Dados recentemente publicados afirmam que cibercriminosos roubaram 1.753.658 dados de acesso (nome de usuário e senha) de mais de 49 mil sites pertencentes a órgãos governamentais após infectarem os computadores das vítimas com malware.
A Dark Tracer, empresa que monitora a atividade criminosa na dark web, publicou através de sua conta oficial no Twitter uma lista de mais de 10 mil sites de órgãos públicos afetados pelo roubo de dados de acesso. Por outro lado, a empresa esclarece que a lista inclui tanto os usuários públicos destes serviços quanto os usuários internos das instituições.
Stealer Malware Intelligence Report - Government
1,753,658 credentials of 49K+ government sites have been leaked from users infected with Stealer malware.
*The users may include government users or public users of gov public services*TOP 10,000 sites:https://t.co/6cBABpuzL4 pic.twitter.com/zmp5a0d92p
— DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) March 2, 2022
A publicação destaca um tipo de malware conhecido em inglês como stealer em referência a capacidade da ameaça de roubar dados de acesso de computadores infectados. Existem vários códigos maliciosos que contam com essa finalidade, tais como o Raccoon, o Vidar ou o RedLine Stealer. Na verdade, o RedLine Stealer é um malware que há alguns meses foi identificado como a principal fonte de dados de acesso roubados da dark web. Ele foi usado recentemente em uma campanha que distribuiu um falso instalador do Windows 11 e no ano passado foi usado em outra campanha distribuída através de links maliciosos na descrição de vídeos no YouTube.
Somente no mês passado, mais de 103 mil usuários foram infectados com malwares que roubam dados de acesso do tipo ReadLine, e em janeiro de 2022, mais de 7 milhões de credenciais roubadas estavam sendo distribuídas na dark web.
Stealer Malware Intelligence Report - Global
January 2022103K+ of users has been infected with Stealer like Redline.
7,719,443 of credentials are leaked from the users and are distributed on Dark/Deep Web in Jan 2022.
Check who has been infected in https://t.co/DzUh5ZxcnN pic.twitter.com/bXLcBkLJAJ— DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) February 9, 2022
Além do Brasil, a lista inclui sites pertencentes a órgãos governamentais de vários países da América Latina, como Argentina, Bolívia, Colômbia, Chile, Equador, México, Paraguai, Peru, Venezuela, entre outros, bem como dos Estados Unidos, Reino Unido e Espanha, por exemplo.
Os centros de resposta a incidentes (CERTs) de alguns países alertaram sobre este vazamento de dados de acesso, como é o caso do CERT da Argentina, que recentemente publicou uma declaração oficial com orientações voltadas para as organizações com o intuito de que revisem sua política de gerenciamento de senhas, excluam ou suspendam credenciais que não tenham sido utilizadas por algum tempo e que realizem campanhas de conscientização.
Esse tipo de dado de acesso são frequentemente vendidos em fóruns da dark web e adquiridos por criminosos para realizar outros tipos de ataques. Por exemplo, acessar contas de usuários e obter informações sensíveis. Nestes casos, a autenticação em dois fatores é de grande valor, pois se a opção estiver disponível e habilitada pelos usuários, um atacante não poderá acessar a conta sem verificar sua identidade através de um código de segurança.
É importante destacar que existe o risco de que essas mesmas credenciais tenham sido usadas para acessar outros serviços na internet, ou seja, os atacantes também podem acabar tendo acesso a outras contas caso a mesma senha tenha sido reutilizada. Tendo isso em conta, a principal dica é atualizar os dados de acesso e tentar incorporar esta prática como um hábito de segurança recorrente. Para facilitar essa atividade, recomendamos o uso de um gerenciador de senhas, pois além de oferecer a possibilidade de criar senhas únicas e fortes, nos permite armazenar em um só lugar as credenciais de acesso para todas as nossas contas on-line.