# T1597.002 - Purchase Technical Data ## Descrição Adversários podem adquirir informações técnicas sobre alvos mediante pagamento, com o objetivo de enriquecer suas operações de reconhecimento. Dados técnicos podem estar disponíveis em fontes legítimas - como bancos de dados de varredura de rede, serviços de inteligência de ameaças comerciais, ou registros de vazamentos historicamente públicados - ou em fontes clandestinas como mercados da dark web e fóruns de cibercrime. Esta sub-técnica está inserida no contexto de [[t1213-006-databases|Databases]], compondo a fase de [[reconnaissance|Reconhecimento]] do ciclo de ataque. A aquisição de dados técnicos pode incluir: - **Credenciais comprometidas** - listas de usuários e senhas originadas de vazamentos anteriores (data breaches) - **Detalhes de infraestrutura** - endereços IP, blocos de rede, topologia interna exposta acidentalmente - **Informações sobre colaboradores** - e-mails corporativos, cargos, departamentos (úteis para [[t1598-phishing-for-information|Phishing for Information]]) - **Dados de certificados e configurações** - informações sobre sistemas legados, versões de software, configurações de firewall - **IoCs internos** - hashes de arquivos, strings de configuração que identificam versões específicas de softwares usados pelo alvo Ao contrário do reconhecimento ativo (como [[t1595-active-scanning|T1595 - Active Scanning]]), esta técnica é passiva do ponto de vista da vítima: nenhuma sonda, varredura ou consulta direta é enviada à infraestrutura do alvo. Isso torna a detecção quase impossível pela organização afetada, pois toda a atividade ocorre fora de seus perímetros. > **Técnica pai:** [[t1213-006-databases|Databases]] --- ## Como Funciona A compra de dados técnicos geralmente ocorre em três cenários distintos: ### 1. Mercados legítimos de inteligência comercial Serviços como Shodan, Censys, ZoomEye, RiskIQ (atualmente Microsoft Defender Threat Intelligence) e SecurityTrails comercializam acesso a grandes volumes de dados coletados por varreduras periódicas da internet. Embora destinados a equipes de segurança, adversários sofisticados também assinam esses serviços para mapear: - Serviços expostos (portas abertas, banners de versão) - Certificados SSL/TLS e suas datas de expiração - Histórico de infraestrutura e mudanças de IP ao longo do tempo ### 2. Mercados da dark web e fóruns de cibercrime Plataformas como BreachForums, Exploit.in, XSS.is e mercados acessíveis via Tor disponibilizam: - **Combo lists** - combinações de e-mail/senha derivadas de vazamentos anteriores - **Accesses iniciais vendidos** - credenciais de acesso VPN, RDP ou webshells já implantadas - **Logs de infostealer** - capturas de RedLine, Raccoon, Vidar e similares, contendo cookies de sessão, credenciais salvas e histórico de navegação ### 3. Corretores de dados (Initial Access Brokers) Grupos especializados, conhecidos como Initial Access Brokers (IABs), realizam invasões iniciais e vendem o acesso a grupos de ransomware ou operações de espionagem. Os dados vendidos por IABs incluem: - Credenciais de acesso a VPNs corporativas - Shells em servidores web comprometidos - Acesso a painéis de administração (Active Directory, VMware vCenter, etc.) O grupo [[g1004-lapsus|LAPSUS$]] utilizou explicitamente esta técnica, comprando credenciais em plataformas como Telegram e dark web para obter acesso inicial a empresas como Nvidia, Samsung e Microsoft antes de extorquí-las. --- ## Attack Flow ```mermaid graph TB A["Identificação do Alvo<br/>(Empresa, Setor, Infraestrutura)"] --> B["Busca em Fontes Comerciais<br/>(Shodan, Censys, SecurityTrails)"] A --> C["Acesso a Mercados Dark Web<br/>(BreachForums, Telegram, Tor)"] B --> D["Aquisição de Dados Técnicos<br/>(Credenciais, IPs, Configs)"] C --> D D --> E["Correlação e Validação<br/>(Testar credenciais, mapear infra)"] E --> F["Planejamento do Ataque<br/>(Phishing dirigido, exploração)"] F --> G1["Initial Access via<br/>Valid Accounts"] F --> G2["Reconhecimento adicional<br/>Domains"] F --> G3["Desenvolvimento de Capabilities<br/>Develop Capabilities"] ``` --- ## Exemplos de Uso ### LAPSUS$ - 2021-2022 O grupo [[g1004-lapsus|LAPSUS$]], composto majoritariamente por adolescentes do Reino Unido e Brasil, ficou notório por comprar e roubar credenciais de funcionários de grandes empresas de tecnologia. O grupo utilizava Telegram para recrutar insiders e comprar acesso a sistemas internos. Entre os alvos comprometidos estavam Nvidia, Samsung, T-Mobile, Ubisoft, Okta e Microsoft. O modus operandi incluía a compra de logs de infostealers que continham credenciais corporativas de funcionários, especialmente tokens de autenticação de ferramentas como Confluence, GitLab, JIRA e GitHub Enterprise. ### Operações de Ransomware - Acesso via IABs Grupos como [[lockbit|LockBit]], [[blackcat|BlackCat]] e Cl0p regularmente adquirem acesso inicial de IABs. O modelo de negócio funciona da seguinte forma: 1. IAB compromete uma organização via phishing ou exploração de CVE 2. IAB lista o acesso em fóruns como BreachForums por valores entre USD 500 e USD 50.000 3. Operador de ransomware adquire o acesso 4. Deploy do ransomware e negociação de resgate ### Espionagem Estatal - Aquisição de Ferramentas Comerciais Grupos APT patrocinados por estados, como [[g0016-apt29|APT29]] (Rússia), também compraram dados e ferramentas comerciais. Em alguns casos, o uso de dados legítimos de inteligência comercial serve como "ruído" para dificultar a atribuição. --- ## Detecção A detecção desta técnica é inerentemente limitada, pois a atividade ocorre fora da infraestrutura da vítima. No entanto, existem indicadores indiretos: ### Monitoramento proativo recomendado - **Threat intelligence feeds**: Monitorar plataformas como Have I Been Pwned, DeHashed, IntelX e Flare.io para detectar credenciais corporativas em vazamentos - **Dark web monitoring**: Serviços como Recorded Future, Flashpoint, e Digital Shadows monitoram fóruns clandestinos em busca de dados da organização - **Detecção de credential stuffing**: Analisar padrões de autenticação anômalos (multiple failed logins seguidos de sucesso, logins de geolocalização incomum) ```yaml title: Credential Stuffing Detection - T1597.002 status: experimental logsource: category: authentication product: windows detection: selection_failed: EventID: 4625 LogonType: 3 timeframe: 5m condition: selection_failed | count() by TargetUserName > 10 level: high tags: - attack.reconnaissance - attack.t1597.002 - attack.credential_access falsepositives: - Usuários com múltiplos dispositivos em zonas diferentes - Sistemas de scan interno de credenciais ``` ### Indicadores comportamentais pós-compra | Indicador | Sinal | Ação | |-----------|-------|------| | Login bem-sucedido de IP nunca visto | Alta probabilidade de uso de credencial comprada | Bloquear + investigar | | Acesso a recursos sensíveis imediatamente após login | Adversário já conhece o layout interno | Isolar sessão | | Login fora do horário de trabalho do usuário | Credencial sendo usada por terceiro | MFA push + alerta | | User-Agent string incomum (ferramenta automatizada) | Credential stuffing em andamento | Raté limiting + bloqueio | --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1056 | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Mitigação pré-compromisso - difícil de implementar diretamente, pois a compra ocorre fora do ambiente da vítima | | - | Autenticação Multifator (MFA) | Implementar MFA em todos os sistemas de acesso remoto inválida credenciais compradas sem o segundo fator | | - | Monitoramento de vazamentos | Assinar serviços de dark web monitoring para detectar credenciais corporativas em circulação | | - | Rotação periódica de credenciais | Reduz a jánela de válidade de credenciais já comprometidas e em circulação | | - | Zero Trust Architecture | Princípio de menor privilégio e verificação contínua reduz o impacto do uso de credenciais compradas | | - | Passwordless Authentication | Elimina senhas reutilizáveis como superfície de ataque comprável | --- ## Contexto Brasil/LATAM O Brasil é um dos países mais afetados pela compra e venda de dados técnicos na dark web, tanto como **fonte** quanto como **alvo**: ### Brasil como fonte de dados comprometidos O ecossistema de cibercrime brasileiro é um dos mais prolíficos do mundo em termos de infostealers e banking trojans. Famílias como [[s0531-grandoreiro|Grandoreiro]], [[s0455-metamorfo|Casbaneiro]], e [[mekotio|Mekotio]] coletam sistematicamente credenciais de usuários brasileiros, que posteriormente são vendidas em fóruns internacionais. Isso significa que credenciais de funcionários de empresas brasileiras frequentemente circulam em mercados como BreachForums meses antes de serem usadas em ataques. ### Setores mais visados no Brasil - **Setor financeiro** ([[sector-financeiro|Financeiro]]): bancos, fintechs e corretoras têm alto valor de credenciais - **Governo** ([[sector-governo|Governo]]): credenciais de sistemas federais (GOV.BR, SIAFI, sistemas do Congresso) - **Telecomúnicações** ([[sector-telecom|Telecomúnicações]]): portadoras como Claro, Vivo e TIM são alvos frequentes ### Regulatório: LGPD e obrigação de notificação A [[lei-geral-de-proteção-de-dados|LGPD]] (Lei 13.709/2018) obriga organizações a notificar a [[anpd|ANPD]] sobre incidentes de segurança que envolvam dados pessoais, o que inclui vazamentos que possam resultar em dados sendo vendidos em mercados clandestinos. Organizações devem implementar monitoramento contínuo de seus dados em fontes abertas e fechadas. ### Casos notáveis no Brasil - **Vazamento de dados do Detran/SP (2021)**: Dados de 100+ milhões de brasileiros foram vendidos na dark web - **Vazamento do INSS (2020)**: Dados do Cadastro de Pessoas Físicas (CPF) e outros dados previdenciários circularam em fóruns - **Grupo LAPSUS$**: Três membros brasileiros do grupo foram identificados e investigados no Brasil --- ## Referências - [MITRE ATT&CK - T1597.002](https://attack.mitre.org/techniques/T1597/002) - [Recorded Future - Initial Access Brokers](https://www.recordedfuture.com/initial-access-broker-ecosystem) - [Mandiant - IAB Market](https://www.mandiant.com/resources/blog/initial-access-brokers) - [Microsoft - LAPSUS$ DEV-0537](https://www.microsoft.com/en-us/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/) - [CISA - Dark Web Monitoring Guidance](https://www.cisa.gov/) - [[t1213-006-databases|Databases]] - [[t1598-phishing-for-information|T1598 - Phishing for Information]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[m1056-pre-compromise|M1056 - Pre-compromise]]