro, a gente fica torcendo para que ele fale: “Ah, sim. Tá aqui comigo.” E, maioria das vezes, é isso que acontece. O celular estava com essa pessoa, ou naquele cantinho oculto da mochila ou da bolsa.

Mas, e quando passam os minutos e você não acha? As poucos, você é forçado a aceitar a possibilidade de que, talvez, alguém roubou o seu celular sem você perceber. É, você foi vítima de um furto.

Um furto é um roubo sem violência. E no mundo digital, furtos acontecem mais do que você imagina.

O pesadelo que você ainda não considerou

Imagine a cena: você está verificando seus emails numa segunda-feira de manhã, cafezinho na mão. Aí você vê um email que parece ser de uma instituição financeira ou operadora de celular sobre uma conta atrasada, ou uma NF-e (nota fiscal eletrônica). Tudo parece em ordem.

Mas não é real. É um ataque de phishing sofisticado mirando organizações brasileiras.

E a parte assustadora? Uma vez que você clica naquele link, os hackers podem assumir o controle do seu computador sem que você jamais saiba. Eles podem estar roubando seus dados, monitorando suas atividades ou, pior ainda, vendendo acesso à rede inteira da sua empresa para quem pagar mais.

A solução é entender exatamente como esses ataques funcionam e aprender a identificá-los antes que comprometam sua segurança e a da sua empresa.

Pronto para elevar seu conhecimento em segurança? Vamos olhar mais de perto uma criativa campanha de ataque que especialistas em segurança descobriram. Segundo eles, está ocorrendo desde janeiro de 2025.

Hoje, vamos aprender sobre Initial Access Brokers, os cibercriminosos que estão lucrando ao vender acesso à porta da frente do seu ambiente digital.

O que realmente aconteceu? 🔍

Veja como o ataque se desenvolve:

1. A Isca: Os fraudadores enviam emails de phishing convincentes disfarçados de comunicações oficiais de instituições financeiras ou operadoras de celular relacionados a contas em atraso ou NF-e. Esses emails contêm links que parecem legítimos.

2. A Armadilha: Quando as vítimas clicam nesses links, são direcionadas para o Dropbox onde involuntariamente baixam malware disfarçado de arquivos .exe (arquivo executável usado em sistemas operacionais como o Windows para abrir e instalar programas de software).

3. A Reviravolta: Em vez de usar malware tradicional, esses atacantes implantam ferramentas legítimas de monitoramento e gerenciamento remoto (RMM) como AnyDesk e TeamViewer. Como são programas de software legítimos, frequentemente passam despercebidos pelos sistemas de detecção de segurança implementados numa empresa.

4. A Tomada de controle: Uma vez instaladas, essas ferramentas RMM dão aos atacantes acesso remoto completo aos computadores das vítimas. Eles podem ver o que você vê, controlar seu mouse e teclado, e acessar informações sensíveis sem acionar nenhum alarme de segurança.

O que torna esse ataque particularmente inteligente é que ele usa software legítimo para fins maliciosos. É como um ladrão usando a chave reserva que você esconde debaixo do tapete: tecnicamente, eles não estão arrombando, estão entrando pela porta da frente com toda a “autorização” do mundo.

O modelo de negócio oculto: Conheça os Initial Access Brokers (IABs)

Esses atacantes não são apenas hackers aleatórios; são o que os especialistas em segurança chamam de Initial Access Brokers (IABs). Pense neles como os corretores imobiliários do mundo do cibercrime. Eles têm as chaves da “casa” e a mostram a potenciais compradores para ganhar dinheiro; só que eles obtêm as chaves burlando os sistemas de segurança sem ser detectados e ficam com 100% do lucro do imóvel digital.

Traduzindo, os IABs se especializam em obter acesso a organizações e depois vender esse acesso a outros cibercriminosos que querem implantar ransomware, roubar dados ou conduzir espionagem. É um próspero modelo de negócio onde o acesso à sua organização se torna uma mercadoria vendida em marketplaces da dark web (definição logo no início do artigo no link).

Se no futuro, algum grupo de cibercriminosos especializado em ransomware, por exemplo, estiver interessado em acessar à rede de uma empresa específica, o que é mais fácil? Tentar fazer isso do zero, ou pagar alguém que já tem acesso para colocá-los lá dentro?

O cibercrime é um negócio. Muitas vezes, empresas não são atacadas por um hacker solitário, mas por um grupo de cibercriminosos, cada um com uma função e habilidades específicas. E, como todo negócio, eles estão focados em aumentar o lucro e diminuir as despesas operacionais sempre que possível. Os IABs não são a exceção.

Os pesquisadores que identificaram essa campanha direcionada ao Brasil descobriram outra coisa interessante sobre os atacantes: eles conseguiram acessar computadores e redes corporativas praticamente de graça! Como?

Eles usam algo que todos nós já usamos pelo menos algumas vezes na vida: testes gratuitos de softwares. A ferramenta RMM que foi usada oferece um teste gratuito de 15 dias. Os atacantes usaram contas em serviços de email gratuitos (Gmail, por exemplo) para se cadastrar no site do software de acesso remoto e aproveitar as vantagens do teste gratuito.

Sem pagar nada para criar contas de email que combinavam com o tema da campanha (como <algumacoisa>[email protected]), eles depois usavam esses endereços de email para se cadastrar para o teste gratuito na ferramenta de acesso remoto, que oferece, durante 15 dias, acesso à área de trabalho remota, execução de comandos remotos, transmissão de tela, captura do que é digitado no teclado e acesso remoto ao shell (aquela tela escura em que você pode digitar comandos que vemos nos filmes sobre hackers e golpes, parecida com essa daqui 👇️).

