Panorama e atividade
A entidade autodenominada ByteToBreach mantém uma operação cross‑platform desde pelo menos junho de 2025, promovendo vazamentos e vendas de dados em fóruns, Telegram, Dread e por meio de um site WordPress público. A análise foi conduzida e publicada pela equipe da KELA.
Alvo e alcance geográfico
O ator reivindica e demonstrou material oriundo de organizações em vários países, incluindo Ucrânia, Cazaquistão, Chipre, Polônia, Chile, Uzbequistão e Estados Unidos. Os datasets anunciados incluem manifests de passageiros, registros de funcionários bancários, bases de saúde e documentos relacionados a governos. KELA relata que algumas das reivindicações puderam ser corroboradas por artefatos técnicos verificáveis.
Métodos e infraestrutura
Segundo o relatório, ByteToBreach emprega uma combinação de técnicas: exploração de vulnerabilidades conhecidas em infraestrutura de nuvem e corporativa, reutilização de credenciais obtidas por infostealers e campanhas de phishing, força bruta e exploração de falhas de configuração. Após acesso, o foco é a exfiltração de dados — bancos de dados, backups, documentos e registros de funcionários.
Traços de OSINT e presença pública
Em agosto de 2025, o ator lançou um site sob o nome “Pentesting Ltd” em WordPress, com aparência de provedor legítimo e logos das empresas que afirma ter comprometido. Banners no site exibiam frases provocativas como “Let Me Harm Your Data” e “Industry‑leading Threat Actor”. A comunicação do operador inclui endereços de e‑mail em ProtonMail, Tuta e Gmail; canais de mensageria incluem Telegram (username @ByteToBreach), Signal e Session.
Conexões técnicas
A investigação da KELA também encontrou evidências ligando o ator a máquinas infectadas por infostealers: uma máquina com Raccoon em setembro de 2022 e outra com StealC em fevereiro de 2024. Dados de bots e artefatos reunidos permitiram associar usernames e um número de telefone à conta de Telegram do operador.
Impacto e modulação do risco
O caso ilustra a prática crescente de atores que combinam capacidades técnicas (exfiltração e evasão) com estratégias de marketing para monetizar dados roubados. A venda direta em múltiplas plataformas amplia o alcance dos arquivos, tornando mais provável que conjuntos sejam reutilizados em fraude, chantagem ou ataques subsequentes.
Recomendações para defensores
- Monitorar serviços expostos e aplicar patches para vulnerabilidades conhecidas em infraestrutura cloud e aplicações;
- Detectar e responder a sinais de comprometimento indicados por credenciais reutilizadas, atividade de infostealers e tráfego de exfiltração;
- Reforçar políticas de rotação de credenciais e segmentação de backups;
- Considerar busca ativa/OSINT para identificar menções públicas a dados da organização em fóruns e plataformas underground.
Limites das informações
As reportagens e o relatório da KELA apresentam evidências e artefatos que corroboram parte das reivindicações do ator, mas não fornecem um inventário público completo de vítimas ou um total de registros divulgados. A amplitude real do impacto depende de validações adicionais por cada organização potencialmente afetada.
Fonte: KELA (análise e relatório sobre ByteToBreach).