Vendas na Dark Web impulsionam grande aumento em ataques de credenciais

Um aumento nos ataques de malware infostealer nos últimos três anos permitiu que grupos cibercriminosos transformassem o roubo de credenciais num grande negócio lucrativo, abrindo caminho para novos participantes no campo e técnicas sofisticadas de hacking para violar as defesas corporativas.

A empresa de segurança cibernética Kaspersky disse que os ataques de roubo de dados aumentaram sete vezes nos últimos três anos, permitindo que atores mal-intencionados comprometessem mais de 10 milhões de dispositivos pessoais e corporativos em 2022 e possivelmente mais 16 milhões no ano passado.

O malware para roubo de dados evoluiu na última década, melhorando a capacidade dos hackers de passar despercebidos e coletar credenciais de login e dados confidenciais do armazenamento de dispositivos e aplicativos. A Kaspersky disse que hackers envolvidos em ataques de exfiltração de dados roubaram cerca de 400 milhões de logins e senhas de uma ampla variedade de sites no ano passado, com uma média de 50,9 credenciais de login por dispositivo infectado.Credenciais roubadas gerando grandes recompensas

O valor crescente das credenciais corporativas no mercado do crime cibernético contribuiu para um aumento de 643% nos ataques de roubo de dados nos últimos três anos, disse a Kaspersky. Os cibercriminosos normalmente atuam como intermediários de acesso inicial, roubam credenciais corporativas e as vendem em fóruns da dark web a um preço premium para outros criminosos que procuram uma maneira fácil de se infiltrar nas redes corporativas e lançar novos ataques. Os pesquisadores da Kaspersky afirmam que estão oferecendo vários modelos de vendas.

“As credenciais podem ser vendidas através de um serviço de assinatura com uploads regulares, um chamado “agregador” para solicitações específicas, ou através de uma loja que vende credenciais de login adquiridas recentemente exclusivamente para compradores selecionados”, disse o pesquisador da Kaspersky, Sergey Shcherbel. “Os preços normalmente começam em US$ 10 por arquivo de registro nessas lojas.”

De acordo com o Packet Labs, os corretores de acesso anunciam muitas informações roubadas em fóruns da dark web, com preços que variam de US$ 17 para detalhes de cartões de crédito roubados, US$ 40 para logins hackeados para serviços da web e US$ 120 para cartões de crédito de alto valor e informações associadas.

Dados da Chainalysis descobriram que vários mercados da darknet assumiram a liderança nos negócios de capacitação do crime cibernético nos últimos anos, ajudando corretores de acesso inicial a vender credenciais corporativas e perfis detalhados de vítimas para grupos de crimes cibernéticos que usaram os dados em atividades como golpes e roubo de identidade. e ransomware.

O Genesis Market, que as autoridades globais derrubaram em abril de 2023 como parte da Operação Cookie Monster, era mais conhecido por permitir o roubo de identidade e logo foi substituído por centros emergentes como o mercado Kraken, DNM Aggregator e Exploit.in. Essas lojas fraudulentas integram processadores de pagamento criptográfico em seus sites por meio de APIs, permitindo uma experiência de pagamento e checkout perfeita para os clientes.APAC e LATAM particularmente afetadas

Os dados obtidos pela Kaspersky a partir de ficheiros de registo de malware infostealer negociados ativamente nos mercados clandestinos revelam que uma grande parte dos ataques de roubo de credenciais em 2023 ocorreu na Ásia-Pacífico e na América Latina. A empresa disse que hackers roubaram mais de 28 milhões de credenciais do Brasil e mais de 5 milhões de domínios da web locais na Índia, Colômbia e Vietnã, respectivamente.

Na Austrália, credenciais comprometidas ou roubadas foram responsáveis ​​pela maioria dos incidentes de segurança cibernética e uma em cada quatro empresas relatou violações de dados no segundo semestre de 2023. O Comissário de Informação Australiano disse que os ataques envolvendo credenciais comprometidas ou roubadas foram responsáveis ​​por 56% de todos os incidentes de segurança cibernética. , em comparação com 27% para ataques de ransomware (consulte: A maioria das violações australianas em 2023 começou com roubo de credenciais ).

A empresa de segurança cibernética Group-IB observou no ano passado que o número de corretores de acesso inicial que operam em todo o mundo aumentou 45% em relação ao ano anterior, mas o seu número na região APAC quase triplicou. O mercado de venda de acesso a redes corporativas na Ásia-Pacífico aumentou de meros 223.000 dólares em 2019 para mais de 3,3 milhões de dólares em 2021.

“Os IABs desempenham o papel de produtores de petróleo para toda a economia subterrânea. Eles alimentam e facilitam as operações de outros criminosos, como ransomware e adversários do Estado-nação”, disse o CEO do Grupo-IB, Dmitry Volkov. “À medida que as vendas de acesso continuam a crescer e a se diversificar, os IABs são uma das principais ameaças a serem observadas.”