Faça da dark web seu sistema de alerta precoce

Imagine que você faz parte da equipe executiva de uma companhia aérea, iniciando a semana à sua mesa de trabalho com uma xícara de café, em uma manhã de segunda-feira excepcionalmente tranquila. Você se sente uma pessoa revigorada, relaxada e pronta para a semana. 

Enquanto você coloca sua caixa de entrada em dia, aquele tap-tap-tap familiar de uma notificação do Slack chama sua atenção. 

Você abre a janela. É uma mensagem da liderança do seu centro de operações de segurança (SOC), e não é nada boa: “Há um corretor de dados na dark web anunciando um enorme acervo de registros de nossos clientes para venda”.

O que você faz? Convoca uma reunião de emergência dos líderes da empresa? Chama a polícia? 

Seu primeiro impulso pode ser se desesperar. Nossos dados estão na dark web. E isso é grave.

Contudo, a atitude ideal seria pedir aos analistas de inteligência de ameaças que se aprofundassem um pouco mais antes de qualquer reação. 

Afinal, os cibercriminosos não são exatamente confiáveis, e os registros que eles estão anunciando podem não ser o que afirmam. Talvez o que eles realmente tenham sejam dados de terceiros obtidos em um site de viagens, guardando pouca relação com sua empresa. Talvez eles estejam apenas usando o nome conhecido da sua organização para atrair compradores.  

Isso significaria que os dados dos seus clientes estariam sãos e salvos, e você não precisaria lançar uma resposta pública massiva e dispendiosa. Talvez você não precise fazer nada.

O objetivo desse exercício de reflexão, inspirado em um incidente real enfrentado pelo IBM® X-Force, é que a dark web é bem menos misteriosa do que sua reputação sinistra faz parecer.

Menos misteriosa — e passível de ser conhecida.

Certamente, a dark web é palco de muitas atividades obscuras e totalmente mal-intencionadas, mas as lendas em torno desse canto sombrio da internet podem obscurecer o discernimento das pessoas. 

Ao monitorar de perto, com tranquilidade e racionalidade as atividades na dark web, as organizações podem superar os mitos e conseguir uma visão precisa do que realmente acontece no famoso paraíso dos hackers. 

Dito isso, a dark web pode ser um terreno difícil de navegar. Na verdade, os criminosos podem até infectar uns aos outros para obter insights ou acesso a dados e contas bancárias. É útil ter o apoio de profissionais qualificados em cibersegurança que possam separar as ameaças vazias dos riscos reais.

Esqueça o nome sinistro e as lendas urbanas. A dark web é, em última análise, apenas uma seção específica da internet, embora seja intencionalmente obscura.

Em um nível elevado, podemos dizer que a internet possui três camadas.

1. A web aberta, que inclui todos os sites voltados para o público que podem ser encontrados em um mecanismo de busca.
    
2. A deep web, que inclui aquilo que os mecanismos de busca não indexam. A deep web é muito maior do que a open web, e a maior parte dela é inofensiva. Sua conta bancária online? Conteúdo com paywall? Tudo isso é a deep web. 
   
   
3. A dark web é uma subseção da deep web, que requer um software de navegação especial, como o navegador Tor, para ser acessada. 

Como é a dark web? Não é muito diferente da web aberta. As pessoas se reúnem em fóruns. Vendem itens em mercados. A grande diferença é que os itens que eles discutem e vendem exigem um certo anonimato.

Nem tudo o que acontece na dark web é malévolo. Os jornalistas, por exemplo, podem usá-la para conseguir e compartilhar informações confidenciais.

Mas, sim, muitos habitantes da dark web são cibercriminosos. Seus fóruns são dedicados não a programas de TV e hobbies específicos, mas a negociações sobre explorações e ao recrutamento de novos membros de quadrilhas. Em vez de vender roupas e videogames, eles vendem malwares, números de cartão de crédito e credenciais roubadas. Muitas credenciais roubadas.

De acordo com o X-Force Threat Intelligence Index, o sequestro de contas válidas é um dos vetores iniciais de violação de dados mais comuns, sendo responsável por 30% dos ataques cibernéticos.

Somente no quarto trimestre de 2024, o X-Force observou 1,2 milhão de conjuntos de credenciais à venda na dark web, muitas vezes por apenas USD 14 por registro. Outros hackers compram essas credenciais e as usam para cometer roubo de identidade ou invadir redes corporativas. 

Alguns cibercriminosos oferecem o que chamamos de “malware como serviço”, que aplica o modelo clássico de software como serviço (SaaS) a ransomware e outros softwares maliciosos. Esses agentes da ameaça vendem malware proprietário para afiliados, que o utilizam para lançar ataques e compartilham uma parte de seus lucros ilícitos com os criadores.  

E depois há os corretores de acesso, que ganham acesso aos sistemas-alvo e vendem a entrada para outros cibercriminosos fazerem o que bem entenderem. 

