São Paulo — InkDesign News — Pesquisadores da Darktrace identificaram uma nova onda de ataques cibernéticos, onde criminosos utilizam servidores virtuais privados (VPS) de baixo custo para invadir contas de e-mail corporativo. A descoberta destaca vulnerabilidades que têm sido exploradas desde março de 2025.
Incidente e vulnerabilidade
Os atacantes empregam táticas conhecidas como “SaaS hijacking”, onde não se limitam a roubar senhas, mas assumem o controle de contas de e-mail enquanto usuários legítimos ainda estão logados. Esta abordagem permite que eles contornem ferramentas de segurança tradicionais, fazendo-se passar por usuários confiáveis. Os criminosos têm utilizado VPS, disponíveis por preços tão baixos quanto cinco dólares mensais, para mascarar seu tráfego malicioso em atividades normais de negócios.
Impacto e resposta
De acordo com a pesquisa da Darktrace, o aumento da atividade criminosa foi observado, incluindo logins suspeitos de locais distantes logo após um login legítimo. Em um caso, um software de acesso remoto chamado SplashtopStreamer.exe foi encontrado, indicando que os atacantes buscavam estabelecer uma presença permanente para roubo de dados. Além disso, os atacantes criaram regras ocultas que automaticamente excluíam e-mails relacionados a documentos financeiros, dificultando a identificação de suas ações.
Mitigações recomendadas
A Darktrace concluiu que organizações precisam modernizar suas estratégias de segurança, abandonando métodos que dependem de regras simples. É vital implementar sistemas que aprendam e detectem comportamentos incomuns, como logins a partir de localizações não familiares. Jason Soroko, um especialista da Sectigo, destacou que “os atacantes estão agora ‘alugando confiança’, utilizando provedores de VPS para obter endereços de rede que parecem legítimos.”
“O correio eletrônico torna-se o plano de controle”
(“The mailbox becomes the control plane”)
— Jason Soroko, Fellow Sênior, Sectigo
As recomendações incluem a implementação de autenticação multifator mais rigorosa, monitoramento contínuo de atividades de login e a capacitação de usuários para identificarem e reportarem atividades suspeitas.
É imperativo que as organizações continuem avaliando suas defesas para alinhar suas capacidades de resposta às técnicas em evolução dos atacantes, especialmente em um cenário tecnológico dinâmico.
Fonte: (Hack Read – Segurança Cibernética)
