0
0
Logs de malware para roubo de informações conseguiram uma infiltração significativa em ambientes de negócios, aponta estudo
A análise de quase 20 milhões de logs de malware para roubo de informações vendidos na dark web e nos canais do Telegram revelou que eles conseguiram uma infiltração significativa em ambientes de negócios.
Ladrões de informações são malwares que roubam dados armazenados em aplicativos como navegadores web, e-mails, mensageiros instantâneos, carteiras de criptomoedas, software cliente FTP e serviços de jogos. As informações roubadas são empacotadas em arquivos chamados “logs”, que são carregados de volta para o operador da ameaça para uso em ataques ou vendidos em mercados de crimes cibernéticos.
As famílias de roubo de informações mais proeminentes são Redline, Raccoon, Titan, Aurora e Vidar, oferecidas a criminosos cibernéticos em um modelo baseado em assinatura, que permite que conduzam campanhas de malware que roubam dados de dispositivos infectados.
Embora os ladrões de informações tenham como alvo principalmente usuários descuidados na internet, que baixam software como cracks, warez, cheats de jogos e software falso de fontes duvidosas, também foi descoberto que eles têm um impacto enorme em ambientes corporativos.
Isso ocorre porque os funcionários usam dispositivos pessoais para trabalhar ou acessam itens pessoais de computadores de trabalho, resultando em muitas infecções por ladrões de informações que roubam credenciais de negócios e cookies de autenticação.
Mais especificamente, como a empresa de segurança cibernética Flare explica em um novo relatório, existem aproximadamente 375 mil logs contendo acesso a aplicativos de negócios como Salesforce, Hubspot, Quickbooks, AWS, Google Cloud Platform, Okta e DocuSign. A Flare encontrou o seguinte nos logs:
179 mil credenciais do console AWS
2.300 credenciais do Google Cloud
64,5 mil credenciais DocuSign
15,5 mil credenciais do QuickBooks
23 mil credenciais do Salesforce
66 mil credenciais de CRM
Além desses, há cerca de 48 mil logs que incluem acesso a “okta.com”, um serviço de gerenciamento de identidade empresarial usado por organizações para autenticação de usuário local e na nuvem. A maioria desses logs (74%) foi postada em canais do Telegram, enquanto 25% foram vistos em mercados de língua russa, como o Russian Market.
“Logs contendo acesso corporativo foram super-representados nos canais Russian Market e VIP Telegram, indicando que os métodos que os invasores usam para coletar logs podem acidentalmente ou intencionalmente ter mais alvos corporativos”, descreve o relatório da Flare. “Além disso, os canais públicos do Telegram podem postar deliberadamente logs de menor valor, salvando logs de alto valor para clientes pagantes.”
A Flare também encontrou mais de 200 mil logs de ladrões contendo credenciais OpenAI, o que é o dobro do que o Group-IB relatou recentemente e constitui um risco de vazamento de informações proprietárias, estratégias internas de negócios, código-fonte e muito mais.
As credenciais corporativas são consideradas logs de “nível 1”, tornando-as particularmente valiosas no submundo do cibercrime, onde são vendidas em canais privados do Telegram ou fóruns como Exploit e XSS. O valor é derivado do lucro potencial que os cibercriminosos podem obter aproveitando credenciais comprometidas para acessar aplicativos CRMs, RDP, VPNs e SaaS e, em seguida, usar esse acesso para implantar backdoors furtivos, ransomware e outras cargas úteis.
Recomenda-se que as empresas minimizem o risco de infecções por malware de roubo de informações, impondo o uso de gerenciadores de senhas, autenticação multifator e definindo controles rígidos sobre o uso de dispositivos pessoais. Além disso, os funcionários devem ser treinados para identificar e evitar canais de infecção comuns, como anúncios maliciosos do Google, vídeos do YouTube e postagens do Facebook.
FONTE: CISO ADVISOR