É preciso muito pouco para que o que parece um alerta de rotina se torne a ponta de um icebergue. Um aviso por força bruta contra um serviço de Escritor Remoto (RDP) exposto à Internet é normalmente um evento diário: o IP é bloqueado, as tentativas são revistas e encerradas. Mas quando uma equipe de resposta decide puxar o fio com curiosidade pesquisadora, muitas vezes aparecem conexões que desenham uma operação criminosa muito mais sofisticada.
No incidente que hoje relato, um início de sessão bem-sucedido após uma campanha de força bruta abriu a porta a um percurso forense que desvelou comportamentos pouco comuns: um ator buscando credenciais dentro de arquivos, uma infraestrutura distribuída por países e domínios que remeteriam a serviços tipo VPN com promessas de “sem logs”. Tudo isso se encaixava em um ecossistema de ransomware como serviço e na lógica de quem vendem acesso inicial a redes a terceiros.
A exposição do RDP continua sendo um dos vectores mais aproveitados. Embora muitas organizações não possam evitar oferecer acesso remoto por motivos operacionais, essa janela para o mundo exterior é um objetivo constante. Microsoft e especialistas em cibersegurança há anos lembrando os riscos de publicar serviços RDP sem proteções adequadas; é recomendável consultar guias oficiais para minimizar a superfície de ataque, como a documentação técnica da Microsoft sobre acesso remoto.
A pesquisa forense começou pelos registros do Windows: enquanto em muitos ambientes os logs se sobreponham com tentativas de autenticação e perdem valor, neste caso ainda havia traços úteis. Os analistas identificaram que, apesar de serem atacados múltiplas contas, apenas uma foi comprometida. O que chamou a atenção foi que essa conta foi utilizada desde vários endereços IP, mas com padrões temporários que indicavam um único ator controlando servidores distintos, não vários atacantes independentes.
Com acesso ao host, o atacante realizou uma enumeração do domínio e buscou credenciais. Aqui emergiu outra anomalia: em vez de recorrer imediatamente a técnicas automáticas de extração de credenciais, como o volcado de LSASS com ferramentas conhecidas, o intruso abriu arquivos de texto com nomes relacionados com senhas e os visualizou com o Bloc de notas. Os artefatos de salto rápido (jumplists) confirmaram a presença de buscas manuais dentro do sistema, um procedimento menos habitual, mas efetivo se existirem segredos guardados em arquivos.
Esse comportamento impulsionou uma segunda fase de pesquisa: seguir a faixa das IPs e os certificados TLS associados. Ao cruzar vestígios de certificados e dados públicos foram descobertos domínios e endereços que formavam uma rede com presença em múltiplos países, muitas vezes sob uma mesma convenção de nomes. Esse tipo de mapeamento é possível graças a pivotes em pegadas criptográficas e buscas em repositórios públicos como Maltrail, que catalogam infraestrutura maliciosa conhecida.
Desde esses pivotes emergiram domínios suspeitos e serviços que imitavam fornecedores legítimos de VPN – com pequenas diferenças na ortografia – e outros que explicitamente ofereciam políticas “sem registros” (no-logs), algo muito atrativo para atores que buscam anonimato. Um domínio relacionado à operação estava vinculado, além disso, a famílias de ransomware e a relatos de agências de cibersegurança. Em particular, organismos como a CISA Eles publicaram avisos que conectam endereços e campanhas com grupos de ransomware, o que ajuda a confirmar a seriedade do achado.
O conjunto de evidências — acesso inicial por RDP, buscas ativas de credenciais em arquivos, infraestrutura replicada geograficamente e serviços de VPN pouco escrupulosos — encaixa com o que é conhecido como uma cadeia de valor do cibercrime: inicial access corretos que vendem acessos, e operadores de ransomware que exploram esses acessos para cifrar redes. Para entender as técnicas e procedimentos usados pelos atacantes é útil remeter-se para marcos como MITRE ATT&CK, que descrevem táticas como a coleta de credenciais e a enumeração de domínios.
Para além da descrição do ataque, há duas lições operacionais claras. A primeira é que as equipes defensores ganham muito se não descartam alertas “comunes” e aplicam uma mentalidade inquisitiva: pequenos dados (um certificado, um IP, um arquivo aberto) podem se tornar rotas para mapear uma rede adversa completa. A segunda é que os atacantes nem sempre seguem o manual: por vezes adotam métodos pouco ortodoxos, como inspeccionar arquivos de texto, que contraintuitivamente resultam fructíferos e, portanto, devem ser considerados nos playbooks defensivos.
Em termos de mitigação, devem ser tomadas medidas concretas e sustentáveis. Evitar a exposição direta do RDP à Internet pública, a instalação de autenticação multifator para acessos remotos e a manutenção de registos de eventos com retenção suficiente são pilares básicos. Também é indispensável monitorar conexões incomuns e correlacionar com buscas de certificados e domínios associados a infraestruturas maliciosas; para quem gerencia a defesa, fontes como CISA StopRansomware Eles oferecem guias práticas e recursos atualizados.
Finalmente, o caso sublinha a importância de partilhar inteligência e manter a colaboração entre equipas de resposta, fornecedores de segurança e agências. Quando os pesquisadores puderam pivotar de uma IP para domínios e serviços que imitavam fornecedores de anonimato, essa visibilidade coletiva tornou possível situar o incidente dentro de uma economia criminosa maior, algo que não se alcança com um único registro isolado.
Se algo fica claro é que os mecanismos financeiros do cibercrime se apoiam em infra-estruturas e serviços que parecem anodinos: certificados TLS, domínios com small typosquatting, e ofertas de VPN “sem registros”. Entender como esses elementos são montados e ensinar as equipes a tirar de qualquer fio suspeito é, hoje, uma das melhores formas de dificultar a vida a quem comerciam com acessos e extorsionam organizações.
Para quem quiser aprofundar técnicas específicas e casos semelhantes, além das guias das agências governamentais, é útil consultar repositórios técnicos e análises forenses publicados por equipes especializadas e comunidades de resposta. Um ponto de partida prático para revisar listados de infraestrutura maliciosa é o projeto Maltrail, e para explorar exemplos de ferramentas de extração de credenciais, você pode ver o repositório de projetos como Mimikatz. Também existe documentação e exemplos que pesquisadores independentes coletaram em gists públicos que mostram como pivotes de certificados e domínios revelam redes inteiras.
Em resumo, não subestime um alerta de força bruta: com a metodologia adequada e algo de paciência pesquisadora, pode se transformar na chave para descobrir uma rede de apoio a operações de alto impacto. E para aqueles que defendem sistemas, a recomendação não muda: prioridade à redução da exposição, à detecção proativa e à colaboração entre equipamentos.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...