O que você

vai encontrar
neste relatório?
Índice de
conteúdo

MENSAGEM
5
DA AXUR

RESUMO
7
EXECUTIVO

PANORAMA DE
13
CIBERSEGURANÇA

IMPACTOS DO
20
CENÁRIO GEOPOLÍTICO

2023 EM
29
NÚMEROS

CIBERCRIME BRASILEIRO
51
EM EVOLUÇÃO

TENDÊNCIAS 61

ESTRATÉGIAS E TÁTICAS
71
PARA 2024

SOBRE A AXUR 80
Mensagem
da Axur
Mensagem
da Axur

Sabemos que as ameaças mudam de um ano para outro.

A dimensão e o ritmo das mudanças variam, é claro, mas
sempre há alguma novidade que merece nossa atenção.
Algumas dessas mudanças permanecem e viram tendências,
mas outras são apenas anomalias temporárias.

O ano de 2023 deu um fim ao pequeno alívio nos ataques

de ransomware observado em 2022, reacendendo essa
ameaça e todos os desafios que ela representa.

Essa retomada nos ataques de ransomware veio acompanhada

de dois métodos de acesso: o ataque à cadeia de suprimentos –
supply chain – e as ameaças internas. Muitos dos novos ataques
se aproveitam dos vínculos comerciais e dos ecossistemas
tecnológicos para alcançar alvos distantes do ponto de entrada.

É válido até refletir se o conceito restrito de ameaça interna

ainda faz sentido quando há tantas redes e ambientes
conectados.

Paralelamente, estamos vivenciando transformações instigadas

pela adoção e evolução de tecnologias de inteligência artificial.
Em nosso meio da segurança cibernética, essa tecnologia pode
gerar novos tipos de ataques ou aperfeiçoar ameaças antigas,
como já vem ocorrendo. Ao mesmo tempo, precisamos buscar
medidas que coloquem a IA na defesa dos dados – e isso
depende de nós, que conhecemos a necessidade de detectar
e prevenir novos ataques com agilidade e da falta de
profissionais especializados para essa tarefa.

Esperamos que nosso relatório ajude você a compreender

o cenário em que estamos e a iluminar o caminho ideal.

Thiago Bordini
Head de Cyber Threat Intelligence | Axur
Resumo
executivo
Resumo
executivo

Com a tecnologia e a expertise

em inteligência da Axur, este
relatório traz para você um
retrato do cenário de αmeaças
ciɞernéticas de .

 Ransomware

A queda na atividade dos operadores de ransomware

em 2022 foi revertida este ano. Os ataques voltaram
a ocorrer e incorporaram novas abordagens de engenharia
social e ataques a terceiros (na cadeia de fornecedores
e prestadores, ou supply chain).

Embora ainda sejam chamados de "ransomware", alguns

ataques também já deixaram a criptografia dos arquivos
em segundo plano, preferindo apostar em uma ameaça
baseada nos custos regulatórios e jurídicos que podem
decorrer de um vazamento de dados.

 Credenciais na mira dos invasores

O roubo de credenciais de acesso continua elevado,

O monitoramento
da Axur detectou
4,2 bilhões de credenciais
vazadas em ,

mantendo a tendência estabelecida com o uso

de malwares de credential stealers e outros ataques
para reciclar credenciais roubadas em vazamentos
de dados. A adoção de autenticação multifator continua
sendo um requisito importante para dificultar
o uso dessas credenciais.

8
 Aumento no vazamento
de cartões de débito e crédito
Detectamos um aumento expressivo
no compartilhamento de dados de
cartões entre criminosos. Nosso
monitoramento identificou
mais de  milhões
de cartões vazados,
um crescimento de
265% em comparação
com o volume de 2022.
 Setores mais visados
A atividade criminosa na Deep & Dark
Web concentrou-se majoritariamente
nos setores de varejo, finanças e tecno-
logia, sendo estes responsáveis por
77% dos incidentes de menção suspeita.
Nas detecções de phishing, em que
"o top 3" concentra 90% das páginas,
é o setor de telecomunicações que
ocupa o terceiro lugar.
 Evolução no cibercrime brasileiro
Golpistas brasileiros demonstraram
maior capacidade técnica, adotando
inteligência artificial para burlar
autenticações biométricas, importando
verificadores de cartões (card checkers)
e segmentando suas atividades através
de parcerias com criminosos menos
técnicos que se dedicam ao recruta-
mento de colaboradores
internos (insiders).
9
 Inteligência artificial
O uso de inteligência artificial permite
que criminosos com pouco conhecimen-
to de programação produzam artefatos
maliciosos ou configurem ferramentas
preexistentes com mais facilidade.
Os modelos largos de linguagem (LLMs)
foram utilizados para automatizar
a interação com vítimas em ataques
de engenharia social por meio de
mensagens e aplicativos de
comunicação.
 Instabilidade geopolítica
Os conflitos entre Ucrânia e Rússia
e Israel e Hamas instigaram grupos
de hacktivistas que miram empresas
e organizações associadas a qualquer
país que se manifeste de forma
favorável à nação que consideram
inimiga. Além disso, as ações desses
grupos tendem a ser mais imprevisíveis
que os ataques realizados por grupos
criminosos motivados unicamente por
ganhos financeiros.
 Phishing
O varejo e o setor financeiro são os
mais visados pelos ataques de phishing.
Ao longo de ,
identificamos um total
de 31 mil páginas
de pнisнing.
Principais
tendências

 Inteligência artificial

As possibilidades envolvendo o uso

de IA tendem a viabilizar novas
formas de fraude e ataques. Por outro
lado, a IA pode ser uma peça funda-
mental no avanço da inteligência
em ameaças cibernéticas, seja na
organização da informação,
na agilidade do processamento
ou na melhoria do monitoramento.

 Engenharia social

A engenharia social se mostrou

um grande desafio nos ataques que
ocorreram em 2023. Atacantes estão
abordando parceiros e fornecedores,
ampliando o número de canais viáveis
para obter acesso a um alvo.

O emprego de ameaças de violência

física também podem surpreender
ainda mais.

10
2023
Fevereiro
 A gangue de
ransomware Cl0p
explora uma vulnerabilidade
no software GoAnywhere
e ameaça expor dados
mais de 130 empresas
 O Reddit, uma rede social,
revelou ter sido alvo de um
ataque de engenharia social
sofisticado que deu aos
invasores acesso a
documentos, códigos
e sistemas internos
Março
 Gerenciador de senhas
LastPass informa que
incidente em 2022 vazou
cofres criptografados dos usuários.
Analistas de blockchain acreditam
que criminosos estão acessando
esses cofres para obter chaves
privadas, o que permitiu o roubo
de mais de US$ 40 milhões
em criptoativos
 Um bug no ChatGPT vazou
as conversas de usuários para
o histórico de outros usuários,
dando a eles acesso a conversas
que pertenciam a terceiros
Abril
 A Western Digital, uma fabricante
de soluções de armazenamento
de dados, teve que tirar o serviço
My Cloud do ar por dez dias.
Um ransomware comprometeu
os sistemas da companhia
e informações de clientes
 A 3CX, que desenvolve soluções
de comunicação empresarial, revelou
que criminosos conseguiram acesso
aos sistemas da companhia e incluíram
um malware no download do seu software
pelo canal oficial de distribuição
Maio
 A fabricante de óculos
Luxottica confirmou um incidente
de vazamento de dados pessoais
de 70 milhões de clientes
Junho
 Cl0p explora uma vulnerabilidade
no software MOVEit Transfer para
comprometer mais de 2.000 empresas.
O ataque atingiu bancos, hospitais,
universidades e órgãos públicos,
principalmente nos Estados Unidos
Setembro
 Departamento de Estado dos EUA revela que
teve e-mails comprometidos por hackers chineses
que exploraram falha na nuvem da Microsoft
 Caesars Entertainment e MGM Resorts são
atacados por um ransomware associado ao grupo
Scattered Spider e paralisam suas operações.
Relatos na imprensa e informações regulatórias
estimam prejuízos em US$ 15 milhões para
o Caesars e US$ 100 milhões para o MGM
 Falha no Google Bard expôs conversas de
usuários com chatbot em resultados de pesquisa,
criando um problema semelhante ao enfrentado
pelo ChatGPT em março
Novembro
 O grupo de ransomware
LockBit afirma ter obtido um
pacote de 1,5 TB de dados
com 24 anos de informações
de funcionários do governo
canadense
Outubro
 Okta, um provedor de
serviços de identidade,
anuncia que sofreu dois
ataques cibernéticos Dezembro
 A Kyivstar, maior operadora
 Os hackers do grupo de telefonia móvel da Ucrânia,
Sandworm, de origem russa, sofre um ataque cibernético que
causam um novo blecaute na provoca instabilidade em seus
Ucrânia após usar um malware serviços. O ataque foi atribuído
do tipo wiper para apagar todos a um grupo ligado à inteligência russa
os dados e softwares dos
sistemas de uma geradora
de energia
Panorama de
cibersegurança
Panorama de
cibersegurança

Os ataques cibernéticos evoluíram muito nos últimos anos.

Com as ameaças avançadas e os grupos de ransomware
conhecidos por realizar movimentação lateral dentro das
redes corporativas, a impressão que temos é que já vimos
de tudo. A migração para a nuvem, que foi feita às pressas
em muitas empresas, também já deixou vítimas pelo caminho.

Sabendo dos riscos

e desses ciberataques,
 qual é o horizonte
que merece nossa
atençāo?
Há um movimento para integrar o risco cibernético ao risco
do negócio. Essa perspectiva já vinha sendo trabalhada
por alguns especialistas, mas ela vem aparecendo como
a única via possível diante da dimensão dos prejuízos –
particularmente quando o ataque paralisa a empresa
inteira ou gera uma multa milionária por vazamento
de dados pessoais.

Na prática, o risco cibernético se torna muito mais amplo

e sujeito a algumas regras que antes só existiam para
os riscos ditos "tradicionais".

A Estratégia de Cibersegurança da administração Biden, nos

Estados Unidos, é em grande parte uma interpretação dessa
perspectiva, pois entende que desenvolvedores de software
e prestadores de serviço devem ser responsabilizados por
certas falhas – exatamente como ocorre em outros setores.

