{"id":23615,"date":"2025-12-06T08:00:00","date_gmt":"2025-12-06T11:00:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=23615"},"modified":"2025-12-02T21:25:56","modified_gmt":"2025-12-03T00:25:56","slug":"ameaca-interna-quando-o-inimigo-esta-dentro-da-casa","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/12\/exploits\/ameaca-interna-quando-o-inimigo-esta-dentro-da-casa\/","title":{"rendered":"Amea\u00e7a interna, quando o inimigo est\u00e1 dentro da casa"},"content":{"rendered":"\n<p style=\"text-align: justify;\" data-start=\"0\" data-end=\"70\"><strong>CrowdStrike e a amea\u00e7a interna: quando o inimigo est\u00e1 dentro da casa<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"72\" data-end=\"581\">Nos \u00faltimos dias, a comunidade de seguran\u00e7a foi sacudida por uma confirma\u00e7\u00e3o s\u00e9ria: a CrowdStrike \u2014 uma das maiores empresas de ciberseguran\u00e7a do mundo \u2014 identificou e demitiu um funcion\u00e1rio que compartilhava <strong data-start=\"281\" data-end=\"319\">screenshots e informa\u00e7\u00f5es internas<\/strong> com um grupo de cibercriminosos. Segundo relat\u00f3rios, o colaborador teria recebido pagamento por esse material, que acabou vazando publicamente em canais do Telegram, e a empresa encaminhou o caso \u00e0s autoridades competentes.<\/p>\n<p style=\"text-align: justify;\" data-start=\"583\" data-end=\"922\">Este epis\u00f3dio n\u00e3o \u00e9 apenas um esc\u00e2ndalo corporativo: \u00e9 um aviso pr\u00e1tico sobre o n\u00edvel de risco que <strong data-start=\"682\" data-end=\"694\">insiders<\/strong> representam. A seguir, uma an\u00e1lise t\u00e9cnica e operacional dirigida a leitores de um blog de seguran\u00e7a \u2014 o que aconteceu, por que \u00e9 grave, quais foram os impactos observados e o que equipes de defesa precisam fazer imediatamente.<\/p>\n<p data-start=\"583\" data-end=\"922\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"929\" data-end=\"974\"><strong>O que aconteceu (resumo factual e t\u00e9cnico)<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"976\" data-end=\"1065\">De acordo com as investiga\u00e7\u00f5es p\u00fablicas e comunicados, a sequ\u00eancia foi, em linhas gerais:<\/p>\n<ul style=\"text-align: justify;\" data-start=\"1066\" data-end=\"1948\">\n<li data-start=\"1066\" data-end=\"1320\">\n<p data-start=\"1068\" data-end=\"1320\">Um empregado da CrowdStrike compartilhou imagens de telas internas (dashboards, pain\u00e9is de SSO\/Okta e links para recursos internos) com membros de um coletivo criminosa conhecido como <em data-start=\"1252\" data-end=\"1279\">Scattered Lapsus$ Hunters<\/em>.\u00a0<\/p>\n<\/li>\n<li data-start=\"1321\" data-end=\"1720\">\n<p data-start=\"1323\" data-end=\"1720\">O grupo divulgou essas imagens em canais p\u00fablicos no Telegram, alegando ter \u201cacesso\u201d \u00e0 infraestrutura da empresa; a CrowdStrike afirmou que os hackers fizeram afirma\u00e7\u00f5es falsas sobre um comprometimento generalizado e que seus sistemas <strong data-start=\"1558\" data-end=\"1565\">n\u00e3o<\/strong> foram invadidos por terceiros. A empresa destacou ainda que identificou, isolou e demitiu o funcion\u00e1rio envolvido.\u00a0<\/p>\n<\/li>\n<li data-start=\"1721\" data-end=\"1948\">\n<p data-start=\"1723\" data-end=\"1948\">Relatos indicam que o pagamento combinado ficou em torno de US$ 25.000, o que evidencia que atacantes profissionais est\u00e3o dispostos a comprar acesso interno quando isso acelera opera\u00e7\u00f5es.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"1955\" data-end=\"2001\"><strong>Por que isso \u00e9 t\u00e3o grave \u2014 an\u00e1lise de risco<\/strong><\/p>\n<ul style=\"text-align: justify;\" data-start=\"2003\" data-end=\"3832\">\n<li data-start=\"2003\" data-end=\"2406\">\n<p data-start=\"2006\" data-end=\"2406\"><strong data-start=\"2006\" data-end=\"2053\">Acesso leg\u00edtimo \u00e9 o maior atalho do invasor<\/strong><br data-start=\"2053\" data-end=\"2056\" \/>Insiders j\u00e1 t\u00eam privil\u00e9gios, conhecimento de arquitetura, credenciais e caminhos para sistemas cr\u00edticos. Mesmo \u201capenas\u201d compartilhar imagens de telas com URLs, tokens caducados, ou caminhos de administra\u00e7\u00e3o reduz exponencialmente o trabalho do atacante e aumenta as chances de sucesso em ataques subsequentes.