# DET0880 — Detection of Purchase Technical Data ## Descrição A estratégia DET0880 aborda a detecção de adversários que adquirem dados técnicos sobre alvos através de compra em mercados clandestinos, corretores de dados ou fontes fechadas de inteligência. Isso inclui credenciais corporativas vendidas em fóruns de crime cibernético, acesso inicial (Initial Access Brokers — IABs), dados de configuração de rede, informações sobre sistemas internos e documentação técnica proprietária exfiltrada de brechas anteriores. O ecossistema de Initial Access Brokers (IABs) é particularmente relevante: grupos especializados vendem acesso já estabelecido a redes corporativas para operadores de ransomware e grupos APT, eliminando a necessidade de conduzir reconhecimento e intrusão inicial. Credenciais corporativas são regularmente encontradas em marketplaces como Genesis Store, Russian Market e 2easy, extraídas por infostealers como RedLine, Raccoon e Vidar. A detecção desta atividade é intrinsecamente difícil por ocorrer em ambientes externos. As melhores abordagens incluem monitoramento de menções à organização em fóruns de crime cibernético via dark web monitoring, correlação de credenciais comprometidas identificadas em dumps públicos com contas corporativas, e análise forense de infostealers para identificar potencial exfiltração de dados técnicos internos. ## Indicadores de Detecção - Credenciais corporativas identificadas em bases de dados de infostealer (ex: Hudson Rock, SpyCloud) - Menção a venda de acesso à rede corporativa em fórum de crime cibernético monitorado - Post em dark web ofertando documentação técnica interna ou diagramas de rede corporativa - Login bem-sucedido com credenciais que aparecem em dumps de brechas públicas recentes - Certificado digital ou chave privada corporativa identificada em repositório público ou dark web - Acesso a sistemas internos a partir de IP associado a IAB ou operador de ransomware conhecido - Correlação entre exfiltração de dados por infostealer e início de campanha direcionada ## Técnicas Relacionadas - [[T1597.002-purchase-technical-data|T1597.002 — Search Closed Sources: Purchase Technical Data]] - [[t1597-search-closed-sources|T1597 — Search Closed Sources]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1110-004-credential-stuffing|T1110.004 — Brute Force: Credential Stuffing]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1566-phishing|T1566 — Phishing]] ## Analytics Relacionadas - [[an2012-analytic-2012|AN2012 — Analytic 2012]] --- *Fonte: [MITRE ATT&CK — DET0880](https://attack.mitre.org/detectionstrategies/DET0880)*