14
Também há uma busca maior por
maneiras de diluir a conta do risco
com o seguro cibernético. Uma
estimativa do Swiss Re Institute
prevê que o mercado de seguro
cibernético mais do que dobre
de tamanho em quatro anos
e alcance os
US$ 
bilhões
em 2025.
Mas isso não é nem de longe
uma carta branca que dispensa
a adoção de práticas seguras.
O seguro não cobre danos e prejuízos
secundários, como a perda da
confiança de clientes e fornecedores.
Além disso, a precificação do risco
tende a beneficiar as empresas que
atuam de forma responsável e que
buscam proteger o seu negócio.
Seguradoras já estão de olho
nos controles que empresas
adotam ou deixam de adotar
para definir o valor dos prêmios.
Por parte do governo, temos visto casos
de autoridades americanas e australia-
nas buscando responsabilizar os própri-
os gestores de segurança por falhas
em suas empresas.
Embora a base regulatória ainda esteja
sendo construída, a mensagem que os
reguladores pretendem passar é clara:
não é mais viável simplesmente
"assumir o risco".
Entramos em 2024 sem ter certeza
sobre como os tribunais vão lidar
com essa questão.
Seja como for, o que impulsiona esses
movimentos é o amadurecimento
do setor. A balança que equilibra
"segurança" e "inovação" começa
a buscar um equilíbrio em vez de
priorizar a evolução a qualquer custo.
Como serviços digitais estão por toda
parte, direta ou indiretamente, o risco
digital "contamina" os demais, assim
como outros riscos também
contaminam o digital.
Em 2023, ataques cibernéticos de larga
escala conseguiram atingir centenas
de empresas que tinham um único
ponto em comum.
3/70
Foi o caso dos ataques envolvendo
o MOVEit Transfer, o GoAnywhere
e a 3CX. De instituições financeiras
a universidades, todos se encontra-
vam igualmente vulneráveis.
 Ransomware:
Os ataques que exploraram vulnerabil-
idades no GoAnywhere e no MOVEit
Transfer, de autoria do grupo Cl0p,
são possivelmente os maiores
expoentes do que foi o ransomware
em 2023: ações agressivas e em
massa. Os criminosos apostaram
na eficiência, priorizando ameaças
envolvendo a exposição dos dados
roubados em vez da criptografia.
Nos países que aprovaram leis de
proteção de dados, pode ser mais
difícil contornar um vazamento
de informações pessoais do que
os entraves exclusivamente técnicos
que decorrem da criptografia dos
dados. Se a multa que a empresa
pode receber for significativamente
superior à cifra cobrada pelos golpis-
tas, a criptografia dos arquivos
deixa de ser o fator decisivo para
o pagamento do resgate.
▪ Variante do ransomware CryptoMix
▪ Ativo desde: 2019
▪ País de origem: Rússia
▪ Setores mais visados:
vários setores e organizações
▪ Motivação: financeira
Embora antes se pudesse falar até em
"extorsão tripla" (criptografia, exposição
de dados e DDoS ou outra ameaça),
agora temos casos de ransomware
sem a criptografia de dados que tanto
marcou esse tipo de fraude.
Os planos de resposta ao ransomware,
dedicados à recuperação e proteção de
dados, não conseguem evitar as multas
e outras penalidades regulatórias
inerentes à exposição de dados.
Um caso que ilustra bem essa mudança
de tática foi protagonizado pela
gangue de ransomware ALPHV
(também conhecido como "BlackCat"),
que denunciou uma vítima à Securities
Exchange Commission (SEC), o órgão
regulador de valores mobiliários dos
Estados Unidos. Os criminosos alegaram
que a empresa não tinha cumprido com
sua obrigação legal de revelar a violação
de seus sistemas à autoridade regulatória.
Dentro desse mesmo esquema, grupos
de ransomware podem divulgar alegações
falsas a respeito dos ataques que realizam
em seus "leak sites" na Deep Web. Ainda
que nenhum ataque tenha sido realizado
de fato, isso pressiona as empresas
e pode até causar danos à imagem
de uma marca.
▪ Modelo de Ransomware
como-Serviço
▪ Ativo desde: novembro de 2021
▪ País de origem: Rússia
▪ Setores mais visados: vários
setores e organizações
▪ Motivação: financeira
16
Em situações (o que levou ao incidente nos cassinos
Caesars e MGM) e pelo uso de ameaças
de ⚠ ameaças in- de violência física em sua comunicação
às vítimas.
fundadas, O modelo de Ransomware como Serviço
é impҩrtante (ransomware-as-a-service, RaaS) continua
sendo responsável por muitos ataques,
que as empresas já que ele torna a operação destes grupos

consigam avaliar
mais difusa e diversa. No modo RaaS,
muitos criminosos podem se "associar"

rapidamenтe seus à operação como afiliados. O LockBit

é um bom exemplo disso, sendo um
ambientes e adotar dos grupos mais ativos do ano.

uma postura fiгme

quanto à falsidade ▪ Modelo de Ransomware
como-Serviço
das alegações ▪ Ativo desde: setembro de 2019

criminosas. ▪ País de origem: Rússia

▪ Setores mais visados: serviços
profissionais, transporte, manufatura
▪ Motivação: financeira
Evidentemente, ataques tradicionais
de extorsão dupla (criptografia
e exposição de dados) continuaram Da mesma forma que o RaaS não chega
sendo a regra. De todo modo, a ser novidade, também continua sendo
as novas abordagens funcionaram correto dizer que muitas empresas sofrem
para os criminosos, e os grupos de ataques de ransomware por errar no
ransomware voltaram a faturar mais básico, como não aplicar atualizações
em 2023 após a queda em 2022. de software com patches de segurança
ou negligenciar a gestão de identidade
Já a sofisticação técnica dos e acessos. É após o ataque que muitas
ataques cibernéticos permanece delas percebem a falta de um plano
muito vinculada também a táticas de continuidade de negócios e de
tradicionais. A engenharia social recuperação de desastres.
continua sendo um dos maiores
riscos, mas desta vez atinge também
colaboradores de fornecedores
terceirizados. O grupo de criminosos
conhecido como "the Com"
(ou Scattered Spider), associado
ao já mencionado ALPHV, também
se destacou com essas táticas
pelos ataques bem-sucedidos
de engenharia social contra
prestadores de serviços de TI

17
Isto dito, é bastante desfavorável
qualquer cenário em que o faturamen-
to dos grupos de ransomware esteja
em ascensão. Considerando-se o grau
elevado de profissionalismo dessas
organizações criminosas, os recursos
podem ser reinvestidos na ação
criminosa, seja com o recrutamento
de novos membros ou na criação
de novos artefatos e ferramentas que
dificultem a detecção e a atribuição
da atividade.
 Inteligência artificial
O amadurecimento do digital
e a consolidação de táticas de
ataque não apagaram a inovação
por completo, é claro.
O ano de

foi marcado por
um avanço 
acentuado de
algoгiтмos de
aprendizagem
de мάquina
e ınteligência
aгтiẜicial.
Como a abordagem de deep learning
é muito versátil, atacantes podem
empregar essa tecnologia nos ataques
mais diversos. Em 2023, já pudemos
observar os seguintes ataques:
Deepfakes: imagens e vozes manipuladas
vêm sendo usadas em alguns contextos.
Um exemplo são os vídeos falsos que
promovem golpes de criptomoedas usando
personalidades como o bilionário Elon Musk
e Vitalik Buterin, criador da Ethereum. Os
vídeos utilizam imagens desses executivos
em eventos, mas as falas originais são
substituídas por uma voz sintetizada por IA.
As imagens são adulteradas apenas para
garantir a sincronia labial, que é outra
função desse tipo de IA.
O Axur Research Team também observou
casos em que imagens manipuladas por
IA – por exemplo, as que adicionam
movimento a imagens estáticas – foram
empregadas para burlar sistemas de
autenticação biométrica remota. Embora
esse tipo de autenticação normalmente
exija uma captura de foto ou vídeo com
a câmera do smartphone, os criminosos
podem usar aplicativos modificados para
enviar as imagens manipuladas por IA
e induzir o sistema ao erro.
Por fim, a imprensa vem relatando
situações em que deepfakes foram
criados por estudantes para prejudicar
a imagem de colegas. Ainda que essas
situações não tenham um reflexo imediato
na segurança corporativa, elas acendem
um alerta sobre a possibilidade do uso
de deepfakes em conflitos dentro das
organizações ou como instrumento
para manchar a reputação
de executivos.
18
Engenharia social: assim como
as empresas enxergam a possibilidade
de utilizar IA para automatizar proces-
sos de atendimento ao consumidor,
criminosos podem usar os modelos
largos de linguagem (LLMs, large
language models) para criar robôs
que interagem com vítimas em golpes
de engenharia social.
Nestes casos, a abordagem do
golpista normalmente é mais indireta
do que em um phishing tradicional,
exigindo que a vítima seja convencida
aos poucos.
Do ponto de vista da fraude,
a vantagem dessa interação mais
pessoal é que a vítima fica mais
envolvida e mais suscetível a cair
em uma narrativa que não teria efeito
em um contexto impessoal.
A desvantagem, para o criminoso,
está no trabalho de manter várias
conversas em paralelo, já que
a fraude não é aplicada em apenas
uma pessoa por vez.
A automação de respostas viabilizada
pela IA resolve esse problema para
o criminoso. Observamos que certas
abordagens dos criminosos em
aplicativos de mensagens (como
o WhatsApp) utilizaram esse mecanis-
mo para acelerar as interações
com as vítimas após o disparo
de mensagens em massa.
19
Códigos e automação: os LLMs têm
um grande potencial para automatizar
ou esboçar soluções para tarefas
de programação. Para o mundo do
cibercrime, isso significa que agentes
menos habilidosos podem usar essas
ferramentas para compensar a falta
de conhecimento técnico.
As ferramentas comerciais de IA
normalmente possuem restrições
para evitar que elas produzam códigos
maliciosos. Entretanto, há muitas
brechas que permitem o que normal-
mente se chama de "jailbreak" da
inteligência artificial, deixando-a pronta
para aceitar praticamente qualquer
prompt.
Os atacantes mais habilidosos podem
aproveitar a IA para ganhar tempo,
seja em tarefas mais complexas de
programação ou para o ajuste de
arquivos de configuração usados
em outras ferramentas.
Diante desses novos desafios e do
panorama geral que se apresenta,
há uma necessidade de inovar
na segurança. É preciso aproveitar
avanços que melhorem a produtividade
e priorizem aquilo que mais importa no
momento correto.
A inteligência artificial e a inteligência
em ameaças cibernéticas são dois
pilares importantes desse esforço.
Impactos do
cenário geopolítico

Não é incomum que a segurança cibernética seja impactada

por fatores externos da economia e da política.

Um bom exemplo é a popularidade das criptomoedas

e sua regulamentação – ou falta dela. Na prática,
a maioria dos ataques de ransomware depende de um
pagamento realizado por criptomoedas. É um caso em
que um movimento ligado a políticas econômicas acabou
moldando um formato de golpe cibernético.

Em 2023, três fenômenos geopolíticos provocaram impactos

visíveis para a segurança da informação: a guerra entre
Rússia e Ucrânia, as sanções comerciais impostas pelos
Estados Unidos à China e, mais recentemente, o conflito
entre Israel e Hamas.

Rússia x Ucrânia

 Movimentações na Rússia impactam

criminosos localizados no país;

 Autoridades que observam o conflito estão vendo

a necessidade de criar medidas para diminuir o risco
cibernético de setores críticos;

 Sanções econômicas dificultam a relação de terceiros

com vínculo entre os dois países.

