Dark Web

O artigo explora as diferenças entre a surface web, deep web e dark web, desmistificando conceitos frequentemente associados a atividades ilícitas. A surface web é a parte da internet que é indexada por mecanismos de busca, contendo a maioria dos sites acessíveis ao público. Em contraste, a deep web inclui conteúdos não indexados, como e-mails, bancos online e bases de dados protegidas, que são essenciais para a privacidade e segurança dos usuários. A dark web, uma subcategoria da deep web, é acessível apenas por meio de softwares específicos, como o Tor, e é frequentemente associada a atividades ilegais, mas também serve a propósitos legítimos, como a proteção de jornalistas e dissidentes em regimes autoritários. O artigo enfatiza que, embora a dark web possa abrigar atividades criminosas, ela também é um espaço de anonimato e liberdade de expressão. A compreensão desses conceitos é crucial para navegar na internet de forma segura e informada.

Uma pesquisa da NordVPN revelou que o preço médio dos cartões de crédito brasileiros roubados na dark web subiu para US$ 10,70 (cerca de R$ 56,81) em 2025, um aumento de 26% em relação a 2023. O estudo analisou 50.705 registros de cartões listados em marketplaces da dark web, destacando que o Brasil se tornou um dos mercados mais procurados por cibercriminosos. O aumento no valor dos cartões pode ser atribuído à dinâmica de oferta e demanda, onde a escassez de informações de qualidade eleva os preços. A pesquisa também identificou que 87% dos cartões permanecem ativos por mais de 12 meses, o que aumenta seu valor comercial. Além disso, o estudo descreveu a cadeia de cibercriminosos envolvidos no processo de ‘carding’, que inclui harvesters, validators e cash-outers. Para se proteger, recomenda-se monitorar extratos bancários, usar senhas fortes e evitar armazenar dados de cartões em navegadores. O relatório alerta para a crescente ameaça de vazamentos de dados, com 300 milhões de registros pessoais já expostos na dark web em 2025.

Dois ex-profissionais de segurança cibernética, Ryan Clifford Goldberg e Kevin Tyler Martin, foram acusados de liderar uma operação de ransomware sofisticada que visava empresas americanas. Entre maio de 2023 e abril de 2025, eles supostamente utilizaram a variante ALPHV BlackCat para atacar pelo menos cinco grandes corporações em setores como dispositivos médicos e farmacêuticos. As acusações incluem conspiração para extorsão e danos intencionais a computadores protegidos. Os criminosos operavam por meio de um painel na dark web, onde as vítimas podiam negociar pagamentos em criptomoedas. O caso destaca a crescente capacidade das autoridades de rastrear cibercriminosos, mesmo em um ambiente de criptomoedas, e representa um aumento significativo nas ações legais contra operadores de ransomware. Os réus enfrentam penas de até 20 anos de prisão por extorsão e 10 anos por danos a computadores, além de possíveis multas e confisco de ativos relacionados ao esquema de ransomware.

Uma pesquisa da Proton revelou que 300 milhões de registros pessoais foram vazados na dark web, com 49% contendo senhas de usuários. O estudo, realizado com a ferramenta Data Breach Observatory, destacou que 71% dos dados expostos pertencem a pequenas e médias empresas. Além das senhas, 72% dos registros incluíam números de telefone e endereços, enquanto 34% continham informações de saúde e dados governamentais. O vazamento de credenciais é um indicativo de falhas graves na segurança digital, expondo os usuários a riscos de fraudes e ataques cibernéticos. A análise da Fortinet aponta que a combinação de contas legítimas com credenciais roubadas dificulta a detecção de fraudes, uma vez que os cibercriminosos podem se infiltrar nas atividades normais das empresas. A pesquisa também alerta que muitos vazamentos ocorrem com logins simples, sem a necessidade de técnicas sofisticadas. Para se proteger, é essencial adotar senhas fortes e únicas, além de implementar a autenticação de dois fatores sempre que possível.

