Mais de 500 mil credenciais de sistemas internos de 25 desenvolvedores de jogos vazaram e foram encontrados sendo vendidos em fóruns russos no ano passado, informam os pesquisadores de segurança da informação israelense, Kela.
Kela investigou as 25 maiores empresas de capital aberto do setor, ordenadas por receita com base no último semestre de 2019. Com o estudo, ele encontrou quase um milhão de contas de clientes e funcionários comprometidas, com mais da metade delas sendo vendidas na darkweb.
As empresas foram encomendadas por Newzoo, um consultor de dados de mercado no mundo dos jogos. Tencent; Sony; Maçã; Microsoft; Nintendo; Google; Nevasca; Electronic Arts (EA); Bandai Namco; Warner Bros; Ubisoft; Square Enix; Nexon; NCSoft; Konami; Mundo perfeito; Sega e Zynga estão entre as 25 empresas listadas.
Oferta de contas no fórum russo. Foto: Kela.
Os pesquisadores da Kela identificaram contas de funcionários e credenciais internas de painéis administrativos, VPNs, ferramentas de gerenciamento de trabalho como Slack, Trello e Jira, protocolo de transferência de arquivos (FTP), contas de autenticação única (SSO), ambientes de desenvolvimento de jogos e outros, sendo vendidos a preços baixos.
“Detectamos contas comprometidas de recursos internos de quase todas as empresas em questão. Esses recursos devem ser usados por funcionários, por exemplo – painéis de administração, VPNs, instâncias Jira, FTPs, SSOs, ambientes relacionados ao desenvolvimento e a lista continua indefinidamente. Como se vê nos exemplos abaixo, com o pagamento de apenas alguns dólares, um atacante potencial pode ter acesso às áreas centrais da rede de uma empresa ”, escrevem os pesquisadores.
Anúncios de credencial interno. Foto: Kela.
Os pesquisadores também identificaram pelo menos quatro infecções recentes de ransomware entre as 25 maiores empresas do setor. “Nos últimos três meses, vimos quatro incidentes de ransomware afetando empresas de jogos – três dos quais foram relatados publicamente”, disseram.
“Também detectamos um computador infectado (bot) que tinha registros de credenciais para muitas contas confidenciais que podiam ser acessadas por invasores durante a compra: SSO, Kibana, Jira, adminconnect, service-now, Slack, VPN, gerenciador de senha e poweradmin da empresa – tudo em um único bot – o que sugere fortemente que seja usado por um funcionário da empresa com direitos de administrador. Este robô altamente valioso estava disponível para venda por menos de US $10”, escreveram eles.
Os riscos
De acordo com os pesquisadores, credenciais vazadas representam o primeiro passo em um ataque mais elaborado. “Credenciais vazadas podem ser facilmente” traduzidas “em um ataque mais significativo.” Com as credenciais em mãos, um cibercriminoso pode usar engenharia social e golpes de phishing personalizados para autenticar essas contas, se necessário.
“O objetivo é, obviamente, obter as credenciais relevantes para obter acesso aos serviços de interesse, encontrar um ponto de entrada para uma rede de destino, depois dimensionar os privilégios e mover-se lateralmente. Uma vez obtido o acesso a um serviço de interesse – o ator continuará a se mover lateralmente para eventualmente implantar o ransomware [por exemplo] ”, escrevem eles.
“No entanto, a implantação do Ransomware é apenas um dos muitos ciberataques diferentes que esses cibercriminosos podem tentar. Esse acesso também pode permitir que iniciem outros crimes, como espionagem corporativa, fraude e outros métodos que podem fazer com que as vítimas incorram em graves perdas financeiras ”, concluem.