Credential Stuffing

Um estudo da Beazley Security revelou que 48% dos ataques de ransomware têm início com o roubo de credenciais de VPN, um aumento alarmante de 38% em relação ao trimestre anterior. Os cibercriminosos utilizam técnicas como o credential stuffing para acessar redes privadas virtuais, explorando vulnerabilidades como a falta de Autenticação Multifator (MFA). Além disso, 23% dos ataques foram realizados através da exploração de serviços externos. A pesquisa também destacou que 65% dos sequestros digitais foram perpetrados por três grupos criminosos notórios. O aumento nos vazamentos de dados sensíveis, que subiu 11% em comparação ao trimestre anterior, gera preocupação entre especialistas em segurança. É fundamental que as empresas escolham cuidadosamente seus provedores de VPN e implementem medidas de segurança adicionais, como antivírus e políticas de proteção de dados, para mitigar esses riscos. O uso de VPNs, embora ofereça uma navegação mais segura, não garante proteção contra ataques de phishing e ransomware, exigindo uma abordagem holística de segurança digital.

Um vazamento massivo de dados, revelado por Troy Hunt, expôs mais de 183 milhões de credenciais de usuários do Gmail e de outros serviços de e-mail. O incidente, que ocorreu em abril de 2025, foi descoberto após Hunt cruzar informações de fóruns e bases de dados da dark web. Os dados comprometidos totalizam 3,5 terabytes e incluem não apenas senhas do Gmail, mas também credenciais de outros serviços como Amazon e Netflix, aumentando o risco de ataques de credential stuffing. Os infostealers, softwares maliciosos que capturam credenciais durante o login, são os responsáveis por essa violação. Embora o Google tenha negado uma violação específica em seus sistemas, a presença de quase 200 milhões de contas em bases de dados criminosas levanta preocupações sobre a segurança dos dados pessoais. O uso comum de senhas reutilizadas entre diferentes serviços amplifica o risco para os usuários. Especialistas alertam que a situação é alarmante, pois milhões de pessoas podem ter suas contas comprometidas sem saber. O incidente destaca a necessidade urgente de medidas de segurança mais robustas e conscientização sobre práticas seguras de gerenciamento de senhas.

Um aumento significativo nos ataques aos portais de login do Palo Alto Networks GlobalProtect foi registrado, com mais de 2.200 endereços IP únicos envolvidos em tentativas de acesso em 7 de outubro de 2025. A GreyNoise, empresa de monitoramento de cibersegurança, observou que o número de IPs únicos que realizavam varreduras nos portais subiu de aproximadamente 1.300 em 3 de outubro para mais de 2.200 em apenas quatro dias. Essa atividade sugere uma campanha de ‘credential stuffing’, onde listas extensas de credenciais, possivelmente obtidas de vazamentos anteriores, estão sendo utilizadas. A análise geográfica revelou que 91% dos IPs que realizavam as varreduras estavam localizados nos Estados Unidos, com outros clusters significativos no Reino Unido, Países Baixos, Canadá e Rússia. O aumento repentino de tentativas de login, que coincide com um evento semelhante de varredura em dispositivos Cisco ASA, indica uma possível coordenação entre os atacantes. Para mitigar esses ataques, recomenda-se que as organizações bloqueiem ou monitorem os IPs identificados pela GreyNoise, implementem autenticação multifatorial e revisem os logs de login em busca de combinações incomuns de nome de usuário e senha.