Insiders: hackers aplicam para processos seletivos e entram em empresas pela porta da frente

Em abril de 2024, a Crowdstrike respondeu ao primeiro de vários incidentes em que hackers atuaram como possíveis candidatos em processos seletivos para entrar em mais de 30 empresas sediadas nos Estados Unidos, incluindo organizações aeroespaciais, de defesa, varejo e tecnologia. Chamados de insiders, os criminosos alegaram ser residentes dos EUA e foram contratados no início de 2023 para diferentes cargos remotos de TI, de acordo com o relatório “Crowdstrike 2024 Threat Hunting Report“.

Em uma diferença de dias, a empresa de cibersegurança descobriu mais de 30 clientes afetados pelos insiders maliciosos. Esses hackers realizam tarefas mínimas realizadas à sua função e tentam roubar dados usando Git, SharePoint e OneDrive, além de instalar ferramentas como o RustDesk,AnyDesk, TinyPilot e Google Chrome Remote Desktop.

Os dados chamam atenção e, para entendê-los melhor, conversamos com Jeferson Propheta, vice-presidente da CrowdStrike para América do Sul, que disse que o tema é novo e, por isso, as empresas ainda não sabem como lidar.

Uma das companhias estadunidenses, ele diz, chegou a aprovar o hacker como um colaborador, que recebeu o computador corporativo e o plugou em uma “fazenda de laptops” – mas, quando fez a conexão, já havia uma investigação corrente.

Pergunto se já existem evidências de algo parecido acontecer no Brasil, e o especialista é firme ao afirmar que “[o que está acontecendo lá fora] não difere do que estamos vendo aqui”. Ele explica que o Brasil já vê, há algum tempo, o aliciamento (quando os grupos de ataque fazem uma oferta financeira para os funcionários venderem a sua credencial ou executar algum arquivo).

“Temos 22 empresas que estão sendo monitoradas no Brasil sob o sistema de detecção de insiders (seja pelos processos seletivos ou pelo aliciamento). Do nosso lado, paramos na parte de tecnologia. Informamos sobre um desvio ou uma arbitrariedade no computador ou credencial e essa investigação se estende do lado do cliente”, explica Propheta.

O executivo resume o atual momento dos hackers dizendo que o atacante quer passar despercebido. “É menos sobre o ataque de ransomware e mais sobre passar por baixo do radar, pois há novas formas de monetizar”, explica ele.

No Brasil, especificamente, os criminosos ganham destaque como corretores de acesso, ou seja, exploram vulnerabilidades e vendem o acesso em mercados clandestinos. Mas, mais do que apenas vender as credenciais, os brasileiros oferecem o acesso com “algo a mais”, ou seja, informações sobre a empresa que podem variar desde quanto ela tem em caixa, se fará IPO ou se aumentou as vendas.

“Essa tendência está sendo refinada com o possível aumento dos insiders. O criminoso já tem acesso aos dados da empresa que ele mesmo trabalha. Isso corrobora com o que vemos: muitos ataques usam credencial válida, o que confirma seu esforço para passar despercebido”, alerta Propheta.

A luta das companhias contra os insiders

Para se proteger, o executivo da Crowdstrike acredita que será necessário colocar biometria nos processos seletivos para se assegurar que a voz ou face não foi reconhecida em qualquer outro lugar. Também há alguns cuidados processuais que as empresas precisam ter.

Muitas empresas levantam uma suspeita, como o colaborador nunca ligar a câmera ou a referência do candidato nunca atender o telefone, mas acabam evoluindo com a sua contratação. Nos casos de desconfiança, as companhias podem dar um acesso menor a esses colaboradores, para que eles sejam mais monitorados do que o comum.

No futuro, Propheta concorda comigo de que poderemos ver mais insiders, também, em empresas estatais ou governamentais. Se, hoje, já vemos ataques usando tecnologias, como os drones com bomba, e parar para pensar o quanto o mundo está conectado… “o que é mais fácil? Soltar um míssil intercontinental para destruir as plantas de energia ou um ataque cibernético contra a infraestrutura e parar de todo jeito? Vamos ver isso acontecendo mais e mais”, finaliza.