Quando a Rússia invadiu o território ucraniano em 2022,

iniciando o maior confronto armado em solo europeu desde
a Segunda Guerra, a guerra logo passou a ser espelhada
na internet. Enquanto campanhas recrutavam voluntários
para o "Exército de TI da Ucrânia" (IT ARMY of Ukraine),
o governo ucraniano acusava os russos pelos ataques de
negação de serviço que deixavam seus sites instáveis.
20
O grupo de ransomware Conti
protagonizou um dos episódios
▪ Modelo de Ransomware
mais notórios: depois de manifestar
como-Serviço
seu apoio à Rússia durante um
▪ Ativo desde: dezembro de 2019
duro ataque de ransomware contra
▪ País de origem: Rússia
o governo da Costa Rica, diversas
▪ Setores mais visados: grandes
conversas e informações do grupo
corporações e agências
foram vazadas. Acredita-se que
governamentais
a exposição, atribuída a um
▪ Motivação: financeira
especialista ucraniano, tenha
agravado tensões internas
e contribuído com a dissolução
da quadrilha.

É claro que isso não aconteceu

▪ Supostamente ransomware,
com todos os grupos que
mas seu modo de operação está
levantaram a bandeira russa.
sendo investigado
A gangue de ransomware
▪ Ativo desde: 2021
Stormous, que também se
▪ Setores mais visados: governo,
declara pró-Rússia, seguiu
grandes empresas
em atividade.
▪ Motivação: agenda política,
financeira
Diversos outros ataques atingiram
sistemas críticos na Ucrânia e na
Rússia desde o início da guerra.
Em junho de 2023, ucranianos
reivindicaram a autoria de um
ataque que derrubou uma rede
interbancária na Rússia, criando
instabilidade em sistemas
de pagamentos.

Do outro lado, um grupo russo

conhecido como Sandworm
realizou diversos ataques contra
a infraestrutura ucraniana. Em
novembro, os invasores conseguiram
desestabilizar o sistema elétrico
ucraniano e causar um blecaute
que coincidiu com um ataque físico.
Era o terceiro blecaute provocado
pelo Sandworm, e o primeiro que
parecia vinculado à ofensiva russa.
▪ Grupo de ameaças atribuído
às forças armadas da Rússia
▪ Ativo desde: pelo menos 2009
▪ País de origem: Rússia
▪ Setores mais visados: empresas
elétricas, organizações governamentais,
campanhas presidenciais
▪ Motivação: sabotagem e espionagem

21
Mas as
repercussões
deste cσnflito
ɳão  se limitam
aos dois países
envolvidҩs.
Em 2022, não houve uma boa
explicação para a queda registrada
na atividade de ransomware no
mundo. Em 2023, a retomada dos
ataques de ransomware acabou
negando algumas explicações – como
a possibilidade de que as empresas
estariam simplesmente mais
protegidas.
Olhando para o que ocorreu de
diferente em 2022, acabamos tendo
que reconhecer a possibilidade
de a queda nos ataques foi uma
possível consequência da guerra.
É notório – inclusive considerando-se
a ação do Conti contra a Costa Rica –
que muitos criminosos envolvidos com
ransomware são russos. No início de
2022, a Rússia se reorganizou para
se adaptar ao conflito, criando uma
instabilidade que pode ter impactado
também a rotina dos threat actors.
Internamente, a Rússia começava
campanhas de recrutamento.
Externamente, sanções econômicas
dificultavam a situação econômica
do país e o acesso ao sistema bancário
mundial. Ambos são fatores que podem
ter prejudicado a atividade dos
criminosos.
Os impactos são agravados por grupos
de hacktivismo. Um exemplo é o Killnet,
que realiza ataques de negação de
serviço (DDoS) e derrubou diversos
sites nos Estados Unidos e em países
europeus vinculados à Organização
do Tratado do Atlântico Norte (OTAN).
No início de 2023, passou a orquestrar
ataques contra organizações de saúde.
▪ Grupo hacktivista pró-Rússia
▪ Ativo desde: 2021
▪ País de origem: Rússia
▪ Setores mais visados: aeroportos,
bancos, contratados de defesa, saúde,
provedores de serviços de internet
e governos.
▪ Motivação: política, justificações
ideológicas
De qualquer forma, é visível que muitas
nações começaram a rever seus planos
de segurança nacional.
Agora que sistemas informatizados
são essenciais para o funcionamento
da sociedade, o papel da tecnologia
e da comunicação digital é parte
dessa conta.
22
Com o prolongamento do conflito
e da troca de ataques físicos e
Outro ponto a se
cibernéticos, cada vez mais ideias
e preocupações vêm surgindo – tanto
considerar são os ↙
na esfera digital como no mundo
dos negócios.
efeiтos das sanções
ecҩnômicas e os
Economistas vêm dizendo que acabou
o chamando "dividendo da paz", riscos ⚠ de negócio
um termo popularizado pelo
presidente George H. W. Bush associados à cadeia
e pela primeira-ministra Margaret
Thatcher para descrever o cenário de suprimentos que
que se instalou após a queda da
União Soviética e que permitiu uma
elas impõem.
redução nos gastos de defesa.
Autoridades vêm aplicando diversas
Para muitos governos, voltou a fazer
multas por violações – a própria Microsoft
sentido pensar em "adversários"
foi multada em US$ 3 milhões em abril por
para justificar as medidas.
ter prestado serviços de forma irregular.
A Estratégia Cibernética do Departa-
Essa tensão é alimentada por ambos os
mento de Defesa dos Estados Unidos
lados. Além de atuar para isolar a rede do
menciona nominalmente a Rússia
país e diminuir a dependência de software
e a China como adversários.
estrangeiro, a Rússia multou três empresas
O conflito com a Ucrânia também
estrangeiras – UPS, Airbnb e Spotify – sob
é citado como uma demonstração
a alegação de que elas violaram as leis que
das capacidades de ataque da
exigem o armazenamento de dados em
Rússia que, segundo os documentos
território russo.
da Casa Branca, poderiam atingir
a infraestrutura norte-americana.
Conforme os prestadores de serviços
de tecnologia abandonam a Rússia para
Na prática, isso significa que
cumprir obrigações legais (incluindo
os movimentos regulatórios e incenti-
Microsoft, Atlassian e Amazon), empresas
vos econômicos que o governo
que ainda dependem de fornecedores
norte-americano planeja elaborar
daquele país podem enfrentar riscos
estão considerando a realidade
à disponibilidade, integridade ou
do conflito e que as novas regulamen-
confidencialidade de dados que estão
tações que vêm chegando a setores
sob a responsabilidade desses terceiros.
críticos – saúde, finanças e infraestru-
tura – também podem ser vistas
como um desdobramento das lições
do conflito.

Como vários dos principais prestado-

res de serviços de tecnologia e de
infraestrutura tecnológica estão nos
Estados Unidos, essas mudanças vão
impactar o mundo todo.

23
China e a guerra dos
semicondutores

 Os EUA buscam ampliar sua liderança em semicondutores,

criando uma disputa geopolítica com a China;

 EUA argumentam que software e hardware feitos

na China representam um risco à segurança nacional;

 Países têm formulado planos para substituir

equipamentos chineses.

Em 2022, os Estados Unidos aprovaram o CHIPS and Science

Act. A legislação era um recado de que o país pretendia
ampliar sua liderança tecnológica em relação à China.

As relações geopolíticas que tornaram isso necessárias

são complexas. Além de uma possível relação com os
problemas na cadeia global de suprimentos que surgiram
durante a pandemia da Covid-19, existem também
interesses militares – por exemplo, os Estados Unidos
têm enfrentado dificuldades em fazer a reposição
de chips em equipamentos antigos.

Diante dos relatos de que chips piratas provenientes

da China chegaram às Forças Armadas dos Estados
Unidos, é compreensível que as necessidades
de segurança nacional e de independência na
fabricação de semicondutores tenham se alinhado.

De fato, autoridades norte-americanas têm reiterado

que o uso de equipamentos chineses gera riscos para
a segurança nacional – tanto dos EUA como de seus
aliados. Câmeras de segurança fabricadas na China
têm sido substituídas e até proibidas em alguns países,
como o Reino Unido e a Austrália.

Algo semelhante ocorra na disputa pelas redes 5G.

Equipamentos das marcas Huawei, ZTE e Hikvision
foram banidos nos Estados Unidos ainda no final
de 2022. Desde então, alguns países europeus
anunciaram planos para substituir equipamentos
chineses de suas redes.
24
Mesmo assim, nem todos os países
pretendem adotar esse tipo de
medida, e não está claro se haverá
alguma consequência de longo prazo,
especialmente para empresas que
não atuam em infraestrutura crítica.
Embora seja válida a ideia de que
a discussão e as negociações devam
ser baseadas em fatos e evidências,
o maior fato é que se trata de uma
disputa geopolítica – o que significa
que os interesses envolvidos nem
sempre estão claros.
Por esse motivo, empresas que atuam
em setores de infraestrutura crítica
ou que trabalham frequentemente
com as organizações impactadas
devem continuar acompanhando esses
desdobramentos, tanto pela perspectiva
de compliance como por riscos concretos
à segurança da conectividade e dos
equipamentos.

Israel x Hamas

 Há grupos de hacktivistas em ambos os lados do conflito;

 Os hacktivistas realizam ataques simbólicos contra

organização vista como aliada do adversário;

 Embora os ataques tenham uma escala reduzida,

existe o risco de compliance e de prejuízo ao negócio;

 A postura e a resposta das organizações podem

ser aprimoradas com Cyber Threat Intelligence.

25
Com a eclosão do conflito entre Israel
e Hamas em outubro de 2023, diver-
sos grupos de hacktivismo entraram
em cena e declararam seu apoio
a um dos lados do confronto.
O mapeamento realizado pelo
time de Cyber Threat Intelligence
da Axur identificou pelo menos
grupos
hacktivistas
manifestando
apoio à Palestina,
enquanto 
ficaram do lado
de Israel.
É importante notar que há alguns
vínculos entre esse confronto
e o embate entre Rússia e Ucrânia.
Alguns países na região – como o Irã
e a Síria – são aliados da Rússia. Esse
arranjo cria reflexos nos alinhamentos
dos grupos de hacktivismo também,
com o Exército de TI da Ucrânia
assumindo o lado israelense,
enquanto o Killnet ficou do lado
palestino.
Exatamente como se deu no caso
ucraniano, esses grupos miraram
seus ataques nos países que
manifestaram apoio ao lado
contrário, mesmo quando esses
países não se envolviam
diretamente no conflito.
Nesse sentido, temos casos como o do
Ganosec Team, que atacou a Índia por
ter dado apoio a Israel e para retaliar
contra hacktivistas indianos que tinham
se manifestado a favor do estado judaico.
Já o Moroccan Ghosts direcionou ataques
contra a África do Sul, alegando que o país
apoia Israel - ainda que historicamente
África do Sul seja uma apoiadora de
Gaza, e se juntou ao embargo diplomático
contra o estado israelense.
O Brasil, que levou ao Conselho de
Segurança da ONU uma proposta que
classificava os atos do Hamas como
terrorista, também atraiu ataques desses
grupos hacktivistas contra empresas locais.
Embora o Brasil tenha uma posição
bastante cautelosa em relação ao conflito
e defenda uma resolução pacífica, a mera
condenação dos ataques já foi suficiente.
As ações de grupos hacktivistas nem
sempre possuem um elo concreto com
o objetivo almejado. Isso acaba
representando um risco para diversas
organizações, empresas e até indivíduos,
que podem acabar sendo vítimas do
"fogo cruzado".
Até pequenαs
empгesas podem
ser → aτacadas
casѳ esses grupos
encontreɱ alguma
vulneraвilidade fácil
de ser expȴorada.
26
O objetivo dos ataques desses
grupos costuma ser bastante
simbólico – o importante é
demonstrar que eles atacaram
um alvo tido como inimigo. Desde
que a empresa ou organização esteja
vinculada ao alvo dos hacktivistas,
qualquer tipo de ataque – seja
um DDoS ou um vazamento de
dados – é suficiente para comprovar
o compromisso com a causa.