\u00a0<\/p>\n<\/li>\n<li data-start=\"2408\" data-end=\"2884\">\n<p data-start=\"2411\" data-end=\"2884\"><strong data-start=\"2411\" data-end=\"2469\">Manipula\u00e7\u00e3o da narrativa p\u00fablica e fraude reputacional<\/strong><br data-start=\"2469\" data-end=\"2472\" \/>Quando um grupo publica screenshots e afirma ter \u201ccomprometido\u201d um fornecedor de seguran\u00e7a, o impacto reputacional \u00e9 imediato: clientes e parceiros podem questionar a integridade das prote\u00e7\u00f5es, mesmo que a investiga\u00e7\u00e3o mostre que n\u00e3o houve comprometimento externo. A divulga\u00e7\u00e3o p\u00fablica cria ru\u00eddo e pode ser explorada por atores maliciosos para extors\u00e3o ou desinforma\u00e7\u00e3o.\u00a0<\/p>\n<\/li>\n<li data-start=\"2886\" data-end=\"3386\">\n<p data-start=\"2889\" data-end=\"3386\"><strong data-start=\"2889\" data-end=\"2941\">Economia do crime \u2014 pagar por acesso \u00e9 eficiente<\/strong><br data-start=\"2941\" data-end=\"2944\" \/>Em muitas opera\u00e7\u00f5es de ataque sofisticadas, comprar acesso (insider or compromised credentials) sai mais barato e tem maior ROI do que explorar uma cadeia complexa de vulnerabilidades. O epis\u00f3dio deixa claro que h\u00e1 um mercado disposto a pagar por screenshots ou credenciais. Isso tamb\u00e9m aumenta o risco de repeti\u00e7\u00e3o: um insider insatisfeito ou desesperado vira um ativo vendido no mercado clandestino.\u00a0<\/p>\n<\/li>\n<li data-start=\"3388\" data-end=\"3832\">\n<p data-start=\"3391\" data-end=\"3832\"><strong data-start=\"3391\" data-end=\"3429\">Dificuldade de detec\u00e7\u00e3o e resposta<\/strong><br data-start=\"3429\" data-end=\"3432\" \/>Atividade maliciosa de insiders costuma misturar-se a uso leg\u00edtimo \u2014 tirar screenshots, acessar dashboards, ou exportar relat\u00f3rios s\u00e3o a\u00e7\u00f5es rotineiras. Diferenciar atividade leg\u00edtima de exfiltra\u00e7\u00e3o intencional exige telemetria rica, DLP avan\u00e7ado e an\u00e1lise comportamental. Sem esses controles, o insider pode operar por longos per\u00edodos antes de ser detectado.\u00a0<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"3839\" data-end=\"3884\"><strong>Impactos pr\u00e1ticos e li\u00e7\u00f5es para defensores<\/strong><\/p>\n<ul style=\"text-align: justify;\" data-start=\"3886\" data-end=\"4857\">\n<li data-start=\"3886\" data-end=\"4171\">\n<p data-start=\"3888\" data-end=\"4171\"><strong data-start=\"3888\" data-end=\"3922\">Confian\u00e7a do cliente em risco:<\/strong> mesmo sem acesso externo comprovado, a simples narrativa de \u201ccomprometimento\u201d pode levar clientes a exigir auditorias adicionais, rescindir contratos ou buscar alternativas, com impacto financeiro e de marca.<\/p>\n<\/li>\n<li data-start=\"4172\" data-end=\"4491\">\n<p data-start=\"4174\" data-end=\"4491\"><strong data-start=\"4174\" data-end=\"4216\">Necessidade de governan\u00e7a de insiders:<\/strong> pol\u00edticas de acesso, rota\u00e7\u00e3o de credenciais, least privilege efetivo, controle de sess\u00f5es administrativas e monitoramento cont\u00ednuo s\u00e3o fundamentais. A aus\u00eancia desses controles transforma colaboradores em potenciais vetores de ataque.<\/p>\n<\/li>\n<li data-start=\"4492\" data-end=\"4857\">\n<p data-start=\"4494\" data-end=\"4857\"><strong data-start=\"4494\" data-end=\"4546\">A import\u00e2ncia de controles t\u00e9cnicos espec\u00edficos:<\/strong> Data Loss Prevention (DLP) com controle de screenshots, bloqueio de upload para servi\u00e7os n\u00e3o aprovados, marca\u00e7\u00e3o din\u00e2\u00admica de documentos sens\u00edveis (watermarking), e restri\u00e7\u00f5es a dispositivos USB e a servi\u00e7os de armazenamento em nuvem reduzem a superf\u00edcie de exfiltra\u00e7\u00e3o.