Stealer Logs: Uma análise aprofundada de mais de meio bilhão de credenciais roubadas
Constatações importantes
- Analisamos mais de 590 milhões de credenciais provenientes de mais de 20 milhões de computadores únicos infectados em todo o mundo.
- O Brasil é um dos países mais afetados por Info Stealers globalmente
- O Brasil foi o país mais afetado por stealers em 2022 e 2023, e ocupa a segunda posição em 2024, ficando ligeiramente atrás da Índia em número bruto de infecções.
- A família de stealers “Lumma” tornou-se extremamente popular nos últimos meses, atingindo um número recorde de infecções em setembro de 2024.
- O vazamento de credenciais por Info Stealers tende a continuar crescendo, assim como tem ocorrido nos últimos três anos. Esse aumento contínuo reflete o avanço e a criticidade dessas ameaças.
Introdução
Com um crescimento impressionante e descontrolado, os malwares conhecidos como Info Stealers têm fornecido ao mundo do cibercrime uma poderosa ferramenta: um usuário, uma senha e seus cookies. Muitas vezes, essas informações são suficientes para causar prejuízos milionários a uma empresa, através de fraudes facilitadas por credenciais roubadas.
Os Info Stealers são softwares maliciosos projetados principalmente para roubar todas as credenciais armazenadas no navegador da vítima, sejam elas de acesso a serviços de streaming, redes sociais, bancos ou plataformas corporativas. Todas essas informações são furtadas e enviadas a servidores controlados por criminosos, que compilam e revendem as credenciais para terceiros interessados.
Além das credenciais, várias outras informações também são roubadas, como as especificações completas do computador, cookies, histórico de navegação, arquivos e documentos, sessões de aplicativos como Steam e Spotify, carteiras de criptomoedas, entre outros.
Neste artigo, analisaremos os dados roubados de mais de 20 milhões de computadores infectados por malwares Info Stealers ao redor do mundo. Exploraremos diversos aspectos interessantes revelados por essa análise, incluindo o surgimento e desaparecimento de diferentes famílias de stealers, tendências e padrões geográficos, eventos relevantes, além de teorias que explicam determinados comportamentos.
Esta é a apresentação de um trabalho realizado ao longo de anos de coleta, processamento e análise desses dados. Todas as estatísticas apresentadas foram cuidadosamente revisadas para garantir informações confiáveis e o mais próximas possível da realidade.
E, certamente, diante da impossibilidade de coletar todos os dados relacionados às infecções por Stealers, todas as estatísticas apresentadas são baseadas exclusivamente nos dados coletados e processados pela equipe do QuimeraX. Assim, elas representam aproximações do cenário global, oferecendo uma visão significativa, embora não 100% precisa do problema.
Atualmente, o trabalho que viabilizou esta pesquisa está diretamente integrado à solução QuimeraX, por meio da qual detectamos, analisamos e reportamos ameaças relevantes, como as relacionadas aos stealers. No final deste artigo, abordaremos mais detalhadamente o papel do QuimeraX no combate a vazamentos causados por Info Stealers.
O objetivo deste artigo não é analisar tecnicamente as capacidades e métodos utilizados por esses malwares, mas sim examinar os dados que eles coletam. Com isso, iremos explorar uma perspectiva diferente sobre esse problema contemporâneo e obter novos insights sobre o que pode ser considerado uma das maiores ameaças à segurança atualmente.
O número de credenciais expostas tem aumentado consideravelmente
Nossa análise será baseada nos 25113 arquivos processados até o dia 15 de outubro de 2024, totalizando pouco mais de 31 terabytes de dados. Esses arquivos, conhecidos como “Stealer Logs”, são, em sua maioria, diretórios compactados; cada diretório contém os dados roubados de um único computador, como senhas de navegadores, cookies, especificações, entre outros.