Embora muitos ataques tenham

o objetivo de derrubar sites para
compartilhar uma captura de tela
do erro de "site inacessível" em redes
de comunicação (principalmente
o Telegram), há também casos em
que dados de indivíduos são expostos
e sites são desfigurados (defacement).

Vazamentos de dados geram riscos

para as pessoas – já que cibercrimino-
sos também podem aproveitar essas
informações para outros fins. Contudo,
há também um risco de compliance
para qualquer empresa que tenha
a obrigação legal de manter
os dados em segurança.

Os incidentes de defacement podem

ser igualmente complexos. Ainda
que muitos hacktivistas não tenham
interesse em provocar outros tipos
de danos, a organização atacada
ainda precisa realizar um processo
de resposta a incidente e perícia
que garanta a integridade do
seu ambiente. Além disso,
o defacement de fato tem
potencial para criar embaraços
para a instituição ou marca,
o que condiz com o objetivo
desses grupos.

27
A aplicação de Cyber Threat Intelligence
pode ajudar a acelerar esse processo
de resposta, já que os grupos muitas vezes
têm uma "assinatura" e tendem a realizar
ataques semelhantes a ações anteriores.

De todo modo, a variedade dos ataques

e a dificuldade de prever as ações dos
hacktivistas geram uma grande incerteza,
sendo importante ressaltar que ninguém
está "livre" de ser atacado. Há grupos
atuando de ambos os lados, e eles atacam
qualquer organização percebida como
um "aliado" ou "apoiador" de adversários –
mesmo que elas não tenham se manifestado
favoráveis ou contrárias aos protagonistas
do conflito.

↪ Ainda que os
ҥacҡtivisтas nem
sempre cҩnsigam
provocaл dɐnσs
proȴongaɖos
às redes nacionais,
uma empresa
despreparada para
lidar com esses
ataques pode acabar
se expondo a diversos
riscos ⚠ e expondo
também seus clientes
e colaɞoradores.

28
2023 em
números
2023 em números

A plataforma Axur está sempre utilizando coletores

de dados e sensores configurados para detectar
incidentes de várias categorias, incluindo vazamentos
de credenciais, vazamentos de cartões, páginas de
phishing e fraudes digitais como uso indevido de marca,
perfis falsos em redes sociais e aplicativos mobile falsos.

O ano de 2023 repetiu bastante do que observamos

em 2022. Contudo, a forma dos vazamentos mudou
de forma significativa,

↳ e o número de cartões
vaʒados mais do
que тriplicou.

Credenciais

A plataforma Axur monitora vazamentos e publicações

na Deep, Dark & Surface Web para identificar credenciais
vazadas.

Em 2023, detectamos
o vazamento de
 4,2 вilнõεs
de credenciais.

30
Muitas credenciais são extraídas
de sistemas atacados por malwares
do tipo credential stealer. Esses
softwares maliciosos coletam qualquer
tipo de credencial — eles são capazes
de varrer dados de navegadores para
roubar cookies e buscar softwares
de carteiras digitais instalados para
roubar chaves criptográficas que
dão acesso a criptoativos.
Embora o volume de credenciais vazadas
tenha permanecido estável, houve uma
mudança na origem destas credenciais.
Em 2022, 96% das credenciais foram
coletadas na Deep Web. Em 2023,
observamos um número muito mais
significativo de credenciais nos
chamados pastes e em grandes
vazamentos, aumentando a diversidade
das fontes das credenciais.

Origem das credenciais em 2023

13%
Arquivos
de paste

13.4%
73.6% Grandes
Deep & Dark Web vazamentos

Os canais, grupos e fóruns da Deep & Dark Web continuaram

sendo as principais fontes de credenciais vazadas em 2023.

Entenda

Pastes: São arquivos de texto de tamanho variado com coleções de dados muitas
vezes indefinidas. O termo é uma referência ao formato de arquivo de texto que
pode ser compartilhado nos chamados "sites de paste".

Grandes vazamentos: Coleções de dados nomeadas ou com origem mais específica

são tratadas pela Axur como "grandes vazamentos". Em geral, são bancos de dados
volumosos que podem ser atribuídos a uma fonte (um vazamento de uma empresa)
ou a uma ação criminosa (uma recompilação de vazamentos menores).

31
A análise da Axur indicou
que cerca de 15% das
credenciais ⬒ pҩdem ser
consideradas coгporaтivas.
Porém, essa análise raramente é fácil de ser realizada
– muitas das senhas vazadas dão acesso a contas
de serviços populares. Ainda que esses serviços
sejam muito usados para fins pessoais, também
há casos em que dados corporativos podem estar
presentes nessas contas.

O diferencial
dos stealers

É notório que senhas jamais devem ser armazenadas

sem alguma forma de proteção. Graças a isso, muitas
credenciais obtidas em vazamentos de banco de dados
não podem ser usadas imediatamente pelos criminosos,
sendo necessário quebrar a criptografia ou o hash
da senha armazenada. Dependendo da força da
segurança, isso pode ser possível apenas a longo
prazo, quando as contas já perderam seu valor
ou tiveram suas senhas trocadas.

No caso dos malwares credential stealers, esse

problema praticamente não existe. 98% das
credenciais extraídas por credential stealers
estavam em texto claro, ou seja, prontas para
serem usadas em atividades criminosas.

32
As senhas obtidas por stealers são
disseminadas em arquivos de "logs"
gerados pelos malwares. Criminosos
que estiverem interessados no log
de uma vítima podem adquirir esses
dados e saber exatamente como
a credencial foi coletada (de um
aplicativo, de um gerenciador de
senha ou de um navegador,
por exemplo).
Esses tokens de acesso são gerados
após o usuário passar por todos
os fatores de autenticação para garantir
a permanência da sessão autenticada
de um acesso a outro - ou seja, eles têm
a confiança do sistema de autenticação.
O atacante pode injetar o token em seu
software (seja um aplicativo ou
o cookie no navegador) para clonar
a sessão autenticada anteriormente.

O log também traz informações sobre

Além das senhas, o computador, o que pode indicar se

sтealeгs captuлam a vítima era funcionária de uma empresa

ou acessava serviços de redes corporativas

тҩҡэns de como uma prestadora terceirizada.

auтoгização Devido ao risco representado pelos

stealers, é essencial que as empresas
e cҩҩkies, saibam se suas credenciais foram
roubadas e invalidem tanto as senhas
os quais como as sessões autenticadas dos
usuários após um ataque.
podem вuгlar
a autenticação
O credential stealer pode contaminar
o computador da vítima de várias formas

multifator e segue a fórmula dos cavalos de Troia.

Eles podem ser disseminados através
(MFA/2FA). de páginas maliciosas, publicações em
redes sociais, e-mails de phishing ou até
em publicidade fraudulenta. O software
é oferecido como um programa útil para
a vítima, que faz o download sem suspeitar
de que suas credenciais serão roubadas.

33
 A origem da credencial

 Aplicativos

 Gerenciadores de senha

 Navegadores

O log

 Informações da vítima

 Informações do computador

 Dados sobre a corporação em que

a vítima trabalha, seja como funcionária
ou terceirizada

Como disseminam o “Cavalo de Troia”

 Páginas maliciosas

 Publicações de redes sociais

 E-mails de phishing

 Publicidades fraudulentas

 Disfarçado como programa útil

34
 Cartões

O número de cartões de crédito e débito vazados mais

do que triplicou em 2023 nas detecções da Axur: foram
13,5 milhões de cartões em 2023, um aumento de 265%
em relação aos 3,7 milhões detectados em 2022.

Aproximadamente 83% dos cartões estavam válidos

no momento da coleta. Ou seja, o aumento no volume
de cartões coletados não pode ser explicado por um
aumento na coleta de cartões vencidos.

Os 10 países com mais cartões expostos

Estados Unidos 49.85%

Brasil 7.25%

México 4.48%

Canadá 3.04%

Reino Unido 2.97%

Índia 2.69%

Espanha 2.51%

China 2.34%

Austrália 1.91%

França 1.07%
O primeiro lugar do ranking fica com
Alemanha 0.97% os Estados Unidos, com quase metade
de todas as detecções.
 Phishing

A Axur detecta e contabiliza as páginas de phishing – ou seja,

sites falsos que roubam informações do usuário (inclusive
senhas) ou tentam distribuir programas maliciosos.

Detectamos 31.926 páginas de phishing em 2023, o que

representa uma queda de 8% em relação ao ano anterior.

O setor mais visado foi o varejo/e-commerce, que concentrou

36% das páginas de phishing. Em segundo lugar ficaram
as páginas que tentavam pelos sites de instituições financeiras
e, em terceiro, por empresas de telecomunicações.

Setores mais atacados por phishing

31.1%
Bancos/Financeiras

4.5%
Outros

36.6% 22.1% 3.5% 1.3%

Varejo/E-commerce Telecomunicações Tecnologia Alimentos

Três setores concentram cerca de 90% de todos os casos

de phishing registrados em 2023.

36
A atividade de phishing costuma Diferentemente em 2023, o destaque ficou
ser mais intensa a partir do terceiro com o terceiro trimestre, que registrou
trimestre. Considerando que o varejo o maior número de incidentes. Os últimos
é um dos setores mais visados, crimino- meses do ano mantiveram a alta, mas
sos também aplicam golpes seguindo o sem picos significativos.
calendário dos varejistas – ou seja, eles
tendem a ficar mais agressivos durante
as promoções e eventos de final de ano,
como Black Friday e Natal.

Casos de phishing por trimestre

10,000

7,500

5,000

2,500

0
T1 T2 T3 T4

Os números de 2023 mostram uma tendência de alta desde

o terceiro trimestre até o fim do ano.

37
Uso de Domínios de Primeiro Nível

Assim como qualquer site na web, uma página de phishing

precisa de um endereço para ser acessada pelas vítimas.
Nesse sentido, podemos olhar para os dados para descobrir
os hábitos e preferências dos criminosos na escolha dos
domínios de primeiro nível (DPNs) utilizados.

Um Domínio de Primeiro Nível (DPN), também chamado

em inglês de Top-Level Domain (TLD), é o sufixo acrescido
ao domínio registrado para disponibilizar um site. ".com",
".com.br", ".org" e ".net" são exemplos.

