# T1591.003 - Identify Business Tempo ## Descrição Adversários podem coletar informações sobre o **ritmo operacional da organização-alvo** para uso na fase de targeting. Conhecer o "business tempo" de uma empresa - seus horários de funcionamento, ciclos operacionais, períodos de alta atividade e jánelas de vulnerabilidade humana - permite que ataques sejam cronometrados com precisão cirúrgica para maximizar o impacto e minimizar a probabilidade de detecção imediata. Esta sub-técnica pertence ao grupo [[t1591-gather-victim-org-info|T1591 - Gather Victim Org Information]] e vai além de simplesmente saber "quando a empresa abre". Inclui a compreensão de: - **Horários de operação** de diferentes departamentos (TI, financeiro, RH, jurídico) - **Dias de menor vigilância** (finais de semana, feriados nacionais, datas comemorativas específicas do setor) - **Ciclos de compras e entregas** de hardware e software (atualizações de sistema, renovações de licença) - **Períodos de pico operacional** que distraem equipes de segurança (fechamentos fiscais, lançamentos de produtos, fusões e aquisições) - **Fusos horários** de equipes distribuídas e jánelas de cobertura de SOC - **Rotinas de manutenção** (jánelas de patching, backups programados, atualizações de sistemas) As informações de business tempo podem ser obtidas de diversas formas: via [[t1598-phishing-for-information|Phishing for Information (T1598)]] direcionado a funcionários, através de [[t1593-001-social-media|redes sociais (T1593.001)]] onde colaboradores frequentemente públicam sobre rotinas de trabalho, por meio de [[t1594-search-victim-owned-websites|Search Victim-Owned Websites (T1594)]] que podem revelar horários de aténdimento, e através de dados expostos em [[Domains (T1593)]]. > **Técnica pai:** [[t1591-gather-victim-org-info|T1591 - Gather Victim Org Information]] | **Tática:** Reconnaissance | **Versão:** 16.2 --- ## Como Funciona O reconhecimento de business tempo é uma técnica que combina OSINT com engenharia social sutil. Adversários experientes constroem um perfil temporal detalhado da organização-alvo antes de qualquer ação ofensiva: **1. Análise de fontes abertas** - **LinkedIn e redes sociais corporativas:** publicações de funcionários frequentemente revelam horários de trabalho, fuso horário, práticas de trabalho remoto e períodos de férias - **Glassdoor e plataformas similares:** avaliações de ex-funcionários frequentemente mencionam cultura de horas extras, rotatividade de turno do SOC e práticas de plantão - **Comúnicados de imprensa e relatórios anuais:** revelam calendários fiscais, datas de fechamento de trimestre e ciclos de auditoria - **Sites de licitação e compras governamentais:** para entidades públicas, editais revelam contratos de manutenção com jánelas programadas - **Job postings:** vagas abertas revelam tecnologias utilizadas, tamanho das equipes e eventuais momentos de transição organizacional **2. Observação e correlação temporal** Adversários podem correlacionar atividades online da organização (publicações em redes sociais corporativas, atualizações de blog, envios de formulários públicos) para inferir horários de operação com precisão. Ferramentas de OSINT permitem mapear o histórico de metadados de publicações para identificar padrões. **3. Elicitação direta via pretexting** Contatos telefônicos com pretexto legítimo (simular ser fornecedor, cliente ou parceiro) podem extrair informações sobre horários de expediente, disponibilidade de equipes específicas e procedimentos de plantão - sem levantar suspeitas imediatas. **4. Monitoramento de jánelas de supply chain** Datas de entrega de hardware, renovação de contratos de software e ciclos de patching - informações frequentemente visíveis em licitações públicas ou comúnicados corporativos - criam jánelas onde sistemas podem estar temporariamente vulneráveis durante atualizações. **Por que isso importa para o adversário:** A escolha precisa do momento de ataque pode ser a diferença entre sucesso e fracasso. Um ataque de ransomware iniciado às 3h de uma sexta-feira antes de um feriado prolongado garante que a encriptação se complete antes que alguém perceba. Uma campanha de BEC cronometrada para o período de fechamento trimestral, quando o volume de transferências é alto e as equipes estão sobrecarregadas, tem maior chance de passar despercebida. --- ## Attack Flow ```mermaid graph TB A[Identificação do Alvo<br/>Organização e setor] --> B[Coleta de Dados Temporais<br/>LinkedIn, redes sociais, press releases] B --> C[Análise de Publicações Corporativas<br/>Horários, feriados, ciclos fiscais] C --> D[Mapeamento de Fusos Horários<br/>Equipes distribuídas, SOC coverage] D --> E[Identificação de Jánelas de Vulnerabilidade<br/>Finais de semana, feriados, períodos de pico] E --> F[Correlação com Ciclos de Supply Chain<br/>Patching, entregas de hardware, renovações] F --> G[Elicitação via Pretexting<br/>Contato indireto para confirmar padrões] G --> H{Jánela Ideal Identificada?