Um dos maiores desafios desta pesquisa foi manter a consistência e a confiabilidade dos dados analisados. Os mais de 31 terabytes de dados coletados não seguem um formato único. Cada família de stealer disponibiliza os dados roubados de maneiras distintas, o que torna sua análise bastante complexa. No entanto, conseguimos alcançar um alto nível de confiabilidade nas informações que serão apresentadas.
Até a data desta análise, o número de IPs únicos dos computadores infectados em nosso dataset é de 9.326.964. Embora o número de IP seja uma métrica consistente para estimar a quantidade total de computadores infectados, entre outras estatísticas, é importante ressaltar que nem todas as famílias de stealers coletam esse dado. Além disso, redes com IPs dinâmicos e CGNAT podem não ser contabilizadas de forma precisa.
Ao considerar outras informações, como nome de usuário, Hardware ID e hostname, conseguimos estimar que aproximadamente 20 milhões de computadores únicos foram infectados de 2019 até a data da análise (15/10/2024). Esse número está em consonância com estimativas de outras fontes, que indicam resultados semelhantes.
Entretanto, para garantir métricas concisas, utilizaremos apenas os IPs únicos como base para todas as demais estatísticas relacionadas aos computadores infectados ao longo desta pesquisa.
O gráfico abaixo mostra a contagem de computadores infectados de 2019 até o momento, dividido por ano.
Em 2022, pelo menos 3.765.955 computadores foram infectados, sendo este o ano recorde até o momento, de acordo com a contagem única de IPs. Observamos que, em 2023, esse número caiu para 2.620.161. No entanto, se considerarmos o número de credenciais únicas vazadas nesse mesmo ano, veremos que, na realidade, o número é superior ao de 2022.
As barras em azul representam a contagem total de credenciais expostas no respectivo ano, enquanto as barras em verde indicam a variação em relação ao ano anterior. A linha vermelha corresponde à soma acumulada de todos os anos.
Em 2023, houve o roubo de 32 milhões de credenciais únicas a mais em comparação ao ano anterior, representando um aumento de pouco mais de 20%.
Até o momento, o número de credenciais vazadas em 2024 ainda não superou o total de 2023; no entanto, com mais de dois meses restantes para o fim do ano, tudo indica que a contagem deste ano ultrapassará a do ano anterior.
Comparando os períodos equivalentes de 2023 e 2024, observa-se um aumento significativo no número de credenciais vazadas.
- 1º de janeiro de 2023 a 15 de outubro de 2023: 130.597.500
- 1º de janeiro de 2024 a 15 de outubro de 2024: 179.270.745
Aumento de 37,26%.
Em 2023, os últimos três meses foram responsáveis por 37,6% do total de credenciais vazadas ao longo do ano.
É importante ressaltar que é por meio dessas credenciais que os criminosos conseguem acessos irrestritos a diversos sistemas, sejam eles governamentais, empresariais ou bancários.
O Brasil é um dos países mais afetados por Stealers em todo o mundo
De 2019 até a data limite da pesquisa, o Brasil se destaca como o país mais afetado pelos Stealers em contagem de IPs únicos, com 693486 infecções, ficando à frente até mesmo da Índia, com 658594 infecções até o momento.
Abaixo está uma tabela com a contagem de infecções dos 10 países mais afetados.
País | Contagem de infecções (IPs únicos) |
Brasil | 693486 |
Índia | 658594 |
Egito | 409322 |
Indonésia | 402086 |
Estados Unidos | 312514 |
Turquia | 308137 |
Vietnã | 284503 |
Tailândia | 250022 |
Paquistão | 245653 |
México | 237590 |
Ao traçarmos um gráfico de dispersão comparando o Índice de Desenvolvimento Humano (IDH) e o número de infecções por 1000 habitantes, observa-se uma possível correlação entre esses dois conjuntos de dados.
De acordo com o gráfico, o número de infecções por mil habitantes apresenta uma relação linear positiva com o IDH até aproximadamente o valor de 0,86. A partir desse ponto, observa-se uma leve relação linear negativa, que se estende até os países com os maiores índices de desenvolvimento humano.
