Credenciais Roubadas

Mercado de Credenciais Roubadas Uma Nova Ameaça Cibernética

O artigo analisa a crescente atividade de atores de ameaças que transformam grandes coleções de credenciais roubadas em serviços subterrâneos pesquisáveis. Pesquisadores da Flare examinaram 470 postagens em fóruns underground entre janeiro de 2025 e junho de 2026, revelando que esses serviços permitem que compradores solicitem credenciais específicas de empresas, plataformas ou tipos de contas. Os resultados mostram uma camada de serviço dedicada entre infecções por infostealers e atividades de roubo de contas, onde os atores funcionam como corretores de credenciais, monetizando a capacidade de filtrar e entregar resultados direcionados. A análise indica que, embora os vendedores prometam acesso a grandes bases de dados, o feedback dos compradores revela uma discrepância entre o que é anunciado e a realidade, com muitas credenciais sendo inválidas ou duplicadas. Este modelo de serviço representa um exemplo prático de coleta de informações de identidade de vítimas, onde os adversários pesquisam e adquirem credenciais antes da exploração. O artigo destaca a importância de monitorar esses serviços para prevenir incidentes de segurança, especialmente em um cenário onde ataques à cadeia de suprimentos estão se tornando mais comuns.

Campanha de ataque à cadeia de suprimentos compromete pacotes do Red Hat

Uma nova campanha de ataque à cadeia de suprimentos, chamada Miasma, comprometeu pacotes do @redhat-cloud-services, visando roubar credenciais e segredos de máquinas de desenvolvedores, além de entregar um worm autorreplicante. O ataque utiliza táticas conhecidas de execução no momento da instalação, coleta de credenciais e exfiltração criptografada. Os pacotes afetados incluem vulnerabilidades-client, topological-inventory-client e outros. A análise de segurança revelou que os pacotes npm contêm um hook pré-instalado ofuscado, projetado para coletar segredos do GitHub, tokens npm, credenciais de nuvem e chaves SSH. O malware também possui lógica de exfiltração criptografada, transmitindo dados para um endpoint específico e utilizando o GitHub como mecanismo de fallback. Além disso, foi observado que o malware evita a execução em sistemas de língua russa. Acredita-se que a conta do GitHub de um funcionário da Red Hat tenha sido a porta de entrada para injetar o payload malicioso. Recomenda-se isolar os hosts afetados, remover as versões comprometidas e revisar atividades suspeitas no GitHub e npm. A desinstalação do pacote npm não é suficiente para a limpeza, devido à persistência do malware em ferramentas de desenvolvimento.

Credenciais roubadas e a importância do modelo Zero Trust

Em 2025, 22% das brechas de segurança foram atribuídas a credenciais roubadas, destacando a necessidade urgente de um modelo de segurança mais robusto. O Zero Trust, que elimina a confiança implícita e exige verificação constante de cada solicitação de acesso, é visto como uma solução eficaz. No entanto, sua implementação deve ser integrada a uma estratégia coesa de identidade, evitando lacunas que possam ser exploradas por atacantes. O artigo apresenta cinco abordagens práticas para fortalecer a segurança da identidade dentro do modelo Zero Trust. Entre elas, destaca-se a aplicação do princípio do menor privilégio, que limita o acesso excessivo e reduz a exposição em caso de comprometimento de contas. Além disso, a autenticação contínua e contextual é essencial para prevenir ataques como sequestro de sessão. A segmentação de acesso e a governança centralizada de identidade também são fundamentais para limitar o movimento lateral de atacantes e garantir visibilidade em ambientes complexos. A adoção gradual dessas práticas pode ajudar as organizações a protegerem seus pontos de entrada mais vulneráveis, especialmente em um cenário de trabalho remoto crescente.