A empresa de tecnologia focada em privacidade, Proton, alertou sobre uma grave crise de vazamento de dados, revelando que centenas de milhões de credenciais de login roubadas estão circulando ativamente em mercados da dark web. Através de sua iniciativa de Vigilância da Dark Web, a Proton monitora fóruns cibernéticos para identificar e relatar vazamentos de dados em tempo real, ajudando empresas a se protegerem antes que incidentes de segurança se tornem públicos. O estudo da Proton destaca que quatro em cada cinco pequenas empresas sofreram vazamentos recentes, com custos que podem ultrapassar um milhão de dólares por incidente. Dados expostos incluem informações pessoais sensíveis, como nomes, endereços, números de telefone e senhas, além de dados críticos como números de segurança social e informações bancárias. Entre as empresas afetadas estão a companhia aérea australiana Qantas, a seguradora Allianz Life da Alemanha e a empresa de tecnologia Tracelo dos EUA, com milhões de registros comprometidos. Especialistas recomendam que as empresas implementem sistemas robustos de gerenciamento de senhas e autenticação multifatorial como primeira linha de defesa contra ataques baseados em credenciais.

Na última semana, a Polícia Federal (PF) realizou a Operação Miopia no Rio de Janeiro, resultando na prisão preventiva de um homem em Botafogo. Ele é suspeito de integrar uma organização criminosa transnacional dedicada à disseminação de conteúdos de abuso sexual infantojuvenil em fóruns da dark web. Durante a operação, foram apreendidos oito computadores, quatro celulares e diversas mídias de armazenamento, que passarão por perícia técnica para determinar a extensão dos crimes. As investigações foram impulsionadas por cooperação internacional, evidenciando a natureza global das atividades criminosas. O suspeito não apenas participava de discussões com outros abusadores, mas também publicava conteúdos ilícitos. A PF destaca a importância de monitorar a atividade online de crianças e adolescentes, alertando para os riscos associados ao uso da internet e a necessidade de diálogo sobre segurança digital. A operação evidencia a gravidade dos crimes de abuso sexual, que vão além da produção e compartilhamento de material, incluindo aliciamento e estupro de vulneráveis. A PF ressalta a importância de usar terminologias adequadas, como ‘abuso sexual’, para refletir a seriedade das violações cometidas contra as vítimas.

Um novo e sofisticado kit de ferramentas de ransomware, chamado Monolock, foi identificado em fóruns da dark web, gerando preocupação nas comunidades de cibersegurança. Este ransomware é projetado para campanhas de ataque rápidas e automatizadas, apresentando capacidades técnicas avançadas. O Monolock oferece um pacote completo para operações de ransomware, incluindo módulos para automação de comando e controle, escalonamento de privilégios e técnicas de evasão persistente. Além disso, possui ferramentas para deletar cópias de sombra em sistemas-alvo, dificultando estratégias comuns de recuperação de desastres. O kit também conta com recursos anti-análise que evitam a execução em ambientes de segurança. Os operadores do Monolock estão recrutando afiliados com experiência em implantação de malware, oferecendo um programa de afiliados que inclui taxas de registro e uma divisão de lucros. A emergência do Monolock se alinha com a tendência de ransomware como serviço (RaaS), permitindo que grupos criminosos menores tenham acesso a ferramentas avançadas. Especialistas em segurança recomendam que as organizações monitorem indicadores de comprometimento relacionados ao Monolock e mantenham backups offline para se protegerem contra essa nova ameaça.

Com a crescente sofisticação das operações cibernéticas, as organizações precisam de estratégias robustas de defesa que vão além do firewall corporativo. O uso do dark web por cibercriminosos para negociar credenciais roubadas e planejar ataques torna essencial a adoção de ferramentas de monitoramento avançadas. O artigo destaca as dez melhores ferramentas de monitoramento da dark web para 2025, enfatizando a importância da Inteligência de Ameaças Cibernéticas (CTI) e da Proteção de Riscos Digitais (DRP). A seleção das ferramentas foi baseada em critérios como cobertura de dados, capacidade de análise, integração com fluxos de trabalho de segurança e especialização. Entre as ferramentas destacadas estão Recorded Future, DarkOwl, Digital Shadows e Flashpoint, cada uma oferecendo características únicas, como alertas em tempo real, análise humana e serviços de remediação automatizados. A evolução do mercado é impulsionada pela integração de análises baseadas em IA e pela necessidade de alertas de ameaças contextualizados e de alta fidelidade, tornando a escolha da plataforma certa crucial para os profissionais de segurança em 2025.

