Read, hack, repeat

Mais de 500 mil credenciais de quase 25 desenvolvedoras de games foram encontradas sendo vendidas na darkweb

Guilherme Petry

Mais de 500 mil credenciais de sistemas internos de 25 desenvolvedoras de games vazaram e foram encontradas sendo vendidas em fóruns russos no ano passado, informam pesquisadores da israelense de segurança da informação, Kela.

A Kela investigou as 25 maiores empresas de capital aberto do setor, ordenadas por faturamento com base no último semestre de 2019. Com o estudo, descobriu quase um milhão de contas de clientes e funcionários comprometidas, sendo que mais da metade delas estavam sendo vendidas na darkweb.

As empresas foram ordenadas pela Newzoo, consultora de dados de mercado do mundo dos games. Tencent; Sony; Apple; Microsoft; Nintendo; Google; Blizzard; Electronic Arts (EA); Bandai Namco; Warner Bros; Ubisoft; Square Enix; Nexon; NCSoft; Konami; Perfect World; Sega e Zynga estão entre as 25 empresas listadas.

Oferta de contas em fórum russo. Foto: Reprodução Kela.
Oferta de contas em fórum russo. Foto: Kela.

Os pesquisadores da Kela identificaram contas de funcionários e credenciais internas de painéis administrativos, VPNs, ferramentas de gestão de trabalho como Slack, Trello e Jira, contas de Protocolos de Transferência de Arquivos (FTP), Autenticação Única (SSO), ambientes de desenvolvimento dos games e outros, sendo vendidas por preços baixos.

“Detectamos contas comprometidas para recursos internos de quase todas as empresas em questão. Esses recursos devem ser usados por funcionários, por exemplo - painéis de administração, VPNs, instâncias Jira, FTPs, SSOs, ambientes relacionados ao desenvolvimento e a lista continua indefinidamente. Conforme visto nos exemplos abaixo, com o pagamento de apenas alguns dólares, um invasor em potencial pode ter acesso às áreas centrais da rede de uma empresa”, escrevem os pesquisadores.

Anúncios de credenciais internas. Foto: Kela.
Anúncios de credenciais internas. Foto: Kela.

Os pesquisadores identificaram também pelo menos quatro infecções por ransomware recente entre as 25 maiores empresas do setor. “Nos últimos três meses, observamos quatro incidentes de ransomware afetando empresas de jogos - três dos quais foram relatados publicamente”, dizem.

“Também detectamos um computador infectado (bot) que tinha registros de credenciais para muitas contas confidenciais que poderiam ser acessadas por invasores na compra: SSO, Kibana, Jira, adminconnect, service-now, Slack, VPN, gerenciador de senha e poweradmin do empresa - tudo em um único bot - o que sugere fortemente que ele é usado por um funcionário da empresa com direitos de administrador. Este bot altamente valioso estava disponível para venda por menos de US$ 10”, escrevem.

Os riscos

Segundo os pesquisadores, credenciais vazadas representam o primeiro passo de um ataque mais elaborado. “Credenciais vazadas podem ser facilmente "traduzidas" em um ataque mais significativo”. Com as credenciais em mãos, um cibercriminoso pode utilizar engenharia social e golpes de phishing feitos sob medida para conseguir a autenticação dessas contas, se for necessário.

“O objetivo é, obviamente, obter as credenciais relevantes para obter acesso aos serviços de interesse, encontrar um ponto de entrada para uma rede alvo e, em seguida, escalar privilégios e mover-se lateralmente. Uma vez que o acesso foi obtido a um serviço de interesse - o ator continuará a mover-se lateralmente para eventualmente implantar um ransomware [por exemplo]”, escrevem.

“No entanto, a implantação de ransomware é apenas um dos muitos ciberataques diferentes que esses cibercriminosos podem tentar. Esse acesso também pode permitir que eles iniciem outros crimes, como espionagem corporativa, fraude e outros métodos que podem fazer com que as vítimas incorram em graves perdas financeiras”, concluem.


Fontes: Kela; Newzoo.

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.