Quer estejam vendendo dados, acesso ou malware, esses cibercriminosos geralmente se organizam em quadrilhas, em vez de agirem sozinhos. Porém, manter o controle sobre essas quadrilhas é difícil. Elas tendem a se formar, crescer e desaparecer com rapidez. Por exemplo, mais da metade das quadrilhas de ransomware mais ativas na dark web no primeiro trimestre de 2025 já existiam há um ano ou menos. 

O equilíbrio de poder está sempre mudando na dark web. A polícia desmantela quadrilhas. Afiliados insatisfeitos se separam para criar seus próprios empreendimentos. Às vezes, a competição entre quadrilhas leva a ataques diretos. Foi o que aconteceu em fevereiro deste ano, quando uma quadrilha rival vazou o código da versão mais recente do ransomware do famigerado grupo Lockbit.

Esse ritmo acelerado de mudanças e a dinâmica intrincada entre quadrilhas e mercados são apenas algumas das razões pelas quais vale a pena trabalhar com analistas de inteligência de ameaças dedicados que possam ficar de olho nas transações na dark web para sua organização. Em meio a toda essa confusão, é muito fácil não perceber os sinais de alerta que podem indicar uma ameaça ativa à sua empresa. 

A maioria de nós sabe que não deve acreditar cegamente em publicações sem fonte feitas por desconhecidos nas redes sociais. No entanto, quando os cibercriminosos dizem que têm dados sigilosos, sem a menor prova, tendemos a acreditar neles.

Na verdade, não deveríamos. E essa é outra área em que especialistas em inteligência de ameaças podem ser úteis: distinguir fatos de ficção na dark web.  

Os cibercriminosos mentem. E muito. Eles frequentemente afirmam ter dados de grandes organizações, quando, na verdade, não têm. Por quê? Para parecerem mais competentes do que realmente são e, assim, construir uma reputação indevida de hackers habilidosos. Ou então para tentar atrair negócios para dados de menor valor que de fato possuam.

Por exemplo, uma quadrilha pode alegar ter dados de uma grande marca global. Quando clientes em potencial aparecem, a quadrilha diz que os dados já foram vendidos, mas podem oferecer outros dados de uma organização menos conhecida. É essencialmente uma forma de engenharia social direcionada a outros cibercriminosos. 

Por outro lado, os cibercriminosos nem sempre anunciam abertamente os dados que realmente possuem. Para evitar serem pegos, eles muitas vezes ocultam a identidade das vítimas. Em vez de dizerem que têm dados da empresa X, eles podem dizer: “Temos dados de uma empresa de porte X, do setor Y, com valor de mercado Z”. 

O que as organizações precisam é de um programa de vigilância sofisticado que possa identificar com precisão tanto vazamentos falsos quanto ameaças reais, porém disfarçadas. 

O valor final de investir recursos no monitoramento da dark web não se restringe a dissipar mitos e descobrir mentiras dos cibercriminosos. Em vez disso, com as ferramentas e a equipe certas, as organizações podem usar a dark web como um sistema de alerta precoce para detectar ataques antes que eles causem grandes estragos.

Agora, se os dados de uma organização ou seus pontos de entrada de rede estiverem sendo vendidos na dark web, isso indica que ela já sofreu um comprometimento. Todavia, às vezes essa é justamente a primeira oportunidade de detecção do ataque.

Isso é ainda mais relevante hoje, quando os agentes da ameaça estão adotando métodos de ataque cada vez mais sorrateiros, como sequestro de contas de usuários ou até mesmo a colaboração com agentes internos maliciosos que utilizam indevidamente seus privilégios de acesso legítimos. Há relatos de corretores de acesso na dark web que se passam por funcionários ou alegam ter conivência interna nas empresas violadas.

Os invasores também começaram a usar malwares menores, chamados de “incômodos”, para entregar cargas maiores, como infiltrar um ransomware por meio de um infostealer. Quando entram em uma rede, muitas vezes “vivem dos recursos existentes”. Ou seja, eles usam infraestrutura de rede legítima, como scripts do PowerShell e contas de usuário reais, para se movimentar pela rede e acessar ativos. 

As ferramentas padrão de segurança de rede muitas vezes não detectam essas atividades porque elas não parecem maliciosas, assemelhando-se a usuários e sistemas autorizados que realizam ações legítimas.

Assim, às vezes, só quando os dados chegam à dark web é que alguém sabe que algo está errado. Ao coletar esses dados quando eles aparecem, as organizações podem tomar providências rápidas para minimizar o impacto. Podem alterar as credenciais de contas comprometidas ou desligar servidores com backdoors conhecidos. Os despejos de dados tornam-se inúteis e a extensão total do ataque nunca se materializa. 

Alcançar esse nível de monitoramento exige mais do que a aquisição de alguns feeds de inteligência de ameaças ou uma plataforma de autoatendimento. Requer analistas dedicados que saibam o que fazer com todos esses dados e como encontrar as ameaças que os cibercriminosos estão ocultando de propósito. Esses analistas podem interpretar as descobertas, adicionar contexto, priorizar riscos reais e orientar a organização para uma ação eficaz.