Corretores de Acesso Inicial Agora Miram Vítimas de Alto Valor e Cobram Taxas Premium

Resumo

A análise da Rapid7 sobre as listagens do H2 2025 em cinco fóruns de crimes cibernéticos sugere que os Corretores de Acesso Inicial estão se voltando para empresas maiores e cobrando mais por acessos de maior privilégio. O acesso privilegiado a VPNs e RDWeb em ambientes regulamentados é anunciado pelos preços mais altos. Os anúncios ainda enfatizam RDP, VPN e RDWeb, mas promovem cada vez mais credenciais elevadas até Administrador de Domínio. Novos mercados como DarkForums e RAMP agora impulsionam grande parte da atividade, juntamente com vendas de um exploit para CVE-2025-61882 no Oracle E-Business Suite.

Investigação

O relatório analisou seis meses de postagens no Exploit, XSS, DarkForums, BreachForums e RAMP, rastreando tipo de acesso, nível de privilégio, setor e geografia. As descobertas incluem preços em ascensão, foco em alvos de governo, varejo e TI, e referências a um exploit de dia zero ligado à atividade Cl0p.

Mitigação

Implemente o princípio de menor privilégio, exija MFA para acesso remoto e alerte sobre logins anormais e mudanças de privilégio. Remova a exposição à Internet para RDP/VPN/RDWeb onde for viável e invalide rapidamente as credenciais roubadas.

Resposta

Se o acesso suspeito for detectado, isole a conta, altere as credenciais, confirme o MFA e procure movimento lateral. Compartilhe IOCs através de inteligência de ameaça e monitore fóruns para listagens relacionadas.

Execução de Simulação

Pré-requisito: O Check pré-voo de Telemetria & Base tem que ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

• Narrativa & Comandos de Ataque:
  O adversário identificou que o Oracle E‑Business Suite no servidor web alvo é vulnerável a CVE‑2025‑61882. Para explorá-lo, eles criam uma solicitação HTTP GET direcionando um endpoint vulnerável, inserindo a string literal “CVE-2025-61882” no URI. Como a regra Sigma olha para esta string exata, a solicitação gerará uma entrada de log correspondente, causando um alerta. O atacante usa curl para evitar qualquer ferramenta do lado do cliente que possa ser sinalizada.

• Script de Teste de Regressão:

  #!/usr/bin/env bash
  #
  # Simula tentativa de exploração CVE-2025-61882 em um servidor Apache local.
  # Gera a telemetria exata necessária para a regra Sigma.
  
  set -euo pipefail
  
  TARGET="http://localhost"
  VULN_PATH="/OA_HTML/CVE-2025-61882/exploit"
  
  echo "[*] Enviando solicitação de exploração para ${TARGET}${VULN_PATH}"
  curl -s -o /dev/null "${TARGET}${VULN_PATH}"
  
  echo "[+] Solicitação enviada. Verifique o Splunk para o alerta."

• Comandos de Limpeza:

  # Nenhuma alteração persistente foi feita no sistema alvo.
  # Opcionalmente, limpe a entrada de teste do log do Apache para manter a linha de base limpa.
  
  sudo truncate -s 0 /var/log/apache2/access.log
  echo "[+] Log de acesso do Apache limpo."