# PROC - Valid Accounts: Acesso Inicial via Brokers de Credenciais (IAB) > [!critical] Procedimento Crítico - Vetor #1 de Ransomware > Credenciais corporativas roubadas por infostealers são vendidas por Initial Access Brokers (IABs) em fóruns da dark web, permitindo que afiliados de ransomware acessem redes corporativas com contas legítimas. Este é o vetor de acesso inicial mais utilizado em operações de ransomware globalmente, com impacto severo na América Latina. ## Visão Geral O ecossistema de **Initial Access Brokers (IABs)** representa uma das maiores ameaças à segurança corporativa atual. Trata-se de um mercado especializado na dark web onde credenciais válidas de acesso a redes corporativas são compradas e vendidas como commodities. O modelo opera como uma cadeia de suprimentos criminosa: operadores de [[raccoon-stealer|Raccoon Stealer]], [[redline-stealer|RedLine]] e [[vidar-stealer|Vidar]] infectam milhares de máquinas diariamente, extraem credenciais armazenadas em navegadores e aplicações, e revendem esses acessos em marketplaces como Genesis Market, Russian Market e fóruns como Exploit e XSS. O impacto desta técnica é amplificado pelo modelo de **Ransomware-as-a-Service (RaaS)**. Afiliados de grupos como [[lockbit|LockBit]] e [[BlackCat]] não precisam desenvolver capacidades próprias de intrusão - basta comprar credenciais VPN, RDP ou SSO válidas por valores entre US$ 10 e US$ 10.000, dependendo do porte e setor da vítima. Credenciais de acesso a organizações financeiras e governamentais na América Latina têm sido consistentemente listadas nesses mercados. A técnica [[t1078-valid-accounts|T1078 - Valid Accounts]] é especialmente perigosa porque o acesso inicial ocorre com credenciais legítimas, dificultando a detecção por ferramentas tradicionais de segurança. Não há exploração de vulnerabilidades, não há payload malicioso na entrada - apenas um login aparentemente legítimo via [[t1133-external-remote-services|VPN]] ou [[t1021-001-remote-desktop-protocol|RDP]]. Os tipos de credenciais mais comercializados incluem: acessos VPN corporativos (Cisco AnyConnect, Fortinet, Pulse Secure), sessões RDP expostas, credenciais de plataformas cloud (Azure AD, AWS SSO, Google Workspace), e-mails corporativos com MFA ausente, e tokens de sessão ativos que permitem bypass de autenticação. ## Attack Flow ```mermaid graph TB A["🦠 Campanha de Infostealer<br/>Raccoon, RedLine, Vidar<br/>via phishing ou malvertising"] B["🔑 Coleta de Credenciais<br/>Senhas de navegadores, VPN<br/>tokens de sessão, cookies"] C["🏪 Marketplace Dark Web<br/>Genesis Market, Russian Market<br/>Fóruns Exploit e XSS"] D["💰 Compra por Afiliado RaaS<br/>Validação de credenciais<br/>Seleção por setor e receita"] E["🔓 Acesso Inicial<br/>Login VPN/RDP com<br/>credenciais legítimas"] F["🔍 Reconhecimento Interno<br/>AD enumeration, BloodHound<br/>Mapeamento de alvos"] G["⚡ Movimento Lateral<br/>Pass-the-Hash, RDP interno<br/>Escalação de privilégios"] H["💀 Impacto Final<br/>Ransomware, exfiltração<br/>Dupla extorsão"] A --> B --> C --> D --> E --> F --> G --> H classDef attack fill:#e74c3c,stroke:#c0392b,color:#ecf0f1 classDef broker fill:#e67e22,stroke:#d35400,color:#ecf0f1 classDef recon fill:#3498db,stroke:#2980b9,color:#ecf0f1 classDef impact fill:#9b59b6,stroke:#8e44ad,color:#ecf0f1 class A,B attack class C,D broker class E,F recon class G,H impact ``` **Legenda:** Vermelho = infecção e coleta | Laranja = ecossistema IAB | Azul = acesso e reconhecimento | Roxo = impacto ## Como Funciona ### 1. Infecção por Infostealer Campanhas massivas de infostealers como [[raccoon-stealer|Raccoon Stealer]], [[redline-stealer|RedLine]] e [[vidar-stealer|Vidar]] são distribuídas via phishing, malvertising e software pirata. Ao infectar a máquina da vítima, o malware extrai: - Senhas salvas em navegadores (Chrome, Firefox, Edge) - Credenciais de clientes VPN (Cisco AnyConnect, GlobalProtect, FortiClient) - Tokens de sessão e cookies de autenticação - Dados de autopreenchimento e carteiras de criptomoedas - Configurações de clientes RDP e FTP ### 2. Agregação e Validação Os operadores de infostealers