Credenciais roubadas uma prioridade de segurança em 2026

Em 2026, o roubo de credenciais se destaca como uma das principais preocupações em cibersegurança. Um estudo recente revelou que 85% das organizações consideram esse risco elevado, com 62% o colocando entre suas três principais prioridades de segurança. No entanto, muitas empresas ainda adotam soluções superficiais, como a autenticação multifator (MFA) e ferramentas genéricas, sem perceber que essas medidas não protegem adequadamente contra acessos não autorizados, especialmente quando os funcionários utilizam dispositivos não gerenciados para acessar serviços críticos. O custo médio de uma violação de dados envolvendo credenciais comprometidas pode variar entre 4,81 e 4,88 milhões de dólares, evidenciando a gravidade da situação. Além disso, em 2025, foram identificadas 4,17 bilhões de credenciais comprometidas, o que torna a simples monitoração de violações insuficiente. A pesquisa aponta que apenas 32% das empresas utilizam soluções dedicadas para monitoramento de credenciais, enquanto 60% realizam verificações de credenciais expostas raramente ou nunca. Para enfrentar essa ameaça, é necessário um programa de monitoramento de violações mais robusto, que inclua automação e integração com ferramentas de segurança existentes, permitindo uma resposta mais eficaz a incidentes.

Campanha de Cibersegurança Usa Credenciais Roubadas para Acesso Remoto

Pesquisadores de cibersegurança revelaram uma nova campanha de ataque que utiliza credenciais roubadas para implantar software legítimo de Monitoramento e Gerenciamento Remoto (RMM), permitindo acesso remoto persistente a sistemas comprometidos. Os atacantes, em vez de usar vírus personalizados, exploram ferramentas de TI confiáveis pelos administradores, transformando-as em portas dos fundos. A campanha ocorre em duas fases: inicialmente, e-mails falsos disfarçados de convites da plataforma Greenvelope são enviados para roubar credenciais de serviços como Microsoft Outlook e Yahoo!. Após obter essas informações, os atacantes registram-se no LogMeIn com o e-mail comprometido para gerar tokens de acesso RMM. Um executável chamado ‘GreenVelopeCard.exe’, assinado com um certificado válido, é então utilizado para instalar o LogMeIn Resolve, permitindo que os atacantes alterem configurações de serviço e criem tarefas agendadas ocultas para garantir acesso contínuo. Para mitigar essa ameaça, recomenda-se que as organizações monitorem instalações e padrões de uso não autorizados de RMM.

Vazamento de dados da Proton expõe 300 milhões de credenciais na dark web

A empresa de tecnologia focada em privacidade, Proton, alertou sobre uma grave crise de vazamento de dados, revelando que centenas de milhões de credenciais de login roubadas estão circulando ativamente em mercados da dark web. Através de sua iniciativa de Vigilância da Dark Web, a Proton monitora fóruns cibernéticos para identificar e relatar vazamentos de dados em tempo real, ajudando empresas a se protegerem antes que incidentes de segurança se tornem públicos. O estudo da Proton destaca que quatro em cada cinco pequenas empresas sofreram vazamentos recentes, com custos que podem ultrapassar um milhão de dólares por incidente. Dados expostos incluem informações pessoais sensíveis, como nomes, endereços, números de telefone e senhas, além de dados críticos como números de segurança social e informações bancárias. Entre as empresas afetadas estão a companhia aérea australiana Qantas, a seguradora Allianz Life da Alemanha e a empresa de tecnologia Tracelo dos EUA, com milhões de registros comprometidos. Especialistas recomendam que as empresas implementem sistemas robustos de gerenciamento de senhas e autenticação multifatorial como primeira linha de defesa contra ataques baseados em credenciais.

Credenciais Roubadas e Motivação Financeira Impulsionam Ataques Cibernéticos

O relatório da FortiGuard sobre a primeira metade de 2025 revela que ataques cibernéticos motivados financeiramente dominaram os padrões de incidentes, destacando o uso abusivo de credenciais legítimas e ferramentas de gerenciamento remoto. Os atacantes estão optando por métodos de intrusão discretos e de baixa complexidade, utilizando logins válidos e canais de acesso remoto para se misturar às operações normais das empresas. O relatório também aponta que, embora ataques cibernéticos habilitados por IA chamem atenção, há pouca evidência de seu uso operacional eficaz. As violações baseadas em credenciais e o uso indevido de acesso remoto continuam sendo os principais vetores de acesso inicial. As técnicas de acesso inicial mais comuns incluem credenciais comprometidas e exploração de serviços VPN expostos. Após a intrusão, os atacantes utilizam ferramentas legítimas como AnyDesk e Splashtop para manter a persistência e exfiltrar dados. A Fortinet recomenda que as defesas se concentrem em detecções baseadas em identidade e comportamento, além de implementar controles de segurança como autenticação multifator (MFA) e políticas de acesso condicional. O alerta é claro: os atacantes não precisam mais hackear para entrar, eles simplesmente fazem login.