Um homem jordano declarou-se culpado nos Estados Unidos por operar como o que a indústria chama de “acess correto”: um intermediário que vende o acesso inicial a redes corporativas e, com isso, facilita ataques muito mais prejudiciais. Segundo os documentos judiciais, este indivíduo — identificado como Feras Khalil Ahmad Albashiti, de 40 anos, e conhecido em fóruns sob alias como "r1z" — admitiu ter comercializado credenciais e acesso às infra-estruturas de pelo menos 50 empresas. O caso chegou aos Estados Unidos após as autoridades conseguirem sua extradição desde a Geórgia em julho de 2024, e a sentença está programada para 11 de maio de 2026.
A figura do access correto não é um mero intermediário passivo: é uma peça chave do ecossistema criminoso digital. Esses atores encontram ou compram credenciais, acesso VPN ou pontos de entrada e vendem-se a operadores de ransomware, espiões informáticos ou grupos que buscam roubar dados. Ao facilitar a entrada, reduzem a barreira técnica para quem executa o dano final e, muitas vezes, multiplicam o impacto de uma única falha ou filtração.
No caso de Albashiti, segundo o Ministério Público, a transação probatória ocorreu em 19 de maio de 2023, quando vendeu acesso a um agente encoberto que se fazia passar por um comprador de credenciais, recebendo como pagamento criptomoeda. As acusações que aceitou implicam fraude relacionada com credenciais de acesso e acarretam penas que podem chegar a 10 anos de prisão e multas que atingem os 250 mil dólares ou o dobro dos lucros ou perdas atribuídos ao crime, o que ilustra como o sistema de justiça dos EUA está equipando ferramentas legais para punir esses negócios ilícitos.
Que um processado tenha sido preso e extraditado não significa que o problema tenha sido resolvido. Ao contrário, a notícia se encaixa numa tendência mais ampla: nos últimos anos, multiplicaram-se as prisões e as investigações dirigidas a desmantelar redes de intermediários de acesso. Em novembro passado, por exemplo, outro nacional – nesse caso russo – declarou-se culpado por agir como acesso correto para afiliados do ransomware Yanluowang que atacaram empresas nos Estados Unidos. Esses movimentos chamaram a atenção de agências e empresas de segurança porque os corretores permitem que grupos criminosos aumentem suas operações de forma eficiente.
As agências e as grandes empresas tecnológicas também avisaram sobre táticas cada vez mais sofisticadas. A Microsoft, por exemplo, tem alertado para atores que exploram utilitários legítimos do Windows e técnicas para evitar soluções de detecção e resposta administradas por endpoints (EDR), com o objetivo de instalar e manter malware sem serem detectados, algo que aumenta o risco de um acesso inicial se transformar em um ataque devastador. Para ler análises e avisos técnicos sobre essas táticas, publicações e blogs de segurança de provedores e autoridades são recursos chave: a página de segurança da Microsoft oferece relatórios e guias sobre ameaças emergentes em sua seção de análise ( Microsoft Security Blog), e nos Estados Unidos a Agência de Segurança de Infra-estruturas e Cibersegurança (CISA) mantém recursos e advertências sobre ransomware e vetores de entrada ( CISA — Ransomware Guidance).
O fenómeno levanta questões de política pública e de segurança empresarial. Do ponto de vista legal, perseguir aqueles que vendem acesso é útil e necessário, mas por si só não reduz a oferta nem a procura: enquanto existam credenciais fracas, serviços mal configurados ou contas expostas, haverá mercado. Desde a ótica defensiva, as organizações precisam tomar medidas que reduzam a superfície de ataque e detectem padrões anormais antes de um intruso poder mover-se lateralmente.
Não se trata apenas de tecnologia, mas de processos e cultura: autenticação multifator, segmentação da rede, gestão rigorosa de privilégios e monitoramento constante são peças imprescindíveis. Também importa o contexto operacional: os corretores estudam objetivos para vender acessos que resultem valiosos, então a visibilidade sobre quais contas têm acesso a sistemas críticos e a capacidade de responder rapidamente a credenciais comprometidas são determinantes. Relatórios técnicos e análises de ameaças elaboradas por organizações europeias e centros de investigação oferecem contextos mais amplos sobre como esta actividade evolui e quais práticas ajudam a mitigar; por exemplo, a Agência da União Europeia para a Cibersegurança publica avaliações e guias que ajudam a compreender as tácticas e o risco ( ENISA).
Se houver uma lição clara na sucessão de casos públicos e alertas: atacar a economia do cibercrime requer agir em múltiplas frentes. As detenções e extradições afetam a oferta e servem como dissuasão, mas a demanda continua existindo enquanto os operadores de ransomware e outros ciberdelinquentes obtêm benefícios. Por isso, além de reforçar controlos técnicos, é crucial que empresas e governos melhorem o intercâmbio de informações sobre intrusões e acessos vendidos, e que trabalhem com fornecedores de inteligência e resposta para interromper cadeias de ataque nas primeiras fases.
A história do access correto que se declarou culpado mostra a face comercial da ameaça: atrás de cada credencial comprometida pode haver um vendedor que a oferece ao melhor postor, e atrás de cada venda, um risco real para funcionários, clientes e a continuidade de negócios. A defesa eficaz passa por entender esse mercado ilícito, reduzir a exposição e articular respostas rápidas e coordenadas entre o sector público e privado. Para aqueles que querem aprofundar por que estas figuras são tão perigosas e como as empresas podem se proteger, as páginas de agências como o Departamento de Justiça e publicações especializadas em segurança são um bom ponto de partida ( Department of Justice — Press Releases).
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...