# T1650 - Acquire Access ## Descrição **Acquire Access** descreve a prática de adversários que **compram ou obtêm acesso pré-estabelecido** a sistemas e redes de vítimas - em vez de desenvolver suas próprias capacidades de intrusão inicial. Esse acesso é adquirido de **Initial Access Brokers (IABs)**, intermediários especializados que comprometem alvos em escala e revendem o acesso a grupos com maior capacidade de monetização. O acesso comercializado pode assumir diversas formas: credenciais válidas de VPN corporativa, sessões RDP ativas, web shells já implantadas ([[t1505-003-web-shell|Web Shell]]), conexões a serviços de acesso remoto externos ([[t1133-external-remote-services|External Remote Services]]) ou "loads" - malware leve já instalado no sistema da vítima que permite instalar payloads adicionais para o comprador. > **Contexto Brasil / LATAM:** O Brasil é **um dos países mais ativos no mercado de acesso inicial** da América Latina. Fóruns clandestinos como BreachForums e XSS listam regularmente acessos a empresas brasileiras dos setores financeiro, saúde, varejo e infraestrutura crítica. O [[g1051-medusa-ransomware|Medusa Group]] é um dos grupos de ransomware mais documentados comprando acesso a organizações brasileiras de IABs antes de iniciar operações de extorsão. Grupos de ransomware-as-a-service (RaaS) frequentemente terceirizam a fase de acesso inicial para IABs regionais que entendem o ambiente corporativo brasileiro - incluindo sistemas legados, ERP nacionais e VPNs desatualizadas amplamente usadas no país. > [!danger] Economia de acesso inicial > O mercado de IABs reduz drasticamente a barreira de entrada para ataques sofisticados. Um grupo de ransomware pode comprar acesso a uma rede corporativa brasileira por valores entre USD 500 e USD 50.000 - dependendo do porte da organização, privilégios disponíveis e volume de dados acessíveis. --- ## Attack Flow ```mermaid graph TB A([IAB compromete<br/>vítima previamente]) --> B[Acesso listado<br/>em fórum clandestino] B --> C{T1650\nAcquire Access}:::active C --> D[Acesso via<br/>Credenciais T1078] C --> E[Web Shell<br/>T1505.003] C --> F[Serviço Remoto<br/>T1133] C --> G[Load / Implante<br/>de primeiro estágio] D --> H([Adversário opera<br/>na rede da vítima]) E --> H F --> H G --> H H --> I([Movimentação lateral<br/>escalonamento de privs]) I --> J([Ransomware /<br/>Exfiltração / Espionagem]) classDef active fill:#e74c3c,color:#fff,stroke:#c0392b ``` --- ## Como Funciona ### Passo 1 - Identificação e compra do acesso O adversário monitora fóruns clandestinos (BreachForums, XSS, Exploit.in) e canais privados de Telegram em busca de acessos a organizações no perfil desejado - setor, tamanho, país, nível de privilégio. Os IABs geralmente fornecem evidências do acesso (capturas de tela do Active Directory, listagem de hosts, print de credenciais) para válidar a oferta. A compra é feita via criptomoedas, frequentemente com escrow para garantir a entrega. Em alguns casos, grupos formam parcerias para **compartilhar** acessos comprometidos sem transação financeira. ### Passo 2 - Validação e reconhecimento do ambiente Após receber o acesso, o adversário válida a conectividade e realiza reconhecimento interno básico: mapeia a rede, identifica controladores de domínio, verifica a presença de soluções de segurança (EDR, SIEM, WAF), avalia privilégios disponíveis e estima o volume de dados sensíveis. Esse reconhecimento orienta a decisão sobre qual payload usar e qual objetivo perseguir - ransomware, exfiltração de dados ou espionagem. O adversário pode complementar o acesso comprado com credenciais adicionais obtidas via [[t1589-001-credentials|Credentials]] ou [[t1597-002-purchase-technical-data|Purchase Technical Data]]. ### Passo 3 - Escalada e execução da missão Com o ambiente mapeado, o adversário instala implantes adicionais de segundo estágio para persistência, escala privilégios e avança para a fase de execução. No caso de ransomware, isso significa staging do encriptador, desativação de backups e exfiltração de dados antes da criptografia. No caso de espionagem, envolve coleta silenciosa de dados sensíveis via [[t1199-trusted-relationship|Trusted Relationship]] ou comprometimento de fornecedores conectados ([[t1195-supply-chain-compromise|Supply Chain Compromise]]). --- ## Detecção > [!info] Desafio de detecção > Quando o adversário chega via acesso comprado, ele usa **credenciais legítimas** e **canais autorizados** - a distinção entre comportamento legítimo e malicioso depende de análise comportamental, não de assinaturas. UEBA (User and Entity Behavior Analytics) é