Um dos possíveis motivos para essa tendência é que países mais desenvolvidos possuem maior acesso à tecnologia, como computadores. Consequentemente, quanto maior o acesso a dispositivos tecnológicos, maior a exposição aos stealers e outras ameaças digitais.
Em termos absolutos, o Brasil ocupa a 49ª posição na lista dos países mais afetados por infecções de Stealer a cada 1000 habitantes. Quando se considera apenas países com mais de 1 milhão de habitantes, o Brasil sobe para a 37ª posição.
Embora o Brasil não esteja entre os primeiros em infecções por mil habitantes, ele se destaca em números absolutos, refletindo tanto seu tamanho populacional quanto fatores como acesso digital e adoção da pirataria, que é um vetor comum para a instalação de malwares.
Para ilustrar de forma mais visual e completa a distribuição geográfica das infecções, apresentamos um mapa de calor, no qual os países mais afetados estão destacados em vermelho.
Conforme ilustrado no mapa, as áreas mais intensamente afetadas incluem o Brasil, Índia, Estados Unidos e partes da América Latina e Ásia. O Brasil é claramente um dos epicentros globais dessa ameaça. Já a Índia, também aparece como uma região de alta concentração de ataques, refletindo o padrão observado em países com grandes populações e em acelerado processo de digitalização.
Se considerarmos o número de infecções por ano em cada país, vemos que o Brasil está entre os 3 mais afetados durante todo o período considerado, ficando em primeiro lugar em 2022 e 2023.
No corrente ano, no entanto, o Brasil está atualmente em segundo lugar em contagem direta.
Alguns stealers prevalecem, enquanto outros morrem
Até o momento, a família de stealers que mais afetou computadores é o “Redline“, responsável pela infecção de mais de 5 milhões de máquinas, ocupando o primeiro lugar com 43% do total de infecções. Em seguida, destacam-se “Risepro“, “Metastealer” e “Stealc“, com participações de 11,25%, 10,96% e 10,33%, respectivamente.
Observa-se que a soma total do número de infecções por família de stealer difere da contagem de infecções por IPs únicos apresentada anteriormente. Isso ocorre porque o mesmo IP pode ter sido infectado por mais de uma família de Stealers, resultando em uma contagem acumulada. Além disso, a presença de IPs dinâmicos e o uso de CGNAT, conforme descrito anteriormente, também contribuem para essa diferença na contagem.
Agora, analisemos o mesmo gráfico limitado ao ano de 2024, para uma visão mais detalhada das infecções por stealer ocorridas até o momento neste ano.
Com 26,24%, a família de stealer “StealC” ocupa o primeiro lugar em número de infecções em 2024, seguida por “Redline“, com 20,29%. Observa-se que algumas famílias de stealer perderam relevância, enquanto outras se destacaram ao longo do corrente ano, em comparação com o período total analisado.
Ao comparar a porcentagem de infecções por família de stealer em cada ano, o gráfico a seguir ilustra essas variações.
A família de stealers “Raccoon” representa 0,03% do total de infecções neste ano, em contraste com os cerca de 12% registrados em 2022.
De forma semelhante, observamos algumas famílias ganhando força, como é o caso do ”Lumma”, que corresponde a 18,4% do total de infecções neste ano, enquanto em 2023, representava apenas 0,34%.
Adicionalmente, desde 2021, percebemos que o “Redline” vem perdendo espaço para outras famílias a partir de 2022.
No gráfico seguinte, temos uma visão da linha do tempo das infecções dos 8 stealers mais presentes entre 2021 e 2024.
Vamos analisar alguns pontos-chave do gráfico acima:
Entre outubro de 2021 a outubro de 2022, o “Redline” se destacou como o Stealer mais prevalente, com uma média de pouco mais de 226 mil infecções por mês. No entanto, essa média caiu para 118 mil infecções por mês no ano seguinte.