Para o criminoso, a escolha de um domínio segue

alguns critérios:

 A probabilidade de enganar o usuário

quanto à legitimidade da página:
Se a versão ".com" de um domínio já está registrada,
o criminoso talvez consiga registrar um endereço com o mesmo
nome em algum outro sufixo. Cada DPN é um registro separado,
o que fornece várias oportunidades para o agente malicioso.
Um exemplo notório disso é o ".co", que pertence à Colômbia
mas é aberto para o mundo todo, sendo facilmente confundindo
com um endereço ".com".

 O custo:
Alguns sufixos são mais baratos do que outros.

 A dificuldade de derrubar o domínio:

Há registradores que não toleram o registro de sites com dados
suspeitos ou para finalidades indevidas, o que pode impedir
o agente malicioso de manter sua página no ar. Um criminoso
tende a preferir um registro mais leniente, com menos regras.

Desde 2012, a ICANN – que coordena a autorização para novos

DPNs – permite que qualquer organização proponha um novo
domínio (pagando uma taxa) e o administre se a proposta
for aprovada.

38
Por este motivo, hoje existem mais de
1.500 DPNs disponíveis e dezenas de
novos sufixos aguardam aprovação.
Cada DPN que disponibiliza registros
de forma irrestrita cria uma oportuni-
dade para que golpistas registrem
endereços semelhantes aos das
empresas que pretendem atacar.
As páginas observadas pela Axur
tendem a estar abrigadas em
endereços populares, como o ".com".
Contudo, houve um aumento significativo
no uso do DPN ".xyz" em 2023.
O .xyz é um DPN criado em 2014 dentro
das novas regras da ICANN. O registro
desses domínios tende a ser
significativamente mais barato, o que pode
ajudar a explicar a popularidade desses
endereços.

TLDs mais usadas para phishing em 2023

com 32.9%

xyz 19.6%

online 16.9%

com.br 7.3%

site 5.6%

top 5.1%

net 4.1%

shop 3.6%

co 3.1%

app 1.9%

TLDs “.com” e “.com.br” são frequentemente utilizadas.

Mas o destaque do ano vai para o uso de domínios como “xyz”.

39
Deep & Dark Web

O acompanhamento da atividade de grupos criminosos

em ambientes fora da web tradicional permite detectar
campanhas em andamento, colher inteligência a respeito
das táticas e procedimentos dos agentes maliciosos e até
prevenir incidentes por meio da priorização de medidas
defensivas eficazes na mitigação de ataques que estão
sendo planejados ou discutimos pelos criminosos.

O pilar desse trabalho é a filtragem do material. O monito-

ramento da Axur gera alertas de alta relevância graças
à combinação da tecnologia avançada disponível
em nossa plataforma com os parâmetros de
configuração personalizados por cada cliente.

Para alcançar uma visibilidade completa das ações

criminosas, monitoramos aplicativos de mensagens
como Telegram, WhatsApp e Discord, fóruns na Deep
Web e os chamados markets – sites que funcionam como
marketplaces do e-commerce para criminosos. Nesses
espaços, os atacantes colocam à venda dados vazados,
acesso a computadores comprometidos, serviços
e softwares.

40
A equipe de Cyber Threat Intelligence
da Axur também acompanha as interações
nesses ambientes para que o monitoramento
inclua as palavras-chave comumente
associadas à ataques, incidentes
ou fraudes. Esse monitoramento
complementa a detecção de pastes
e outros vazamentos expostos
na Surface Web.

Origem das detecções em Deep & Dark Web

12.2%
WhatsApp

4.8%
Darknet

77.5% 4.4% 1%
Telegram Outros Fóruns

As detecções somaram 529.965 incidentes nas fontes

monitoradas da Deep & Dark Web.

41
Assim como ocorreu com o phishing,
a maioria das menções suspeitas na
Deep & Dark Web estava associada
a empresas dos setores de
varejo/e-commerce, instituições
financeiras e serviços de tecnologia.

É importante considerar que essas

menções, embora indiquem que certas
empresas são mais visadas ou
numericamente mais atacadas, não
significa que os demais setores sejam
ignorados pelos criminosos.

Setores mais visados na Deep & Dark Web

26.1%
Bancos/Financeiras

4.8%
Telecomunicações

3.6%
45% 16.8% Turismo 3.7%
Varejo/E-commerce Tecnologia e viagens Outros

Detecções do ano concentram os 3 setores como mais visados.

42
 Análise profunda em áudio e vídeo

A plataforma Axur emprega a tecnologia de inteligência

artificial com aprendizagem profunda para analisar
conteúdo em imagens, áudio e vídeo. Dessa forma,
mesmo que os atacantes utilizem imagens da marca
acompanhada de conteúdo em áudio, a plataforma
é capaz de identificar os elementos suspeitos e criar
um alerta de acordo com a configuração estabelecida.

Em 2023, mais de 1/4

de todas os alertas ⚠
geгαdos foram provenientes
da análise de conτeúdo
αudiovisuαl.

Artefatos que viraram alertas

70.7% 29.3%
Texto Audiovisual

Na Deep & Dark Web, 374.592 incidentes vieram de detecções em texto

e 155.373 de detecções em áudios, vídeos ou imagens.

A análise de imagens, áudios e vídeos tende a ser mais

difícil e laboriosa e, tradicionalmente, exigiria que um
analista verificasse manualmente esse material. Com
a análise profunda em IA, a busca por vínculos sem a
análise desse material, as empresas perdem visibilidade
sobre as menções suspeitas às suas marcas ou ativos.

43
Infraestrutura exposta

A infraestrutura de tecnologia de uma empresa precisa

estar protegida de forma adequada para evitar que
atacantes encontrem brechas que viabilizem um acesso
inicial na rede corporativa. Mesmo que um ponto de
entrada não pareça particularmente interessante,
um invasor pode aplicar técnicas de movimentação
lateral para ampliar o acesso e chegar a sistemas mais
relevantes, incluindo controladores de domínio,
bancos de dados e servidores de aplicações internas.

Os dispositivos de tecnologia operacional e internet das

coisas (OT/IoT) merecem uma atenção especial. Câmeras
de segurança, equipamentos de rede ou maquinário
especializado e industrial (incluindo equipamentos
médicos) são alguns exemplos desse tipo de dispositivo.
Empresas podem estar em risco quando esses dispositivos
são conectados à rede corporativa sem que haja um
registro adequado de sua presença ou dos procedimentos
de segurança (para atualização de firmware, por exemplo).

Recomenda-se inclusive
o uso de monitoramento
de comportamento
desses disposiтivos para
detectar atividades fora
do padrão, ҽspeciαlmente
quando soluções de
sɛɢuгança тлadicionαis
não  seriam eficazes na
proteção do equipamento.

44
A Axur monitora dados referentes
à exposição de infraestrutura para
permitir que nossos clientes saibam
destes e outros riscos provenientes
de sua infraestrutura de tecnologia.

Por serem vinculados aos endereços

de IP utilizados pela empresa,
esses alertas notificam a equipe
de segurança sobre a existência
de equipamentos expostos que
não eram nem sequer conhecidos.

Portanto, além de auxiliar na aplicação

regular de patches em sistemas
vulneráveis, esse trabalho tem
potencial para prevenir incidentes
envolvendo violações da política
de segurança, casos de shadow IT
e conexões acidentais de OT/IoT
à rede externa.

3/70
Aplicativos
fraudulentos e
perfis falsos em
redes sociais

Criminosos frequentemente aproveitam de uma marca

conhecida e confiada pelo consumidor para distribuir
aplicativos maliciosos ou realizar um contato em rede
social por meio de um perfil falso. Nesse contexto,
a marca dá apoio à fraude e permite atingir
consumidores de forma direta.

Além de lesar o consumidor, a própria marca pode sofrer

danos à sua reputação quando esse tipo de atividade
não é prevenido através de um monitoramento contínuo.
Quando um agente malicioso percebe que tem mais
dificuldade para aplicar golpes usando uma marca,
ele tende a procurar uma outra marca mais vulnerável.

No contexto de aplicativos mobile falsos, detectamos

o crescimento da fraude de "apphishing". Esses apps
dispensam as funções que roubam senhas ou criam
telas sobrepostas que existem na maioria dos aplicativos
fraudulentos e, em vez disso, carregam uma página
clonada controlada pelos criminosos. Dessa forma,
o app em si é tecnicamente um navegador web.

46
Como a informação é totalmente capturada
em um sistema controlado pelo criminoso,
os filtros das lojas de apps nem sempre
barram esses aplicativos. Inclusive, pode
ser bastante difícil de solicitar a retirada
desses apps das lojas, já que a única
evidência do comportamento malicioso
é o uso indevido de uma marca conhecida.

Assim como no ano passado, temos um

volume significativo de perfis falsos em
redes sociais e de aplicativos mobile
fraudulentos.

Consideгando apenas
essas caтegorias,
foгam 116.445
deтecções de
perfis falsos
e 18.712
aplicaтivos
fraudulentos.

47
 Outros usos indevidos
de marca

Além de aparecer em perfis e aplicativos, marcas podem

ser mencionadas sem autorização em diversos outros
contextos, enganando consumidores e vinculando
a empresa a produtos, serviços ou promoções que
não podem ser validadas pela empresa.

Há inclusive situações em que criminosos pagam

por anúncios usando a marca sem autorização para
levar a vítima a ofertas sem qualquer legitimidade.
Nos casos mais graves, a publicidade pode disseminar
uma página de phishing ou um malware.

Graças às plataformas que permitem criar lojas de

e-commerce em minutos, os golpistas também vêm
criando lojas inteiras com o nome de varejistas conhecidos.
Como essas plataformas oferecem canais de pagamento
próprios para simplificar a criação da loja, os criminosos
se aproveitam desses intermediários de pagamento para
ocultar o destino do dinheiro.

47
Somando estes outros casos de usos
não autorizados, tivemos

200.680 deтecções
em 2023, com um
ligeiro crescimento
em relação ao
número de 
mil deтecções
de 2022.

Tipos de abusos de marca

32%
Uso fraudulento de marca

0.4%
Uso de marca
58% 9.3% em busca paga

0.3%
Perfil falso em rede social App mobile falso

Nome de
Mais de 58% dos abusos de marca em 2023 aconteceram domínio
similar
através de perfis falsos nas redes sociais.

49
Potencializando a resposta:
os números do Takedown da Axur

Diante deste panorama, a resposta aos casos de

fraudes digitais precisa contar com diferenciais
para reduzir o tempo de exposição de fraude
e mitigar impactos para o consumidor e para
a marca.

Em 2023, efetuamos
330.612 takedowns 
mantendo uma alta taxa
de sucesso, incluindo
para ameaças como
pнisнiпg (96,85%)
e pзrfis ӻαlsos (97,63%).
Dado que o tempo de análise das entidades notificadas
está fora do controle de quem solicita o takedown,
o principal fator que influencia o tempo de remoção
de um incidente é contar com fluxos automatizados
de notificações, reduzindo a janela entre a identificação
de um incidente e o envio da notificação à plataforma
ou provedor. A Axur desenha cuidadosamente
estes fluxos para endereçar os canais corretos
com a mensagem apropriada. Essa abordagem não
só assegura que as notificações sejam enviadas
de forma eficiente, mas também que sejam altamente
eficazes, resultando em números significativos
de uptime (tempo até que a fraude denunciada seja
removida pela entidade responsável).