essencial. ### Event IDs relevantes (Windows) | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4624 | Security | Logon bem-sucedido - especialmente Logon Type 3 (rede) ou 10 (remoto interativo) em horário incomum | | 4625 | Security | Falha de logon repetida seguida de sucesso - indício de brute-force ou teste de credenciais | | 4648 | Security | Logon com credenciais explícitas - uso de `runas` ou autenticação alternativa suspeita | | 4720 | Security | Conta de usuário criada - possível backdoor de persistência pós-acesso | | 7045 | System | Novo serviço instalado - indicativo de instalação de ferramenta de acesso remoto | | 1 | Sysmon | Process Creaté - ferramentas de acesso remoto legítimas usadas de forma suspeita (AnyDesk, TeamViewer) | ### Sigma Rule - Logon remoto em horário anômalo com conta sensível ```yaml title: Acquire Access - Logon remoto suspeito com conta privilegiada id: a3f7b2e1-5c8d-4e90-bd42-3e4f5a6b7c89 status: experimental description: > Detecta logon remoto (RDP ou network) com conta de alto privilégio em horário fora do padrão operacional, associado a uso de acesso comprado de IABs (T1650). author: RunkIntel daté: 2026-03-24 references: - https://attack.mitre.org/techniques/T1650 logsource: product: windows service: security detection: selection_logon: EventID: - 4624 LogonType: - 3 - 10 selection_privileged: SubjectUserName|contains: - 'admin' - 'administrator' - 'svc' - 'service' timeframe_anomaly: # Detectar fora do horário comercial - adaptar ao fuso horário da organização EventTime|gte: '00:00:00' EventTime|lte: '06:00:00' condition: selection_logon and selection_privileged and timeframe_anomaly falsepositives: - Manutenção programada fora do horário - Equipes de plantão com acesso legítimo noturno level: high tags: - attack.resource-development - attack.t1650 - attack.initial-access - attack.t1078 ``` --- ## Mitigação | Controle | Descrição | Aplicabilidade Brasil | |----------|-----------|----------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Monitorar fóruns clandestinos via threat intel para detectar acessos à sua organização sendo vendidos | Relevante para times de CTI de grandes corporações | | MFA em todos os acessos remotos | Implementar autenticação multifator em VPN, RDP, SSH e portais de administração | Crítico - muitos acessos vendidos por IABs são via VPN sem MFA | | Revisão periódica de credenciais | Rotacionar senhas de contas de serviço e administradores; desativar contas inativas | Ambientes legados brasileiros frequentemente têm contas dormentes | | PAM - Gerenciamento de Acesso Privilegiado | Controlar e auditar uso de contas privilegiadas com gravação de sessão | Adotado por bancos e telecoms; ainda raro em PMEs | | Monitoramento de Dark Web | Assinar serviços de monitoramento que alertam quando credenciais da organização aparecem em fóruns | Custo-benefício elevado; disponível via CrowdStrike, Recorded Future | | Zero Trust Network Access | Substituir VPN tradicional por solução ZTNA que válida continuamente identidade e contexto | Tendência crescente em grandes empresas brasileiras pós-pandemia | | Segmentação de rede | Impedir que um acesso inicial permita movimentação lateral irrestrita - microsegmentar ambientes críticos | Fundamental para hospitais, utilities e setor financeiro | --- ## Threat Actors e Software Associados | Ator | Contexto de uso no Brasil / LATAM | |------|----------------------------------| | [[g1051-medusa-ransomware\|Medusa Group]] | Compra acessos de IABs para ataques de ransomware a organizações brasileiras; documentado em múltiplos incidentes no Brasil | | [[lockbit-ransomware\|LockBit]] | Modelo RaaS com dependência de IABs para acesso inicial; afiliados ativos no Brasil | | [[black-basta\|Black Basta]] | Opera com IABs especializados em acesso a ambientes Active Directory | | [[g0016-apt29\|APT29]] | Em operações de espionagem, utiliza acessos adquiridos de terceiros para manter atribuição ambígua | | [[g1015-scattered-spider\|Scattered Spider]] | Combina engenharia social com compra de acessos para intrusão em ambientes cloud | **Técnicas relacionadas:** [[t1078-valid-accounts|T1078 - Valid Accounts]], [[t1133-external-remote-services|T1133 - External Remote Services]], [[t1505-003-web-shell|T1505.003 - Web Shell]], [[t1199-trusted-relationship|T1199 - Trusted Relationship]], [[t1195-supply-chain-compromise|T1195 - Supply Chain Compromise]], [[t1589-001-credentials|T1589.001 - Credentials]], [[t1597-002-purchase-technical-data|T1597.002 - Purchase Technical Data]] --- *Fonte: [MITRE ATT&CK - T1650](https://attack.mitre.org/techniques/T1650)*