Pura eficiência corporativa, no mundo do cibercrime.

Do ponto de vista dos cibercriminosos, esta é uma ótima estratégia. As despesas com infraestrutura e software é mínima ou até mesmo nula. Ao usar ferramentas legítimas, evitam ser detectados. A margem de lucro é praticamente 100% do que decidirem cobrar dos seus potenciais clientes.

Por isso, os pesquisadores acham que vamos continuar vendo campanhas de phishing similares.

“O que isso tem a ver comigo?”

Neste ataque em particular, os cibercriminosos miraram especificamente em executivos. Mas também enviaram emails para funcionários dos departamentos financeiro e de recursos humanos. Trabalhadores comuns da empresa que, como muitos outros, não sabem da existência de ameaças como os IABs e suas táticas.

Quando Initial Access Brokers infiltram com sucesso uma organização, as consequências podem ser devastadoras:

• Vazamentos de dados: Informações sensíveis de clientes e propriedade intelectual podem ser roubadas.

• Perdas financeiras: Roubo direto através de transações fraudulentas ou pagamentos de ransomware.

• Interrupção operacional: Sistemas podem ser bloqueados, impedindo operações normais de negócios.

• Danos à reputação: Exposição pública de violações pode danificar permanentemente a confiança dos clientes nas capacidades da empresa.

• Consequências legais: Potenciais multas regulatórias por falha na proteção de dados.

E muitas organizações não descobrem que foram comprometidas até semanas ou meses após a violação inicial, quando o dano já está feito.

E tudo começa com um clique num link para pagar um boleto “atrasado”.

O Desafio: Dificuldades de detecção

As organizações enfrentam vários desafios ao lidar com ameaças como essas:

1. Ferramentas legítimas: Como os atacantes usam software legítimo (ferramentas RMM), soluções de segurança tradicionais frequentemente não os sinalizam como maliciosos.

2. Engenharia social: Os emails de phishing são altamente convincentes, usando documentos e linguagem com aparência oficial que cria urgência.

3. Natureza humana: As pessoas são naturalmente confiantes e frequentemente tomam decisões rápidas sobre clicar em links ou abrir anexos.

4. Pontos cegos de segurança: Muitas organizações focam em defesas técnicas, mas subestimam o elemento humano da segurança.

A Solução (Humana)

A ferramenta de segurança mais eficaz para sua empresa não é um pacote de software caro. É o conhecimento e a conscientização da sua equipe.

Observando os emails de phishing desta campanha, uma pessoa com conhecimento em segurança notaria várias bandeiras vermelhas:

• Urgência sem motivo: Os emails criam pressão artificial de tempo para fazer você agir rapidamente sem pensar.

• Pequenos erros de linguagem: Pequenos erros gramaticais ou frases estranhas que não apareceriam em comunicações oficiais.

• Anexos suspeitos: Arquivos executáveis disfarçados como documentos ou planilhas.

• Domínios incompatíveis: Endereços de email que parecem oficiais à primeira vista, mas vêm de domínios não relacionados.

• Solicitações incomuns, como uma cobrança não esperada.

Construir essa "barreira de proteção orgânica" oferece o melhor custo-benefício do mercado. Treinar sua equipe para pensar de forma crítica e reconhecer essas táticas custa muito menos do que se recuperar de uma grande violação e tipicamente entrega resultados mais rápidos do que implementar novas tecnologias de segurança.

Claro, ferramentas e soluções de segurança são importantes. Mas as pessoas são a arma secreta da sua empresa, o maior ativo na luta contra o cibercrime. Quer ver por quê?

• Adaptabilidade: Humanos podem reconhecer novos padrões e atividades suspeitas que sistemas automatizados podem passar por alto.

• Consciência contextual: Sua equipe entende o que é normal no contexto do seu negócio e pode identificar anomalias.

• Custo-benefício: Programas de treinamento (bem implementados) entregam alto retorno no investimento comparado a soluções de segurança caras.

• Escalabilidade: Funcionários conscientes sobre segurança protegem sua organização tanto no trabalho quanto em casa.

Principais Lições

• Initial Access Brokers são cibercriminosos que ganham acesso a organizações e vendem esse acesso para outros cibercriminosos.

• Ferramentas legítimas de Monitoramento e Gerenciamento Remoto (RMM) podem ser abusadas por atacantes para obter acesso não autorizado.

• Emails de phishing continuam sendo um dos vetores de ataque mais eficazes, especialmente quando disfarçados como comunicações oficiais.

• Quando bem treinadas, as pessoas são o ativo de segurança mais valioso e com melhor custo-benefício para as empresas.

• Treinamento de conscientização de segurança entrega resultados mais rápidos e melhor retorno no investimento do que muitas soluções técnicas.

Lembre-se, no cenário digital de hoje, segurança não é apenas responsabilidade do departamento de TI, é um compromisso de todos. E com o conhecimento certo, você já está um passo à frente dos atacantes.

Você está pronto para transformar sua equipe de uma vulnerabilidade de segurança em sua defesa mais forte? Vamos conversar sobre como fazer isso acontecer. Responda este email ou deixe um comentário. Prometo ler e responder.

Se este conteúdo foi útil, pode compartilhar com alguém que você se importa 😉