agregam os logs de milhares de infecções em painéis de controle. Credenciais corporativas são identificadas por domínio de e-mail, classificadas por valor potencial (setor, país, porte da empresa) e válidadas automaticamente para confirmar que ainda estão ativas. ### 3. Listagem em Marketplaces Os IABs listam os acessos em fóruns especializados com informações como: - Tipo de acesso (VPN, RDP, Citrix, cloud SSO) - Setor da vítima e receita estimada - País e região - Nível de privilégio (usuário comum, admin, domain admin) - Preço (varia de US$ 10 para RDP básico a US$ 10.000+ para domain admin em empresa Fortune 500) ### 4. Aquisição por Afiliados de Ransomware Afiliados de operações RaaS como [[lockbit|LockBit]], [[BlackCat]] e [[revil|REvil]] monitoram continuamente esses marketplaces. A seleção do alvo é baseada em receita estimada da vítima (para calibrar o valor do resgate), setor (saúde e financeiro pagam mais rápido) e nível de acesso disponível. ### 5. Operação Pós-Acesso Após o login com credenciais válidas via [[t1133-external-remote-services|serviços remotos]], o atacante executa: - [[t1087-account-discovery|Descoberta de contas]] e enumeração do Active Directory - [[t1082-system-information-discovery|Reconhecimento do sistema]] para mapear a rede - [[t1570-lateral-tool-transfer|Transferência lateral de ferramentas]] como [[cobalt-strike|Cobalt Strike]] - [[t1486-data-encrypted-for-impact|Criptografia de dados]] para extorsão ## Detecção ### Indicadores Comportamentais | Indicador | Descrição | Severidade | |-----------|-----------|------------| | Impossible travel | Login de um usuário em dois países em intervalo impossível | Alta | | Horário anômalo | Autenticação fora do horário de trabalho habitual | Média | | Sessões concorrentes | Mesmo usuário autenticado de múltiplos IPs simultaneamente | Alta | | MFA bypass | Login bem-sucedido sem desafio MFA em conta que requer | Crítica | | Novo dispositivo + ação privilegiada | Primeiro login de um device seguido de ações administrativas | Alta | | Geolocalização inconsistente | Login de IP em país onde a empresa não opera | Alta | ### Regra Sigma - Autenticação Anômala ```yaml title: Detecção de Acesso via Credenciais IAB - Padrão Anômalo id: 9a3f1d2e-8b4c-4f6a-b1e7-c3d5e9f0a2b4 status: experimental description: > Detecta padrões de autenticação consistentes com uso de credenciais adquiridas de Initial Access Brokers - login fora do horário normal seguido de reconhecimento AD. logsource: product: windows service: security detection: login_event: EventID: 4624 LogonType: - 10 # RemoteInteractive (RDP) - 3 # Network (VPN) time_filter: - TimeCreated|time: '>=22:00' - TimeCreated|time: '<=05:00' recon_follow: EventID: - 4661 # SAM object access - 4662 # AD object access - 4798 # User group enumeration TimeCreated|endswith: '+00:30' condition: login_event and time_filter and recon_follow falsepositives: - Administradores em plantão legítimo - Usuários em viagem internacional - Contas de serviço com janelas de manutenção noturna level: high tags: - attack.initial_access - attack.t1078 - attack.valid_accounts ``` ### Fontes de Dados Recomendadas - [[ds0028-logon-session|DS0028 - Logon Session]]: monitoramento de sessões de autenticação - [[ds0002-user-account|DS0002 - User Account]]: alterações e comportamento de contas - Logs de VPN e proxy reverso (Cisco ASA, Fortinet, Palo Alto GlobalProtect) - Azure AD / Entra ID Sign-in Logs com análise de risco - Plataformas de dark web monitoring (Recorded Future, Flashpoint, Kela) ## Mitigação | Controle | Descrição | Prioridade | |----------|-----------|------------| | [[m1032-multi-factor-authentication\|MFA]] | MFA resistente a phishing (FIDO2/WebAuthn) em todos os acessos remotos | Crítica | | [[m1036-account-use-policies\|Políticas de conta]] | Conditional access: bloquear logins de geolocalizações não autorizadas | Alta | | [[m1027-password-policies\|Políticas de senha]] | Rotação imediata após detecção de credenciais em vazamentos | Alta | | [[m1018-user-account-management\|Gestão de contas]] | Revisão periódica de contas com acesso VPN/RDP | Média | | [[m1030-network-segmentation\|Segmentação de rede]] | Limitar movimentação lateral mesmo com credenciais válidas | Alta | | Monitoramento dark web | Serviço contínuo de detecção de credenciais em marketplaces | Alta | | Zero Trust Architecture | Validação contínua de identidade, dispositivo e contexto | Alta | | EDR em endpoints | Detecção de infostealers antes da exfiltração de credenciais | Alta | ## Atores que Utilizam | Ator | Modelo | Uso de IABs | Técnica Complementar | |------|--------|-------------|---------------------| | [[lockbit\|LockBit]] | RaaS com afiliados | Compra massiva de acessos VPN/RDP de IABs | Dupla extorsão, auto-propagação | | [[BlackCat]] | RaaS sofisticado | Rede de IABs dedicados, pagamento em Monero | Cross-platform (Windows, Linux, VMware) | | [[scattered-spider\|Scattered Spider]] | Engenharia social + IAB | Combina vishing com credenciais compradas | SIM swap, MFA fatigue | | [[volt-typhoon\|Volt Typhoon]] | APT estatal (China) | Credenciais válidas para Living-off-the-Land | Persistência furtiva em infraestrutura crítica | | [[apt29\|APT29]] | APT estatal (Rússia) | Token theft e credenciais cloud | Supply chain, cloud lateral movement | | [[revil\|REvil]] | RaaS (inativo) | Pioneiro no uso sistemático de IABs | Ataques a supply chain (Kaseya) | ## Relevância LATAM/Brasil > [!latam] Impacto Regional Elevado > O Brasil é um dos maiores alvos globais de infostealers, com dezenas de milhares de credenciais corporativas brasileiras disponíveis em marketplaces da dark web a qualquer momento. O setor financeiro brasileiro é particularmente visado. ### Cenário Brasileiro O Brasil ocupa posição de destaque no ecossistema global de infostealers por múltiplos fatores: - **Volume de infecções**: campanhas de [[raccoon-stealer|Raccoon Stealer]] e [[redline-stealer|RedLine]] consistentemente posicionam o Brasil entre os 5 países mais afetados globalmente - **Credenciais corporativas**: acessos VPN de empresas brasileiras dos setores [[financial|financeiro]], [[government|governo]] e [[healthcare|saúde]] são regularmente listados em Russian Market e Genesis Market - **Preço competitivo**: credenciais brasileiras são vendidas por valores relativamente baixos (US$ 10-50 para VPN, US$ 100-500 para domain admin), aumentando o volume de compradores - **Impacto LGPD**: vazamento de credenciais que resulta em acesso a dados pessoais configura incidente de segurança reportável à ANPD sob a Lei Geral de Proteção de Dados - **Banking trojans locais**: famílias como Grandoreiro e Mekotio também atuam como infostealers, alimentando o mercado de credenciais com foco em alvos brasileiros ### Recomendações Específicas para o Mercado Brasileiro 1. Contratar serviço de monitoramento de credenciais em dark web com cobertura de fóruns em português e russo 2. Implementar MFA resistente a phishing (FIDO2) prioritariamente em VPN e acesso remoto 3. Estabelecer processo de resposta rápida para credenciais detectadas em vazamentos (rotação em menos de 4 horas) 4. Monitorar logs de autenticação VPN para padrões de impossible travel com foco em IPs de países sem operação da empresa 5. Capacitar equipe de SOC para correlacionar alertas de infostealer em endpoint com tentativas de login subsequentes ## Referências - MITRE ATT&CK - [T1078: Valid Accounts](https://attack.mitre.org/techniques/T1078/) - CISA - [Understanding and Mitigating Russian State-Sponsored Cyber Threats](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-011a) - Mandiant - [Buying Breaching: The Rise of Initial Access Brokers](https://www.mandiant.com/resources/blog/buying-breaching) - Recorded Future - [Annual Report: Initial Access Brokers](https://www.recordedfuture.com/research/initial-access-brokers) - KELA - [The Dark Web Economy: Initial Access Brokers](https://www.kelacyber.com/intelligence-center/) - Secureworks - [Initial Access Brokers: Fueling Ransomware](https://www.secureworks.com/research/initial-access-brokers) - CERT.br - [Estatísticas de Incidentes](https://www.cert.br/stats/) - Tempest Security - [Panorama de Ameaças Brasil](https://www.tempest.com.br/blog)