Após o primeiro semestre de 2023, o “Raccoon” stealer praticamente deixou de existir, com pouco mais de 35 mil infecções registradas após essa data.
Risepro e Metastealer seguiram trajetórias opostas em momentos semelhantes. De abril de 2022 a janeiro de 2023, ambos os Stealers apresentaram prevalências semelhantes. No entanto, de fevereiro a outubro do ano seguinte, “Metastealer” superou “Risepro” de forma significativa, alcançando uma média de 57 mil infecções por mês contra 4400 do Risepro.
StealC lidera o número de infecções em 2024 enquanto lumma bate recorde de infecções em setembro
O mês de setembro, nos últimos três anos, destacou-se em relação aos meses adjacentes no que diz respeito ao número de credenciais vazadas, por motivos ainda não totalmente esclarecidos. O gráfico abaixo, que ilustra o número de credenciais vazadas por mês durante esse período, evidencia esse fenômeno.
Neste ano, em setembro, houve um vazamento de 2.176.797 credenciais a mais em comparação ao mês anterior. Em 2023, esse número foi ainda mais significativo, com um aumento de 7.402.256 credenciais vazadas.
Além disso, setembro de 2024 registrou um número recorde de infecções pelo stealer “Lumma”, sendo a maior quantidade de computadores infectados por um stealer em um único mês até o momento, como pode ser visto no seguinte gráfico.
Também é importante destacar o recente pico de infecções causadas pelo stealer “Vidar” na última semana. Durante todo o ano, essa família de stealers manteve um número consistentemente baixo de infecções, mas agora atingiu um novo recorde em sua atividade.
Essas informações são cruciais para compreender as tendências emergentes e os riscos atuais relacionados à segurança digital.
Conclusão
Diante de tudo o que foi apresentado, podemos concluir que os stealers vieram para ficar e estão se tornando um problema cada vez mais crítico. Observamos que tanto o número de credenciais vazadas ao longo dos meses quanto o número de variantes desse tipo de malware têm aumentado continuamente.
O objetivo desta pesquisa foi trazer à tona estatísticas que raramente são apresentadas ao público, com o intuito de iluminar um problema que, talvez, muitos ainda desconhecem.
Muitos dos grandes incidentes de segurança da atualidade vêm sendo causados por Info Stealers. Talvez um dos exemplos mais críticos da atualidade foi o vazamento de dados do TicketMaster, em que o atacante utilizou uma credencial exposta por stealers para obter acesso ao banco de dados que continha informações de seus clientes. A credencial em questão pertencia a um serviço terceirizado de gerenciamento de banco de dados chamado Snowflake. Ao revisar brevemente este caso, constatamos que um colaborador da Snowflake com acesso ao sistema foi vítima de um stealer em 19/09/2023. Sete meses após esse incidente, o grupo APT conhecido como “Shiny Hunters” anunciou publicamente a venda dos dados de 560 milhões de clientes da TicketMaster.
Certamente, alguns detalhes ficaram de fora desta pesquisa devido à impossibilidade de analisar todas as informações de forma exaustiva em um único texto, sem torná-lo excessivamente extenso e cansativo. No entanto, diversos pontos-chave, características e peculiaridades serão explorados em pesquisas futuras.
Existem inúmeras formas de se prevenir contra Info Stealers. A educação em segurança e a adoção de medidas preventivas são fundamentais, mas implementar mecanismos de monitoramento é uma prática essencial para se manter informado sobre possíveis incidentes causados por Info Stealers.
O QuimeraX é uma solução de ASM (Attack Surface Management) e Threat Intelligence que oferece esse tipo de monitoramento, além de muitas outras funcionalidades. Todos os dados apresentados nesta pesquisa são usados para monitorar, prever e mitigar ameaças reais.
Para saber mais sobre o QuimeraX, acesse hakaisecurity.io/quimera-team/ e agende uma conversa conosco.
Fontes
IDH Dataset
https://hdr.undp.org/data-center/human-development-index#/indicies/HDI