A NordVPN lançou uma nova funcionalidade chamada ‘alerta de sessão sequestrada’, que visa proteger os usuários contra a venda de cookies no dark web. Essa ferramenta é parte do pacote Threat Protection Pro, que já oferece proteção abrangente contra sites maliciosos, rastreadores e anúncios indesejados. O sequestro de sessão é uma técnica utilizada por hackers para roubar informações de autenticação dos usuários, permitindo acesso não autorizado a contas. A nova funcionalidade monitora o dark web em busca de cookies comprometidos e alerta os usuários em tempo real caso suas credenciais sejam encontradas à venda. O sistema utiliza uma abordagem de hash para garantir que as informações dos cookies não sejam expostas, enviando apenas uma parte do hash para verificação. Atualmente, a ferramenta verifica cookies de sites populares como Facebook, Instagram e Amazon. A NordVPN também planeja lançar uma funcionalidade que verifica URLs em e-mails, aumentando ainda mais a segurança dos usuários. Essa inovação é crucial, pois ataques que visam cookies podem resultar em fraudes financeiras e roubo de identidade, tornando a proteção contra sequestro de sessão uma prioridade para os usuários de internet.

Um vendedor conhecido como “SebastianPereiro” anunciou em um fórum da dark web a venda de um exploit de execução remota de código (RCE) para o Veeam Backup & Replication, identificado como o “Bug de Junho de 2025”. Este exploit afeta especificamente as versões 12.x do Veeam, incluindo 12, 12.1, 12.2, 12.3 e 12.3.1, e permite que qualquer conta válida do Active Directory acesse a vulnerabilidade. Uma vez autenticado, um atacante pode executar códigos arbitrários no servidor de backup, o que pode resultar em manipulação ou exclusão de backups, exfiltração de dados ou movimentação lateral na rede da organização. Até o momento, a Veeam não divulgou um aviso ou patch para a vulnerabilidade identificada como CVE-2025-23121, e não há provas de conceito disponíveis publicamente. A falta de medidas de segurança adequadas pode comprometer a recuperação de desastres e facilitar ataques de ransomware. As equipes de segurança devem verificar imediatamente suas versões do Veeam, aplicar princípios de menor privilégio e implementar autenticação multifatorial para mitigar riscos. A situação é crítica, e a vigilância contínua sobre as atualizações da Veeam é essencial.

Em uma ação coordenada, o Escritório do Procurador dos EUA para o Distrito do Novo México e o FBI anunciaram a apreensão de plataformas online que forneciam documentos de identidade falsificados para criminosos cibernéticos em todo o mundo. A operação desmantelou o ‘VerifTools’, um mercado ilícito que produzia e distribuía carteiras de motorista, passaportes e outros documentos de identificação falsos, projetados para contornar sistemas de verificação e facilitar acessos não autorizados a contas. A investigação, iniciada em agosto de 2022, revelou uma rede global de contrabando que oferecia documentos falsificados de alta qualidade para todos os 50 estados dos EUA e várias nações estrangeiras, com preços a partir de nove dólares por documento, transacionados exclusivamente em criptomoedas para evitar a fiscalização bancária. A análise de registros de blockchain relacionados a essas transações levou os investigadores a rastrear aproximadamente 6,4 milhões de dólares em lucros ilícitos. A operação destaca a importância da colaboração internacional e interagências para combater o crime cibernético, com implicações significativas para a segurança pública e a proteção contra fraudes e roubo de identidade.

Pesquisadores de cibersegurança alertam para a venda de contas de e-mail comprometidas do FBI e de outras agências governamentais dos EUA na dark web, com preços a partir de US$ 40. Essas contas são oferecidas em plataformas de mensagens criptografadas, como Telegram e Signal, e podem ser usadas para enviar solicitações de emergência fraudulentas a empresas de tecnologia. Os criminosos oferecem acesso completo às contas, permitindo o envio de mensagens, anexação de arquivos maliciosos e acesso a plataformas que exigem verificação governamental. A venda dessas credenciais representa um risco significativo, pois pode facilitar campanhas de malware em larga escala e a divulgação de dados sensíveis, como endereços IP e números de telefone. Os métodos utilizados para obter essas contas incluem o uso de malware, phishing e técnicas de engenharia social, que exploram vulnerabilidades humanas e técnicas. A crescente comercialização de contas de e-mail de instituições respeitáveis destaca a commoditização da confiança institucional, onde contas ativas e verificadas são reutilizadas para fraudes imediatas.