Grupos APT e redes criminosas passaram a mirar especificamente empresas do setor de construção para obter credenciais de acesso remoto, segundo relato técnico recente.
Panorama e escopo
Pesquisadores citados pela reportagem da Cyber Security News e análises da Rapid7 descrevem um aumento nas operações direcionadas a empresas de construção — tanto por atores estatais (China, Rússia, Irã e Coreia do Norte) quanto por grupos criminosos organizados. O objetivo declarado é o roubo de credenciais para serviços de acesso remoto como RDP, SSH e Citrix, que funcionam como portas de entrada para dados de projetos, registros financeiros e arquivos proprietários, incluindo modelos BIM.
Vetor e modus operandi
As investigações apontam para vetores tradicionais: phishing, credenciais comprometidas e vulnerabilidades na cadeia de suprimentos. A pesquisa da Rapid7 também destaca que muitos atacantes agora preferem comprar acesso em marketplaces do dark web em vez de realizar comprometimentos iniciais de maior custo operacional.
- Tipos de acesso comercializados: VPN, RDP, SSH, Citrix, SMTP e FTP.
- Critérios de preço: tamanho da organização, complexidade da rede e localização geográfica.
- Verificação de validade: anúncios frequentemente trazem capturas de sessões ativas ou diagramas da rede para comprovar o acesso.
Por que o setor é atrativo
O setor de construção é particularmente vulnerável por sua rápida digitalização, dependência de fornecedores e uso difundido de ferramentas de gestão em nuvem, combinados com práticas de segurança fracas e sistemas legados, segundo a matéria. A natureza colaborativa dos projetos e o fluxo constante de documentos sensíveis ampliam as oportunidades de espionagem corporativa, exfiltração de dados e operações de extorsão (incluindo ransomware) com alto potencial de impacto operacional.
Impacto real e perigos correlatos
Ao obter credenciais de acesso remoto, atacantes podem movimentar-se lateralmente e extrair dados críticos: contratos, modelos BIM e informações pessoais de empregados e clientes. O relato alerta para a escalabilidade das operações quando credenciais já comprometidas são revendidas em mercados especializados, permitindo que operadores de ransomware e extorsão de dados ampliem rapidamente ataques contra alvos previamente acessíveis.
Mitigações indicadas pelas fontes
As fontes sublinham a necessidade de medidas integradas: fortalecimento de políticas de acesso remoto (autenticação multifator, limitação de exposição de RDP/Citrix à internet pública), revisões de arquitetura para reduzir confiança implícita entre fornecedores, treinamento contínuo de usuários contra phishing e monitoramento de credenciais em fóruns e mercados ilícitos. A reportagem menciona a identificação de acessos à venda como sinal de que a detecção externa (intelligence sobre dark web) deve compor programas de defesa.
Limitações das informações
As fontes não quantificam um número total de vítimas nem listam empresas específicas afetadas; o relato se apoia em observações de vendas de acessos e em análises de tráfego e anúncios nos mercados ilícitos. Também não há indicativo nas matérias consultadas de exploração massiva via uma vulnerabilidade zero-day comum ao setor — o foco é credenciais comprometidas e falhas processuais.
O que muda para equipes de segurança
Além das medidas técnicas, a reportagem reforça a importância de programas de segurança que considerem o ecossistema de terceiros e a visibilidade sobre credenciais vazadas fora da organização. A prática de compra de acessos em marketplaces reduz o atrito para atacantes e reforça a necessidade de detecção de comportamento anômalo após autenticações legítimas.
Fonte: Cyber Security News, com observações de pesquisas da Rapid7.