# DET0822 — Detection of Search Closed Sources ## Descrição Adversários utilizam fontes fechadas de informação — fóruns underground, mercados da dark web, canais Telegram privados e grupos criminosos fechados — para obter inteligência sobre organizações-alvo antes de iniciar ataques. Isso inclui a compra de credenciais vazadas de intrusões anteriores, aquisição de acesso inicial vendido por Initial Access Brokers (IABs), dados de clientes vazados em breaches anteriores e relatórios de reconhecimento compartilhados entre grupos de ameaça. O ecossistema de crime organizado como serviço (CaaS) tornou essa prática acessível a atores menos sofisticados. No contexto brasileiro e LATAM, fóruns como o antigo OGUsers, Breach Forums, e canais Telegram em português dedicados a fraude bancária e acesso corporativo são fontes ativas de dados sobre organizações. Informações financeiras de empresas brasileiras, bases de clientes e credenciais de acesso a sistemas bancários são frequentemente comercializadas nessas plataformas. Grupos de ransomware como [[lockbit-operators]] e [[blackcat]] frequentemente adquirem acesso inicial de IABs antes de lançar ataques de extorsão. A detecção dessa atividade requer monitoramento proativo de fontes abertas e fechadas por parte da equipe de threat intelligence — o que inclui subscrição a feeds de inteligência de dark web, monitoramento de menções à organização em fóruns underground, e correlação de credenciais vazadas com contas ativas da organização. Quando dados da organização são identificados em fontes fechadas, a resposta imediata inclui rotação de credenciais, revisão de acessos e investigação de possível comprometimento anterior, conforme descrito em [[t1597-search-closed-sources|T1597-search-closed-sources]] e [[t1589-gather-victim-identity-information|T1589-gather-victim-identity-information]]. ## Indicadores de Detecção - Credenciais corporativas identificadas em novos dumps em fóruns underground via threat intel feeds - Menções à organização em canais Telegram ou fóruns da dark web correlacionadas com coleta de threat intel - Tentativas de login com credenciais que constam em dumps específicos de datas recentes - Acesso a dados da organização oferecido em marketplace de IABs identificado em monitoramento - Aumento inexplicável em tentativas de login ou reconhecimento após públicação de dump em fórum - Dados de clientes ou funcionários identificados em plataformas de vazamento como BreachForums - Correlação entre públicação de dados em fórum e início de campanha de phishing direcionada ## Técnicas Relacionadas - [[t1597-search-closed-sources|T1597-search-closed-sources]] — busca em fontes fechadas para obter informações de alvo - [[t1589-gather-victim-identity-information|T1589-gather-victim-identity-information]] — coleta de identidades a partir de vazamentos - [[t1078-valid-accounts|T1078-valid-accounts]] — uso de credenciais adquiridas em fóruns para acesso inicial - [[t1110-brute-force|T1110-brute-force]] — credential stuffing com dados obtidos em fontes fechadas - [[t1213-data-from-information-repositories|T1213-data-from-information-repositories]] — dados internos obtidos via fontes fechadas após comprometimento ## Analytics Relacionadas - [[an1954-analytic-1954|AN1954 — Analytic 1954]] --- *Fonte: [MITRE ATT&CK — DET0822](https://attack.mitre.org/detectionstrategies/DET0822)*