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"4864\" data-end=\"4934\"><strong>Recomenda\u00e7\u00e3o pr\u00e1tica \u2014 o que equipes de seguran\u00e7a devem fazer agora<\/strong><\/p>\n<ul style=\"text-align: justify;\" data-start=\"4936\" data-end=\"6394\">\n<li data-start=\"4936\" data-end=\"5253\">\n<p data-start=\"4939\" data-end=\"5253\"><strong data-start=\"4939\" data-end=\"4981\">Responder e investigar com prioridade:<\/strong> realizar auditoria forense das atividades do insider, reconstituir artefatos exfiltrados, identificar contas\/recursos potencialmente expostos e notificar clientes quando aplic\u00e1vel. Fazer preserve chain-of-custody para evid\u00eancias.<\/p>\n<\/li>\n<li data-start=\"5254\" data-end=\"5544\">\n<p data-start=\"5257\" data-end=\"5544\"><strong data-start=\"5257\" data-end=\"5300\">Refor\u00e7ar controles de acesso e sess\u00f5es:<\/strong> implementar MFA obrigat\u00f3rio em todos os pain\u00e9is administrativos, impor short-lived credentials (credenciais tempor\u00e1rias), e restringir sess\u00f5es SSO a pol\u00edticas de contexto (device posture, geo-fencing).<\/p>\n<\/li>\n<li data-start=\"5545\" data-end=\"5836\">\n<p data-start=\"5548\" data-end=\"5836\"><strong data-start=\"5548\" data-end=\"5597\">Ativar DLP e monitoramento de tela\/clipboard:<\/strong> bloquear uploads autom\u00e1ticos para servi\u00e7os externos, alertar em atividades de screenshot ou captura de tela envolvendo aplica\u00e7\u00f5es sens\u00edveis, e aplicar watermarking din\u00e2mico em dashboards cr\u00edticos.<\/p>\n<\/li>\n<li data-start=\"5837\" data-end=\"6123\">\n<p data-start=\"5840\" data-end=\"6123\"><strong data-start=\"5840\" data-end=\"5882\">Programa de mitiga\u00e7\u00e3o de risco humano:<\/strong> triagem cont\u00ednua de funcion\u00e1rios em fun\u00e7\u00f5es sens\u00edveis, treinamentos regulares sobre riscos de insiders, mecanismos de den\u00fancia an\u00f4nima e avalia\u00e7\u00e3o de fatores de risco (financeiros, comportamentais).<\/p>\n<\/li>\n<li data-start=\"6124\" data-end=\"6394\">\n<p data-start=\"6127\" data-end=\"6394\"><strong data-start=\"6127\" data-end=\"6171\">Coopera\u00e7\u00e3o com autoridades e comunidade:<\/strong> compartilhar IOCs, dom\u00ednios e amostras com entidades de resposta e com parceiros \u2014 e cooperar plenamente com investiga\u00e7\u00f5es criminais quando houver evid\u00eancias de venda ou conspira\u00e7\u00e3o.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"6401\" data-end=\"6450\"><strong>Considera\u00e7\u00f5es estrat\u00e9gicas \u2014 al\u00e9m do incidente<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"6452\" data-end=\"7042\">Este caso confirma tend\u00eancias observadas por especialistas: os ataques modernos combinam t\u00e9cnicas externas com a explora\u00e7\u00e3o do fator humano interno. Organiza\u00e7\u00f5es que dependem de software cr\u00edtico, SSO corporativo e pain\u00e9is de telemetria precisam, obrigatoriamente, tratar <strong data-start=\"6723\" data-end=\"6741\">insider threat<\/strong> como disciplina estrat\u00e9gica \u2014 com investimentos em tecnologia, processos e cultura. Vale destacar que reputa\u00e7\u00f5es s\u00f3lidas e investimentos em seguran\u00e7a n\u00e3o anulam o risco humano; eles apenas reduzem a probabilidade, desde que acompanhados de controles adequados.