} H -->|Sim| I[Planejamento Cronometrado<br/>Ataque em horário de máximo impacto] H -->|Não| J[Reconhecimento Adicional<br/>T1598 / T1593.001 / T1591.002] J --> B I --> K[Execução do Ataque<br/>Ransomware / BEC / Intrusão furtiva] ``` --- ## Exemplos de Uso ### Ransomware - Timing de Feriados e Fins de Semana Operadores de ransomware como [[lockbit|LockBit]], [[blackcat|BlackCat]] e o extinto [[conti|Conti]] demonstraram consistentemente a prática de iniciar ataques em momentos estratégicos. O FBI e a CISA emitiram alertas específicos sobre a tendência de ataques de ransomware serem iniciados em feriados e fins de semana nos EUA. Esta estratégia é possível apenas após reconhecimento cuidadoso do business tempo da vítima. ### APT Groups - Alinhamento com Fuso Horário do SOC Grupos APT patrocinados por estados frequentemente operam durante as horas de trabalho de seu próprio país, mas cronometram ações específicas (execução de payload, exfiltração de dados) para coincidir com o período de menor vigilância do SOC da vítima. Um grupo operando da Ásia Oriental tipicamente executa suas ações mais ruidosas durante a madrugada brasileira. ### BEC - Fechamentos Trimestrais e Fiscais Golpes de Business Email Compromise ([[t1566-phishing|T1566]]) direcionados a departamentos financeiros são frequentemente cronometrados para coincidir com os últimos dias do trimestre fiscal, quando o volume de transações é elevado, as equipes estão sobrecarregadas e a pressão para aprovar pagamentos rapidamente é alta. Adversários identificam esses ciclos via OSINT. ### Supply Chain - Jánelas de Manutenção O ataque à [[solarwinds-supply-chain|SolarWinds]] explorou o timing dos ciclos de atualização de software, inserindo código malicioso no processo de build que seria distribuído durante as atualizações regulares de produto - uma jánela de tempo previsível e bem documentada. ### Ataques Físicos Facilitados Em casos de espionagem corporativa ou industrial, o conhecimento do business tempo auxilia operações de acesso físico não autorizado a instalações durante períodos de menor vigilância humana - como feriados prolongados quando há redução de pessoal de segurança. --- ## Detecção Como técnica PRE-ATT&CK, a detecção direta é extremamente limitada pela organização-alvo. O reconhecimento ocorre em canais externos (redes sociais, OSINT, contatos indiretos) e não gera telemetria nos sistemas da vítima. As seguintes abordagens são possíveis: **Monitoramento de Exposição Organizacional** ```yaml title: Detecção de Coleta de Informações sobre Business Tempo status: experimental logsource: category: application product: siem-generic detection: selection_pretexting_call: EventType: 'InboundCall' CallerVerified: false RequestedInfo|contains: - 'horário de funcionamento' - 'responsável de plantão' - 'jánela de manutenção' - 'equipe de TI disponível' selection_unusual_osint_activity: EventType: 'LinkedInProfileView' ViewerType: 'Anonymous' TargetDepartment: - 'IT' - 'Security' - 'Finance' Volume|gte: 20 condition: selection_pretexting_call or selection_unusual_osint_activity level: medium tags: - attack.reconnaissance - attack.t1591.003 - attack.t1598 ``` **Indicadores Comportamentais:** - Picos incomuns de visualizações anônimas no LinkedIn de funcionários de TI e segurança - Contatos não solicitados perguntando sobre horários de funcionamento, responsáveis técnicos ou procedimentos de emergência - Solicitações de informações sobre contratos de manutenção via e-mail ou telefone com pretextos vagos **Monitoramento Proativo (Threat Hunting):** - Verificar periodicamente o que está exposto públicamente sobre a organização (exercícios de OSINT red team) - Monitorar menções à empresa em fóruns de crime cibernético usando serviços de dark web monitoring - Revisar se vagas de emprego públicadas expõem informações sobre tecnologias, tamanho de equipes e rotinas operacionais --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1056 | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Mitigação primária: limitar a exposição de informações sobre ritmos operacionais em canais públicos e na comúnicação externa não essencial. | | - | Consciência Situacional em Redes Sociais | Treinar funcionários para não publicar informações sobre rotinas de trabalho, plantões, horários de pico e procedimentos operacionais em redes sociais pessoais ou corporativas. | | - | Controle de Informação em Job Postings | Revisar vagas de emprego para evitar a exposição de informações operacionais sensíveis como tamanho de equipes de SOC, tecnologias utilizadas e horários de cobertura. | | - | Procedimentos Anti-Elicitação | Implementar políticas claras sobre quais informações operacionais podem ser compartilhadas com partes externas. Treinar recepcionistas e equipes de aténdimento para identificar tentativas de elicitação. | | - | Diversificação de Horários Operacionais | Quando possível, variar os horários de execução de tarefas críticas (backups, patching, manutenções) para dificultar a previsibilidade do adversário. Evitar padrões rígidos e anunciados publicamente. | | - | Alertas de Segurança em Feriados | Implementar monitoramento reforçado e alertas de menor tolerância durante períodos de alta vulnerabilidade conhecida (feriados prolongados, férias coletivas, Black Friday/Cyber Monday). | --- ## Contexto Brasil/LATAM O contexto brasileiro e latino-americano apresenta características únicas que tornam esta técnica especialmente relevante: **Calendário de feriados e implicações de segurança** O Brasil possui um dos maiores calendários de feriados do mundo, com 12 feriados nacionais, além de feriados estaduais e municipais que variam por localidade. Semanas como Carnaval (quando muitas empresas param por 5+ dias) e feriados prolongados (emenda do Corpus Christi, Independência) criam jánelas previsíveis de redução de vigilância. Grupos de ransomware são conhecidos por explorar exatamente esses períodos no contexto brasileiro. **Fuso horário e cobertura de SOC** A maioria das empresas brasileiras opera no horário de Brasília (UTC-3), mas muitas dependem de fornecedores de segurança gerenciada (MSSPs) com times distribuídos. A jánela entre 22h e 6h BRT representa cobertura reduzida para a maioria das organizações de médio porte sem SOC 24/7. Adversários europeus e asiáticos exploram sistematicamente essa jánela. **Ciclos financeiros brasileiros** O fechamento do exercício fiscal em dezembro/janeiro, o período de declaração de Imposto de Renda (março a maio) e os ciclos de fechamento contábil trimestral criam momentos de alta pressão em equipes financeiras e de TI. Ataques de BEC e ransomware direcionados ao setor financeiro frequentemente coincidem com esses períodos no Brasil. **Campanhas durante períodos eleitorais** As eleições brasileiras (2022, 2026) criaram e criarão padrões de aténção pública deslocada que adversários de espionagem política exploram. Campanhas de desinformação e ataques a infraestrutura de comunicação frequentemente são cronometrados para períodos de alta tensão política. **Setor de saúde - plantões e coberturas** Hospitais e operadoras de saúde brasileiras são alvos crescentes de ransomware. A estrutura de plantões de TI nessas instituições - frequentemente com cobertura mínima nos fins de semana - é um fator explorado por adversários. O ataque ao **Hospital das Clínicas** e incidentes similares no setor de saúde brasileiro demonstram o timing calculado. **Recomendações específicas para o contexto brasileiro:** - Implementar SOC com cobertura 24/7 ou contratar MSSP com SLA de resposta a incidentes em feriados - Criar planos de resposta a incidentes específicos para períodos de Carnaval, Natal/Ano Novo e outros feriados prolongados - Monitorar o padrão histórico de ataques contra a organização e o setor para identificar sazonalidade de adversários - Coordenar com o [[sources|CERT.br]] durante períodos de alto risco para obter alertas preemptivos --- ## Referências - [MITRE ATT&CK - T1591.003: Identify Business Tempo](https://attack.mitre.org/techniques/T1591/003) - [MITRE ATT&CK - T1591: Gather Victim Org Information](https://attack.mitre.org/techniques/T1591) - [FBI/CISA Alert - Ransomware Awareness for Holidays and Weekends (AA21-243A)](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-243a) - [CISA - Understanding Ransomware Threat Actors: LockBit](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a) - [CERT.br - Painel de Ataques na Internet](https://www.cert.br/stats/) - [Kaspersky LATAM - Panorama de Ameaças na América Latina](https://latam.kaspersky.com/blog/) - [[t1591-gather-victim-org-info|T1591 - Gather Victim Org Information]] - [[t1598-phishing-for-information|T1598 - Phishing for Information]] - [[t1593-001-social-media|T1593.001 - Social Media]] - [[t1594-search-victim-owned-websites|T1594 - Search Victim-Owned Websites]] - [[t1195-supply-chain-compromise|T1195 - Supply Chain Compromise]] - [[t1199-trusted-relationship|T1199 - Trusted Relationship]] - [[m1056-pre-compromise|M1056 - Pre-compromise]] --- *Fonte: [MITRE ATT&CK - T1591.003](https://attack.mitre.org/techniques/T1591/003) | Versão 16.2*