50
 Phishing:
Para combater casos de phishing,
a plataforma Axur notifica entidades
em até 5 minutos. Os fluxos
inteligentes de notificação podem
disparar mensagens para dois canais
em um único registro – para ISPs
ou provedores.
A tabela a seguir mostra o uptime
nas entidades com o maior número
de takedowns realizados pela Axur em
2023: Shopify, Cloudfare, Namecheap,
Hostinger e GoDaddy.
O tratamento das notificações costuma
acontecer ainda no mesmo dia.

Uptime de remoção de phishing, por entidade

Entidade Uptime (horas)

9,69

13,74

13,96

17,96

27,21

A maioria dos incidentes de phishing tem a sua conclusão no mesmo dia.

 Perfis falsos No Facebook, após a notificação

Os processos de Takedown da Axur
conseguem eficiência elevada mesmo
em situações de alto volume de
notificações, como nas maiores
e mais usadas redes sociais
do mundo.
da plataforma, conseguimos uma
remoção em média em apenas
41 minutos, enquanto no Instagram
o uptime é de até 56 minutos até
que o perfil seja removido.

51
Uptime de remoção de perfis falsos, por plataforma
Mediana do
Entidade
Uptime (min)
41,67
56,14
3.817,33
3.591,17
Para a maioria dos casos, o tempo de remoção chega a ser ainda menor,
com remoções realizadas em até 15 minutos.
Além de notificar os canais corretos
no menor tempo do mercado, o uptime
também é impactado por mudanças
e tendências das próprias entidades
responsáveis.
No contexto de perfis de redes
sociais, cabe destacar as mudanças
que vêm ocorrendo no Twitter – hoje
chamado de X. Após a aquisição da
plataforma por Elon Musk, a rede
social demitiu funcionários (incluindo
a redução do time responsável pela
moderação de conteúdo) e mudou
políticas para diminuir a percepção
de "censura".
Por conta das mudanças, a Axur
observou uma dificuldade maior para
tratar incidentes de perfis falsos no X.
Embora ainda seja possível derrubar
perfis que explorem marcas de uma
forma indevida, o tempo de resposta
da notificação (uptime) destes perfis
Mediana do Mediana do
Uptime (h) Uptime (dias)
0,69 0,029
0,94 0,039
63,62 2,65
59,85 2,49
ficou prejudicado por um bom tempo ao
longo deste ano, até que a equipe da Axur
conseguisse retomar os fluxos de
notificação automática.
Estes fluxos novamente entraram em risco
com outro desenvolvimento preocupante
do X anunciado em dezembro. O anúncio
de que a plataforma está planejando exigir
reconhecimento facial para notificações
de perfis falsos pode impactar diretamente
o processo de takedown de perfis falsos
de Executivos e VIPs, contas sensíveis
frequentemente visadas por
cibercriminosos.
A Axur segue acompanhando de perto
os desdobramentos das novas políticas
do X para implementar novas soluções
de monitoramento e reação aos riscos
hospedados no território de Musk.
52
Cibercrime
brasileiro em
evolução
Cibercrime brasileiro
em evolução

O cibercrime brasileiro é notoriamente repleto de

particularidades – tem um grande foco em fraudes
financeiras e estelionato, mas não se destaca tanto
em ataques sofisticados ou de longo prazo (ainda que
eles existam). Os criminosos brasileiros também têm
redes próprias para trocar informações e negociar
"serviços", o que reforça as linhas de atuação das
quadrilhas e mantém o caráter "brasileiro" das atividades.

Em ,
contudo, o monitoramento
e o trabalho de Cyber
Threat Intelligence da Axur
identificaram um aumento
significativo nas capacidades
cibeгnéтicas dos αтαcαntзs
вгasileiгҩs.
Essa conclusão se deve a quatro movimentos:
a flexibilidade de ações, a compartimentação
das especialidades dos criminosos, o recrutamento
de colaboradores internos (insiders) e uma
reorganização dos canais de interação
entre golpistas.

3/70
 Alvos financeiros
e ações flexibilizadas

O crime cibernético brasileiro sempre demonstrou

um grande interesse por fraudes financeiras.
O emprego de malwares capazes de roubar dados
financeiros, como senhas bancárias e cartões
de crédito, é uma prática observada praticamente
desde o momento em que serviços financeiros
começaram a ser oferecidos pela internet.

A segurança das transações financeiras em canais

digitais vem aumentando de forma significativa,
mas os criminosos não perderam o interesse por
esses alvos. Dessa maneira, as ações foram
flexibilizadas – em outras palavras, os criminosos
estão dispostos a procurar outras maneiras
de atacar esses alvos em vez de buscar outros
tipos de organizações que poderiam ser vulneráveis
aos ataques que eles já conhecem.

Esse comportamento diverge do cenário internacional,

no qual é comum a realização de ataques oportunísticos.
A exploração de vulnerabilidades recentes, aliadas
à extorsão com ransomware ou outras ameaças,
viabiliza fraudes lucrativas em ataques contra todos
os tipos de empresas. Em resumo, o alvo é flexibilizado,
mas a ação depende da oportunidade.

No Brasil, há uma
preferência por ӻlexibiliӡar
a forma de aтaqҵe,
mas manter o alv¤.

55
De fato, as ações dos criminosos
demonstram que eles normalmente
não têm um conhecimento sólido
sobre o funcionamento das organi-
zações atacadas. É só após
a obtenção do acesso inicial que
eles estudam o alvo, analisam
as possibilidades de ação
e planejam os próximos passos.

A persistência dessas quadrilhas

acaba revelando a existência de
atacantes motivados e dispostos
a trabalhar no longo prazo contra
alvos grandes e notoriamente prepara-
dos – como normalmente é o caso
das instituições financeiras –, desde
que eles possam vislumbrar um
ganho financeiro com a ação.

O uso de inteligência artificial para

burlar a validação biométrica foi
uma das táticas mais relevantes
nesse contexto. O uso de IAs para
falsificar movimentos de rosto facilitou
a abertura e a utilização de contas
laranjas nas instituições, já que as
imagens adulteradas ou forjadas
podiam burlar os sistemas de
segurança adotados pelos bancos
e sistemas de pagamento.

Vários esquemas monitorados pela

Axur ao longo do ano tiveram como
um de seus elementos o uso de IA
para a finalidade de burlar a validação
biométrica e autenticar transações ou
a criação de contas. Somada ao uso
de dados pessoais vazados, o uso
de imagens falsificadas por IA gera
um grande desafio para qualquer
instituição que precise autenticar
seus clientes remotamente.

56
 Segmentação no
cibercrime brasileiro

A escassez de conhecimento técnico no cenário brasileiro

permite que indivíduos mais habilidosos se destaquem
em posições de liderança dos grupos criminosos. Esses
agentes acabam criando uma rede de confiança e parcerias
com outros criminosos de todos os níveis, o que se expande
de acordo com o crescimento financeiro da operação.

Essas relações permitem que funções sejam mais

segmentadas e difusas, delegando certas etapas
da cadeia de ataque como a monetização e o recrutamento
de novos integrantes. Essas atividades requerem menos
conhecimento técnico tradicional, mas acaba por gerar
especialistas em cada nicho de atuação.

A maior complexidade das redes criminosas cria

obstruções ao fluxo de informações sobre os alvos,
objetivos e as composições das quadrilhas, o que
precisa ser compensado por estratégias de inteligência.

A existência de criminosos dedicados ao recrutamento

de pessoal ajuda a explicar o aumento de ações que
envolvem a colaboração de indivíduos que fazem parte
do quadro das organizações atacadas (insiders).
Inclusive, esse recrutamento é realizado em um
esquema de "parcerias" no qual os criminosos que
conduzem o aliciamento dos colaboradores
desconhecem os detalhes técnicos da operação.

De certo modo, a segmentação aprofunda o gap técnico

entre os criminosos. Com o avanço da inteligência artificial
e o desejo de se transformarem em "coders" (programadores),
muitos já recorrem a esse tipo de ferramenta para contornar
as deficiências técnicas. Quem tem um pouco mais
de experiência vem reagindo, especificando que não
é um "coder de GPT" para destacar seu "diferencial"
no mercado do crime.

57
Recrutamento de
colaboradores internos

Uma tendência preocupante no cibercrime brasileiro

é a tática de recrutar colaboradores das empresas
atacadas. Por ser realizado pelos criminosos que
carecem de conhecimento técnico, o recrutamento
de cúmplices internos abre uma linha de atuação
para indivíduos que teriam dificuldade de contribuir
com o crime em outra capacidade e, ao mesmo tempo,
gera um grande desafio para os alvos.

Os casos observados pela Axur em 2023 envolveram

a cooptação do público interno de instituições financeiras.
Em diversos ambientes que monitoramos, é comum
a procura por "gerentes" dispostos a colaborar
com os atacantes.

Em troca da cooperação do funcionário, os criminosos

oferecem lucros exorbitantes – uma suposta parcela
do que ganhariam com o ataque. Uma vez cooptado,
o funcionário recebe orientações para utilizar seu
acesso em favor dos criminosos. O que chama
a atenção é a variedade de formas que o colaborador
pode escolher para concretizar a colaboração:
 Instalação de um software de
acesso remoto (Remote Monitoring
and Management software — RMM):
O funcionário é orientado a instalar
um software que permita o
gerenciamento do computador
da empresa atacada. No Brasil,
podem ser softwares de uso
legítimo como AnyDesk e
TeamViewer que, justamente
por já terem presença em redes
corporativas, podem evitar suspeitas.

 Instalação de hardware ("caixinha"):

Os criminosos fornecem um dispositivo
que eles chamam de "caixinha" para
ser instalado pelo funcionário em
um servidor. Acreditamos que a
"caixinha" seja uma solução baseada
em Raspberry Pi, um single-board
computer (SBC) que mede
aproximadamente 85 × 55 mm
e pode ser configurado para
realizar diversas funções.

A mera existência de opções tão

diversificadas é um indício de que
os criminosos vêm flexibilizando
as abordagens para obter o acesso
inicial às empresas por meio dos
colaboradores internos – em outras
palavras, é provável que os métodos
foram criados para acomodar situações
que já ocorreram.

Uma vez que as alternativas existem,

o colaborador pode optar por aquela
que mais se encaixa em sua posição
na empresa, seu conhecimento técnico
e o nível de conforto com a operação.

59
Novas redes
e interações
Os criminosos brasileiros costumam interagir bastante
através de redes sociais, inclusive para divulgar as fraudes
que realizam – o que pode servir para cooptar outros
colaboradores ou apenas para melhorar sua "posição"
na comunidade.

Três movimentos nessas interações merecem destaque:

 o uso de checkers para validação de cartão de crédito

 o aumento da utilização de WhatsApp para

divulgação de fraudes

 e o acesso indireto à credenciais.

 Card Checkers:
Os Card Checkers são ferramentas que buscam validar um
cartão de crédito roubado sem que o criminoso precise tentar
usá-lo de fato. Isso é vantajoso para o fraudador, uma vez que
a tentativa de uso do cartão para validá-lo pode em si acabar
motivando o cancelamento do cartão, tornando-o inválido.
Apesar de não serem infalíveis, os Card Checkers tendem
a melhorar as chances do criminoso de conseguir utilizar
um cartão para a transação desejada.

