Em agosto de 2024, uma empresa de logística brasileira descobriu que o acesso à sua rede estava sendo anunciado em um fórum especializado por 4.500 dólares. O anúncio descrevia detalhes: tipo de acesso (VPN), nível de privilégios obtidos, e o faturamento estimado da empresa para justificar o preço. Vinte e dois dias depois, o ambiente estava criptografado por ransomware e os atacantes exigiam 2,1 milhões de dólares.
Esse intervalo de 22 dias é a janela onde a inteligência de ameaças pode fazer toda a diferença.
O que são Initial Access Brokers
Initial Access Brokers, ou IABs, são grupos ou indivíduos especializados em um serviço muito específico dentro do ecossistema do crime cibernético: obter acesso inicial a redes corporativas e vender esse acesso para outros grupos.
A especialização surgiu por uma razão simples: eficiência. Grupos de ransomware são bons em criptografar arquivos e gerenciar extorsões. Não necessariamente são os melhores em todas as etapas anteriores: encontrar alvos vulneráveis, explorar a entrada inicial, manter o acesso sem ser detectado. Comprar um acesso já estabelecido permite que eles pulem direto para a fase de reconhecimento interno e implantação.
Para os IABs, o negócio também faz sentido. Eles monetizam acessos que isolados teriam valor limitado, sem a complexidade operacional de conduzir um ataque de ransomware completo.
Como os IABs obtêm acesso
As técnicas variam, mas algumas se destacam pelo volume:
Exploração de credenciais comprometidas: Credenciais coletadas por infostealers, compradas de outros vendedores ou obtidas em bases de dados vazadas são testadas sistematicamente contra serviços de acesso remoto das organizações alvo, incluindo VPNs, RDP e portais corporativos. Quando as credenciais funcionam, o IAB tem seu produto.
Exploração de vulnerabilidades em serviços expostos: VPNs com vulnerabilidades conhecidas não corrigidas, appliances de rede com CVEs críticos publicados, e servidores web desatualizados são alvos frequentes. Em 2024, vulnerabilidades em produtos como Ivanti, Fortinet e Citrix foram extensamente exploradas por IABs.
Phishing direcionado (spearphishing): Campanhas de email altamente personalizadas visando funcionários específicos, frequentemente de TI ou finanças, com o objetivo de instalar um RAT ou roubar credenciais de acesso privilegiado.
Supply chain: Comprometer fornecedores ou prestadores de serviços que têm acesso ao ambiente da organização alvo é uma forma indireta de obter acesso que contorna muitos controles de segurança.
Como os acessos são vendidos
Os IABs operam principalmente em fóruns especializados da dark web como o XSS Forum, o Exploit Forum, e em canais privados de Telegram. O anúncio de venda típico inclui:
O tipo de acesso obtido (VPN, RDP, Domain Admin, etc.), o setor da empresa alvo sem identificá-la explicitamente (para evitar que a empresa alvo descubra e revogue o acesso antes da venda), o país de operação, o tamanho estimado da empresa frequentemente representado pelo faturamento, e o preço pedido.
Preços variam enormemente. Um acesso de usuário comum a uma VPN de uma empresa de médio porte pode custar algumas centenas de dólares. Acesso de Domain Administrator em uma empresa com bilhões em faturamento pode chegar a dezenas de milhares.
Após a compra, o IAB passa as instruções de acesso ao comprador. Às vezes há um período de garantia, onde o IAB oferece suporte se o acesso deixar de funcionar.
Por que detectar a venda de acesso é crítico
O intervalo entre o anúncio de venda de um acesso e o ataque de ransomware é a janela de oportunidade para a organização alvo. Mas para aproveitar essa janela, é necessário saber que o anúncio existe.
Quando o BreachFinder ou outra ferramenta de inteligência de ameaças detecta um anúncio de venda de acesso que parece corresponder a uma organização monitorada, a equipe de segurança pode:
Identificar e revogar o acesso comprometido: Se o acesso foi obtido via credencial comprometida, forçar a troca imediata e invalidar sessões ativas pode encerrar o acesso do IAB antes que ele seja transferido ou usado.
Investigar o comprometimento: Auditar logs de acesso dos serviços mencionados no anúncio para identificar quando o acesso foi estabelecido, quais sistemas foram acessados e se há evidências de movimento lateral já iniciado.
Aumentar a vigilância: Mesmo que o acesso específico não seja imediatamente identificável, a detecção do anúncio sinaliza que a organização está sendo visada, justificando vigilância elevada em sistemas de autenticação e comportamento de rede.
Contatar autoridades competentes: Em casos graves, o envolvimento de autoridades policiais pode resultar em ações que interrompem o ataque antes que ele se concretize.
O que torna essa detecção difícil sem ferramentas especializadas
O problema é que o monitoramento manual desses fóruns é praticamente inviável. O volume de anúncios é alto, os fóruns exigem acesso credenciado e reputação acumulada, o conteúdo muda rapidamente, e identificar que um anúncio se refere a uma organização específica sem que o anúncio a nomeie explicitamente requer análise de contexto.
Plataformas como o BreachFinder automatizam esse processo, correlacionando anúncios de IABs com as organizações monitoradas usando múltiplos sinais: setor de atuação, localização geográfica, tamanho aproximado e tecnologias mencionadas no anúncio.
Quando há correspondência, o alerta é gerado com urgência alta, dado que o tempo até o uso do acesso pode ser medido em dias.
A relação entre credenciais comprometidas e IABs
Um ponto importante a entender: a maioria dos acessos vendidos por IABs tem origem em credenciais comprometidas. Seja via infostealer, phishing ou ataque de força bruta, o acesso inicial frequentemente começa com uma senha que foi obtida de alguma das formas descritas anteriormente.
Isso significa que o monitoramento de credenciais comprometidas pelo BreachFinder atua preventivamente contra a formação do produto que os IABs vendem. Quando uma credencial corporativa é detectada em fontes comprometidas e a organização age imediatamente, ela elimina a matéria-prima que um IAB poderia usar para obter o acesso inicial.
Conclusão
O ecossistema de ransomware profissionalizou-se ao ponto de criar um mercado intermediário especializado em apenas uma etapa do ataque. Initial Access Brokers tornaram o ransomware mais eficiente e o intervalo entre o comprometimento e o ataque mais curto.
Para organizações, a resposta não é apenas construir defesas mais fortes, mas também monitorar ativamente o mercado onde os ataques são negociados antes de serem executados. Essa janela de inteligência é frequentemente a única oportunidade de interromper um ataque antes que o dano seja catastrófico.
