Relatos de operações em fóruns do darknet e canais criptografados indicam que grupos criminosos estão recrutando funcionários de bancos, empresas de telecom e empresas de tecnologia para obter acesso a redes, dispositivos e dados sensíveis. Pesquisadores identificam pagamentos que variam entre US$3.000 e US$15.000, dependendo do tipo de acesso ou informação fornecida.
Como a oferta funciona
Os anúncios descrevem requisitos específicos — tipo de acesso necessário, organizações alvo e termos de pagamento — e geralmente utilizam criptomoedas para preservar anonimato. O material investigado aponta que a maioria das postagens aparece em fóruns de língua russa no darknet, mas grupos de ransomware também publicam oportunidades em canais do Telegram com centenas de membros.
Alvos e valores citados
- Bancos, empresas de telecomunicações e grandes empresas de tecnologia foram listadas como alvos; exchanges de criptomoedas (Coinbase, Binance, Kraken, Gemini) foram explicitamente mencionadas nas descrições.
- Payouts citados variam conforme sensibilidade e alcance do acesso: ofertas de US$3.000 a US$15.000 são comuns; cooperação em telecoms pode render entre US$10.000 e US$15.000 segundo pesquisadores da Check Point.
- Há menções a acordos de longo prazo, por exemplo pagamentos semanais de US$1.000 para insiders em órgãos fiscais russo, e a anúncios que solicitam acesso a sistemas de alto valor (um anúncio citado oferecia acesso a sistemas do Federal Reserve ou bancos parceiros).
- Exemplo de mercado: uma oferta que comercializava um dataset de 37 milhões de registros de usuários de exchanges por US$25.000, ilustrando a monetização direta de dados roubados.
Vetor e ações solicitadas
Os atacantes pedem ações que só um usuário interno conseguiria executar: desabilitar proteções endpoints, fornecer credenciais VPN, instalar ferramentas de acesso remoto ou exportar bases de dados contendo registros de clientes. No caso de telecom, cooperação pode viabilizar operações de SIM‑swapping, que permitem interceptar SMS e contornar autenticação por segundo fator.
Evidências e fontes
A notícia original cita investigação da Check Point que documentou anúncios e canais onde as ofertas aparecem, além de exemplos concretos de valores e de mensagens que usam apelos emocionais para recrutar funcionários (por exemplo promessas de ‘‘escapar do ciclo de trabalho infinito’’ e pagamentos de cinco a seis dígitos).
Riscos para defesa e detecção
A participação de insiders reduz a eficácia de controles perimetrais e de detecção baseados em telemetria externa, porque agentes internos podem alterar configurações de segurança, exfiltrar dados sem triggers óbvios ou criar persistência com credenciais válidas. As operações descritas destacam a necessidade de controles focados em identidade, separação de funções e monitoramento de ações privilegiadas.
Medidas operacionais recomendadas
- Reforçar controles de acesso privilegiado e revisar políticas de privilégio mínimo.
- Implementar detecção de atividades anômalas para contas com acesso sensível (ex.: exports massivos, alterações em soluções de proteção, uso atípico de VPNs).
- Auditar e restringir operações que podem viabilizar SIM‑swap ou alteração de assinaturas de telecom.
- Traçar políticas de resposta a possíveis ofertas internas: canais para denúncias anônimas e integração com equipes de RH para investigar riscos de comprometimento por motivo financeiro.
O relatório não fornece números agregados de incidentes confirmados no campo, nem identifica vítimas brasileiras específicas — os dados citados vêm de amostras de anúncios e relatórios de pesquisa. Fonte: Cyber Security News, com referência a pesquisadores da Check Point.