Criminosos brasileiros "importaram" essas ferramentas

do cenário internacional, principalmente como apoio para
as fraudes que começam com o uso de aplicativos maliciosos
desenvolvidos para roubar dados de cartões de crédito.

Além de estarem em sites da web, os Card Checkers

também são disponibilizados como bots de Telegram
aos quais os criminosos podem pagar para obter acesso.

60
 Migração para o WhatsApp:
Embora o Telegram permaneça sendo
a rede de comunicação mais utilizada
para a interação entre criminosos
e divulgação de fraudes, observamos
um aumento no uso de grupos de
WhatsApp e na presença de conteúdo
no Facebook com o mesmo propósito.
Uma possível explicação para esse
fenômeno seria o interesse de alguns
criminosos em aplicar fraudes contra
outros criminosos (os chamados
lotters, de "calote").

Esse tipo de estelionato entre crimino-

sos ocorre quando um indivíduo vende
um serviço ou software do crime e não
o entrega, ou quando softwares
ou códigos entregues fazem algo
diferente do que foi combinado.

O lotter pode inclusive aplicar fraudes

sem exigir pagamento. Por exemplo,
ao oferecer um Card Checker gratuito
nesses grupos, o lotter pode capturar
os dados de cartões que outros
criminosos obtiveram – mesmo que
a ferramenta não funcione na realidade.

Redes mais acessíveis para o público

geral – como é o caso do WhatsApp e
do Facebook – podem atrair pessoas
com menos experiência e, portanto,
mais vulneráveis à ação dos lotters.

Tendo em vista que o objetivo dessas

interações no WhatsApp e no Facebook
não é muito genuíno, os golpistas
mais técnicos e especializados ainda
continuam no Telegram.

61
 Disseminação de credenciais roubadas:
Outro serviço oferecido no Telegram
é o acesso a credenciais roubadas pelos
malwares do tipo stealer, em especial
o Redline.

Em sua origem, as credenciais roubadas

pelos stealers são distribuídas em logs
oferecidos a qualquer criminoso disposto
a pagar pelo acesso. É um modelo
de negócios que incentiva o ataque
indiscriminado a qualquer empresa
ou alvo, apostando no fato de que
outros criminosos podem fazer
uso da credencial.

Fraudadores menores encontraram

uma forma de intermediar o acesso
a essa informação por meio da criação
de "painéis" no Telegram. As consultas
realizadas nesse painel exigem o uso
de créditos que são vendidos por esses
criminosos, criando mais um agente
intermediário que pode lucrar com
a ação dos stealers.

Esse modelo levou as credenciais

roubadas pelos stealers a um número
maior de criminosos, inclusive aqueles
que não tinham condições ou interesse
em adquirir e analisar os logs completos
da operação do stealer.

Com a credencial roubada disponível

para mais atacantes, há uma chance
maior de que ela seja de fato usada em
um ataque. Empresas que não estiverem
atentas a esses movimentos correm um
risco maior de sofrerem uma invasão
viabilizada por um stealer.

62
Tendências
Tendências

Olhando para as ameaças que se destacaram em 2023

e as estratégias que funcionaram – tanto no ataque como
na defesa –, podemos ter uma ideia do que pode vir a seguir
e marcar o ano de 2024.

Inteligência
artificial

As tecnologias de inteligência artificial, em especial

as novas modalidades de IAs generativas, têm gerado
novas oportunidades e métodos de trabalho. A mesma
movimentação já está acontecendo na segurança
cibernética.

O uso dos grandes modelos de linguagem, como

o ChatGPT ou o Bard, possibilita que criminosos
elaborem fraudes customizadas, porém em larga
escala, como ataques de spear phishing em que
a IA automaticamente se adapta ao contexto e
ao tipo de linguagem de cada vítima. Em ações
mais amplas, como o phishing tradicional, há uma
expectativa de que a IA comece a personalizar
a mensagem para cada destinatário, trazendo
características que normalmente só seriam
vistas em ataques direcionados.

64
As IAs generativas que manipulam
imagens abrem um leque especial-
mente grande de possibilidades, seja
com a criação de imagens dedicadas
a cada destinatário ou com golpes
de extorsão falsa. Um tema comum
nesses golpes é a ameaça de expor
imagens sensíveis da vítima em cenas
explícitas ou com nudez. Em geral,
o criminoso não é capaz de fornecer
as imagens em questão – afinal,
trata-se de uma ameaça falsa –, mas
a IA pode mudar isso.
Já existem casos em que indivíduos
realizaram uso indevido da IA para
falsificar imagens de nudez de outras
pessoas. O que falta é isso se tornar
um elemento de ataques cibernéticos
cotidianos, seja na forma de fraude
ou como parte de uma abordagem
de engenharia social.
A ameaça da IA
ǥeneraȶiva aos
sisтeмas ɖe
auтenticação
também pode
se ⚠ agravar.
65
O aperfeiçoamento das IAs capazes
de gerar movimentos ou falsificar vozes
pode levar os sistemas de autenticação
remota existentes ao limite, exigindo que
eles sejam adaptados ou até repensados.
O risco dessa atividade não se limita
às empresas, já que processos de
governo eletrônico são igualmente
dependentes de uma autenticação
robusta.
Do lado defensivo, há uma grande
oportunidade para o uso de inteligências
artificiais no contexto de Cyber Threat
Intelligence. A IA permite associar
e priorizar informações de ameaças
levando em conta a superfície de ataque
de cada organização, estabelecendo
rapidamente relações entre grandes
volumes de dados. Na etapa generativa,
essa análise já priorizada e altamente
relevante pode ser apresentada de
maneira a orientar ações práticas
para prevenção ou tratamento
de incidentes.
Ainda que a IA tenha limitações, de modo
geral a sua agilidade pode preencher
uma lacuna que dificilmente seria viável
para humanos. Trata-se, portanto, de
uma nova forma de obter inteligência,
com o cuidado de ter ferramentas
que tragam um bom nível de exatidão
nos resultados.
O governo dos Estados Unidos
já anunciou que pretende buscar
formas de

integrar ↔
a iпteliɢência
aгтificial à
proteção da
infraestrutura
crítica, inclusive
para encontrar
vulnєяabilidades
em sisтeмas.
Ao mesmo tempo, essa iniciativa deve
propor contramedidas para evitar que
a IA seja usada de maneira indevida.

Vale lembrar que outras modalidades

de Deep Learning já vinham sendo
aplicadas na triagem de alertas e no
reconhecimento de comportamentos
e padrões para detectar ameaças.

66
 Portas de entrada:
engenharia social e supply chain

A engenharia social é um elemento constante nas primeiras

etapas de uma invasão, ainda que ela nem sempre seja
o único instrumento do invasor (pode ocorrer uma combinação
entre engenharia social e falhas dia zero, por exemplo).
Uma novidade mais recente, contudo, é o foco no ataque
a terceiros – empresas ou indivíduos vinculados ao alvo,
mas que não estão inclusos no ambiente protegido por
medidas de segurança tradicionais.

A engenharia social é um dos destaques nesse contexto,

já que nem sempre as iniciativas de treinamento
e conscientização são homogêneas entre uma empresa
e seus fornecedores. O desnível no preparo e na prevenção
de ataques pode criar um ponto de entrada para o invasor.

Vale lembrar que o ataque a esses parceiros também abre

novos caminhos para a engenharia social. O invasor pode
obter informações por meio desses terceiros ou utilizar os
sistemas de um prestador para enganar sua verdadeira vítima.
Isso ocorreu com o MailChimp em 2022, que foi atacado – por
engenharia social – por prestar serviços para empresas do
setor de criptoativos, mas a atividade se intensificou e se
diversificou em 2023, com ataques a outras indústrias.
Nos incidentes do Caesars Entertainment e do MGM Resorts,
os invasores utilizaram engenharia social contra um prestador
externo de serviços de TI.

67
Para os defensores, é importante
compreender que a adoção da
computação em nuvem ou de sistemas
de software como serviço (SaaS)
não pode ser encarada como uma
forma de diminuir o risco. Os ataques
contra esses sistemas de terceiros
também geram riscos para a empresa,
e não é possível responsabilizar
o prestador de serviço por todos
os prejuízos decorrentes de uma
violação ou indisponibilidade.

Considerando-se que é possível

ganhar produtividade e diminuir
custos com essas tecnologias,
é compreensível que as empresas
continuem interessadas em simplificar
seus ecossistemas como uma forma
de controlar o risco e a exposição
a muitos ambientes.

Nesse cenário, é preciso encontrar

soluções capazes de mitigar tanto
o risco interno como o externo e,
ao mesmo tempo, evitar a expansão
da superfície de ataque e da
complexidade do ecossistema de TI.

A integração de diversas tecnologias

e abordagens em plataformas
completas de cibersegurança diminui
os custos de adoção e configuração
das soluções, além de descomplicar
a relação com fornecedores.

Plataformas gerenciadas ⬒
também são mais acessíveis
para as pequenas e médias
empresas  que compõem
a cadeia de fҩrnecedores
das grandes empresas.
68
 Ameaças
físicas

A barreira entre o real e o virtual na segurança da informação

não é mais tão clara. Blecautes na Ucrânia são atualmente
o exemplo mais concreto das consequências físicas dos
ataques cibernéticos. E na iniciativa privada, o setor de
saúde é um dos mais preocupados com essa questão.

No mesmo sentido, estão surgindo golpes de engenharia

social que incorporaram ameaças de violência física. Ataques
desse tipo foram realizados pelo grupo "Scattered Spider",
um grupo de atores que também ataca prestadores
terceirizados – o que significa que ambas as técnicas
podem aparecer em conjunto.

Os ataques contra dispositivos de segurança física

(incluindo câmeras de segurança) também podem ter
esse tipo de impacto. Contudo, esses ataques já aconteciam
anteriormente e não parece haver motivo para esperar alguma
mudança significativa nesse cenário – a não ser que novos
fatos venham à tona.

Isto não quer dizer que esses ataques não sejam uma
preocupação nos contextos de infraestrutura e saúde.
Novas regulamentações nos Estados Unidos e na Europa
foram implementadas para reforçar a segurança de
dispositivos de uso industrial e médico: a Food and
Drug Administration (FDA) passou a obrigar fabricantes
a documentar medidas que garantam a segurança de
dispositivos médicos.

69
Consumidores e pequenas empresas também
podem esperar alguma melhora. A União
Europeia tem uma política abrangente para
a Internet das Coisas (IoT) e, se for
bem-sucedida, essa postura pode dificultar
alguns ataques – ao menos nos dispositivos
que estiverem em conformidade com as regras.
O Federal Communications Commission (FCC)
dos EUA propôs um "selo", ou trust mark,
para conscientizar consumidores sobre
a segurança de smart devices.

Por outro lado,

é inegável que existe
uma ɢгaпde quantidade
de sisтeмas legados
ainda em uso e nem
sempre é fácil avaliar
o гisc¤ que eles
representam.
Pela dificuldade de avaliar o risco, alguns
desses dispositivos acabaram no fogo
cruzado das tensões geopolíticas com
a China, onde muitos deles são fabricados.
Câmeras de origem chinesa sofreram
restrições nos Estados Unidos, no Reino Unido
e na Austrália. Mais recentemente, há um
movimento para restringir a compra de
drones – tanto por parte da China,
que estabeleceu regras para exportação,
como por parte de algumas autoridades
norte-americanas que temem a existência
de códigos inseguros que levem à exposição
dos dados coletados por esses dispositivos.

70
 Eleições e
desinformação

O ano de 2024 será um ano de eleição para os Estados

Unidos. Por ser um ano eleitoral, as prioridades políticas
podem mudar, seja de forma temporária ou permanente.
Como os EUA têm um papel central na geopolítica mundial,
as ações e reações do país podem mudar consideravelmente
o rumo dos fatos.

Na prática, muitos threat actors vinculados a países

adversários – seja de forma oficial ou por afinidade
política – terão algum interesse no resultado da eleição.

Isso se traduz em desafios para a própria eleição

norte-americana. Assim como já registrado em
eleições anteriores, é possível que os agentes
externos tentem interferir no pleito por meio da

manipulação de publicações
em ⬒ redes sociais ou até com
αтαquεs cibernéticos contra
deteгminados poɭíticos.

71
É possível que haja alguma surpresa em
decorrência do envolvimento de grupos
hacktivistas. Ainda que eles normalmente
não tenham a mesma eficácia de
agentes mais coordenados,

não  é possível
descaгtar que eles
estejam envolvidos
em alguma revelação
com impacтo políтico.
Esses agentes mais coordenados podem
incorporar as novas tecnologias às campanhas
de desinformação. Por mais que as redes
sociais tenham aprendido a reforçar seu
monitoramento com os pleitos anteriores,
o uso dos deepfakes – imagens e áudios
manipulados de forma convincente por
IA – tem potencial para zerar boa parte
dos avanços alcançados no combate
ao conteúdo falso.

Além disso, a circulação de conteúdo por canais

fechados ou particulares – em plataformas
como Discord e Telegram – pode dificultar
a identificação desse material. Os conteúdos
temporários e curtos – como é o caso de stories
e de vídeos em formato de short – também
são mais populares hoje do que em pleitos
anteriores, e o impacto do conteúdo fake
nesse tipo de formato pode ser mais difícil
de mensurar.

3/70
Estratégias
e táticas para
2024
Estratégias e
táticas para 2024

Após explorar as tendências emergentes

de 2024, fica claro que os riscos estão
evoluindo rapidamente. Em resposta
a este cenário dinâmico, a Axur,
ao longo de 2023, dedicou sua equipe
de desenvolvimento e ciência de dados
a explorar o potencial da inteligência
artificial generativa.

O resultado é uma solução revolucionária

que acreditamos representar a próxima
geração em Cyber Threat Intelligence.
Agora, ao iniciar 2024, apresentamos
esta inovação no campo da defesa:
a nova era de CTI.

3/70
Conheça Polaris, seu analista de
Threat Intel enriquecido por IA
A Axur apresenta o Polaris, a solução projetada para ser a primeira de CTI
em que a IA não é apenas um recurso adicionado ao produto – ela é o próprio
produto. Imagine tendo ao seu lado um analista automatizado que opera 24×7
ao seu favor, usando os LLMs com a tecnologia mais avançada para ler, inspecionar,
cruzar dados e priorizar as ameaças mais relevantes todos os dias.

Como Polaris funciona?

Polaris realiza um inventário da sua superfície de ataque (ASM) e seus tópicos

de interesse, com uma personalização avançada e sem precedentes.

Todos os dias, analisa centenas de fontes, incluindo notícias e informações

sobre vulnerabilidades comuns, alertas de ransomware, IoCs, frameworks
(MITRE ATT&CK) e exposições (CVEs).

Seu modelo LLM altamente especializado resume cada ataque, ameaça

ou vulnerabilidade relevante.

Em seguida, filtra tudo que é pertinente ao mapa da sua superfície

de ataque e aos tópicos de interesse que você selecionou.

Por fim, gera alertas curados e acionáveis apenas com o que você
precisa saber, nada mais.
Seu analista estratégico 180 vezes mais rápido
na identificação e triagem de ameaças

Insights acionáveis de cibersegurança,

não apenas notícias
 Informações filtradas: baseadas em localização, data, atores de ameaças,
motivos, TTPs (Táticas, Técnicas e Procedimentos), CVEs associados,
setores afetados.

 Insights gerados: personalizados para você, explicando a importância

de cada ponto e o que você pode fazer para ficar protegido.

Teste grátis

E experimente o poder de um analista

de Threat Intel automatizado

Acesse: axur.com/polaris
Plataforma com automação
de ponta a ponta.
Menos ruído, mais relevância.

Dispare a escala na análise de uma quantidade massiva de sinais

e no tratamento dos incidentes relevantes por meio de automações
inteligentes baseadas em vários atributos identificados pela IA.

Inspeção com IA
 Semelhança da logomarca
 Idioma do conteúdo
 Desambiguação do nome da marca
 Grau de risco
 Presença de campo de senha
 Reconhecimento facial de VIPs
… e muitos outros!

 Regras de automação
Configure fluxos de automação para ter
um arsenal imbatível trabalhando 24×7
para o seu negócio, identificando riscos
e solicitando takedowns automáticos.
Durma tranquilo sabendo que, sempre
que as condições que você determina
forem encontradas, a ameaça será
encaminhada imediatamente.

Mais de 86% das

detecções na Axur
em  foram
endereçadas sem
nenhum toque humano.
Exemplo real de resultados de uma empresa
do setor financeiro
 Exemplo real de resultados de uma empresa do setor de varejo e E-commerce

Takedown com fluxos automatizados,

pois você não pode esperar por uma
ação humana quando mais precisa de
agilidade para remediar o problema.
Reduza drasticamente o tempo médio de contenção (MTTC),
automatizando a parte do processo que você pode controlar
com as notificações mais rápidas e assertivasdo mercado.
Otimize a análise do provedor com notificações orquestradas
para o melhor caminho e mensagem, desenvolvidas com anos
de experiência – e em constante aprimoramento. Caso a entidade
notificada comece a dar sinais de demora na resposta, novos fluxos
são disparados automaticamente para acelerar a derrubada por outra
via. Tudo isso possibilita a escala de takedowns de forma ilimitada.
 Inteligência que escala
A quantidade de ruído e dependência de processos manuais já são problemas muito
conhecidos pelos times de segurança. Você precisa contar com uma plataforma de
Threat Intelligence que alavanque a escala de análise e atuação nas estratégias
de defesa da sua empresa.

A Axur coleta e processa automaticamente um vasto volume de dados, produzindo

os insights mais relevantes a partir da curadoria, normalização, enriquecimento
e avaliação do grau de risco. Assim, você consegue priorizar esforços com
a velocidade necessária para diminuir a janela de oportunidade dos atacantes.

 DeepChat
Você não precisa se aprofundar em todos os eventos
da Deep & Dark Web para obter uma visão objetiva
do que está acontecendo. Inicie o seu dia com um
briefing das menções mais relevantes à sua marca
com o DeepChat, nosso próprio modelo de IA
generativa fluente em tramponês – a linguagem
do cibercrime. Obtenha insights certeiros para
otimizar sua gestão de ameaças e ainda tenha
um report executivo à mão sempre que precisar.

 Alertas de anomalias
Configure alertas de anomalias como menções
acima do normal, em canais específicos ou com
palavras-chave escolhidas por você. Sempre que
uma anomalia for detectada, um alerta é enviado
para chamar a sua atenção em tempo hábil para
o que é mais relevante. Aja com velocidade
e evite surpresas.

O alerta avisa em tempo real, por exemplo, caso

os atores maliciosos estejam planejando ataques
ou exploração de bugs do seu negócio. Assim, sua
reação fica mais rápida sem precisar acompanhar
constantemente cada detecção.

 Mais features de threat intel

Threat Actor Profile e Score determinado por
IA, IoCs, alertas de ataque de ransomware,
relatórios de ameaças e investigações da nossa
equipe de especialistas estão prontos para
sofisticar seus recursos de inteligência.
Uma única plataforma
para proteger o seu
negócio no mundo digital
Fraudes Digitais
Monitore e detecte conteúdos que personificam a sua marca,
com cobertura 24×7. Utilize o takedown mais eficiente do mundo
para remover automaticamente vetores de risco externos.

 Phishing  Perfil falso em rede social

 Uso indevido de marca  App mobile falso
 Malware  Nome de domínio similar
 Uso de marca em busca paga

Vazamento de dados
Seja alertado de dados expostos indevidamente, reduza o tempo
de reação e reduza a superfície de ataque ao seu negócio.

 Credenciais de infostealers
 Exposição de cartão de crédito para emissores

 Exposição de cartão de crédito para aplicações

 Exposição de credencial corporativa

 Dados sensíveis
 Vazamento de segredo de código
 Exposição de bases de dados
Inteligência Deep & Dark Web
Utilize a maior base integrada de dados brutos da Deep & Dark Web
para monitorar a atividade do cibercrime, detectar menções ao seu
negócio e interromper ataques no menor tempo de reação.

 Menções ao seu negócio, parceiros, indústria ou qualquer

palavra-chave que você queira monitorar, inclusive em imagens
(utilizando OCR) ou áudios, com transcrição
 Indicadores de Comprometimento (IoCs)
 Boletins de Segurança
 Buscas direcionadas e Threat Hunting com o Explorar
 Alerta de anomalias
 Apoio imediato para pesquisa e investigação

Executivos e VIPs
Monitore a exposição de dados das contas mais sensíveis
da sua empresa e reduza o risco de spear phishing, ransomware
e ataques utilizando Engenharia Social.

 Perfil falso em rede social

 Exposição de informações pessoais, credenciais,
telefones ou cartões de crédito

Pirataria Online
Resgate sua receita que está se esvaindo em pirataria
e vendas irregulares.

 Produto falso ou venda irregular

 Pirataria de conteúdo

Avaliação de Segurança
Avalie e fortaleça sua postura de segurança eliminando
riscos externos e de terceiros, em parceria com
a Riskrecon, da Mastercard.
Sobre a

A Axur possibilita a escala e automatização do tratamento

de ameaças cibernéticas para apoiar os times de segurança
da informação e proporcionar experiências digitais mais seguras.
A nossa plataforma de Threat Intelligence tem o tempo de reação
mais rápido do mercado, solicitando takedowns automáticos, 24×7.

Isso é possível porque a plataforma Axur atua em quatro camadas:

além da detecção, as tecnologias de inspeção, automação e remoção
diminuem muito o tempo médio de contenção (MTTC) dos times de
segurança. Além disso, nossos especialistas em Inteligência Cibernética
expandem a investigação tanto na Surface como na Deep & Dark Web,
tornando a Axur a empresa líder em Cyber Threat Intelligence
na América Latina.

Comece
gratuitamente!
Agende uma
demonstração