<\/p>\n<p data-start=\"6452\" data-end=\"7042\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"7049\" data-end=\"7061\"><strong>Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"7063\" data-end=\"7585\">A demiss\u00e3o do funcion\u00e1rio da CrowdStrike e a subsequente divulga\u00e7\u00e3o de imagens internas em canais p\u00fablicos s\u00e3o um chamado de alerta: <strong data-start=\"7196\" data-end=\"7314\">o maior risco muitas vezes n\u00e3o \u00e9 um zero-day distante, mas a pessoa com acesso leg\u00edtimo que decide comercializ\u00e1-lo<\/strong>. Mitigar esse risco exige uma combina\u00e7\u00e3o de tecnologia (DLP, monitoramento comportamental, controle de sess\u00f5es), processos (least privilege, rota\u00e7\u00e3o de credenciais, pol\u00edticas de acesso) e governan\u00e7a (vetting cont\u00ednuo, programas de conscientiza\u00e7\u00e3o, canais de den\u00fancia).<\/p>\n<p style=\"text-align: justify;\" data-start=\"7587\" data-end=\"7869\">Em um mundo onde atacantes profissionais pagam por acesso e informa\u00e7\u00e3o, confian\u00e7a interna sem verifica\u00e7\u00e3o \u00e9 um luxo que nenhuma organiza\u00e7\u00e3o pode se dar. Defender-se contra insiders \u00e9 caro \u2014 mas a alternativa, pagar o pre\u00e7o de um incidente de confian\u00e7a, costuma sair muito mais caro.<\/p>\n<p data-start=\"7587\" data-end=\"7869\">\u00a0<\/p>\n<p data-start=\"7876\" data-end=\"7890\"><strong>Refer\u00eancias Bibliogr\u00e1ficas<\/strong><\/p>\n<ul data-start=\"7892\" data-end=\"8422\">\n<li data-start=\"7892\" data-end=\"8161\">\n<p data-start=\"7894\" data-end=\"8161\"><strong>TechCrunch<\/strong> \u2014 <em data-start=\"7907\" data-end=\"7983\">\u201cCrowdStrike fires &#8216;suspicious insider&#8217; who passed information to hackers\u201d<\/em>, 21 Nov 2025. Dispon\u00edvel em: <a class=\"decorated-link\" href=\"https:\/\/techcrunch.com\/2025\/11\/21\/crowdstrike-fires-suspicious-insider-who-passed-information-to-hackers\/?utm_source=chatgpt.com\" target=\"_blank\" rel=\"noopener\" data-start=\"8013\" data-end=\"8118\">https:\/\/techcrunch.com\/2025\/11\/21\/crowdstrike-fires-suspicious-insider-who-passed-information-to-hackers\/<\/a>. <span class=\"\" data-state=\"closed\"><span class=\"ms-1 inline-flex max-w-full items-center relative top-[-0.094rem] animate-[show_150ms_ease-in]\" data-testid=\"webpage-citation-pill\"><a class=\"flex h-4.5 overflow-hidden rounded-xl px-2 text-[9px] font-medium transition-colors duration-150 ease-in-out text-token-text-secondary! bg-[#F4F4F4]! dark:bg-[#303030]!\" href=\"https:\/\/techcrunch.com\/2025\/11\/21\/crowdstrike-fires-suspicious-insider-who-passed-information-to-hackers\/?utm_source=chatgpt.com\" target=\"_blank\" rel=\"noopener\"><span class=\"relative start-0 bottom-0 flex h-full w-full items-center\"><span class=\"flex h-4 w-full items-center justify-between overflow-hidden\"><span class=\"max-w-[15ch] grow truncate overflow-hidden text-center\">TechCrunch<\/span><\/span><\/span><\/a><\/span><\/span><\/p>\n<\/li>\n<li data-start=\"8162\" data-end=\"8422\">\n<p data-start=\"8164\" data-end=\"8422\"><strong>BleepingComputer<\/strong> \u2014 <em data-start=\"8183\" data-end=\"8245\">\u201cCrowdStrike catches insider feeding information to hackers\u201d<\/em>, 21 Nov 2025. Dispon\u00edvel em: <a class=\"decorated-link\" href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/crowdstrike-catches-insider-feeding-information-to-hackers\/?utm_source=chatgpt.com\" target=\"_blank\" rel=\"noopener\" data-start=\"8275\" data-end=\"8381\">https:\/\/www.bleepingcomputer.com\/news\/security\/crowdstrike-catches-insider-feeding-information-to-hackers\/<\/a>. <span class=\"\" data-state=\"closed\"><span class=\"ms-1 inline-flex max-w-full items-center relative top-[-0.094rem] animate-[show_150ms_ease-in]\" data-testid=\"webpage-citation-pill\"><a class=\"flex h-4.5 overflow-hidden rounded-xl px-2 text-[9px] font-medium transition-colors duration-150 ease-in-out text-token-text-secondary! bg-[#F4F4F4]! dark:bg-[#303030]!\" href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/crowdstrike-catches-insider-feeding-information-to-hackers\/?utm_source=chatgpt.com\" target=\"_blank\" rel=\"noopener\"><span class=\"relative start-0 bottom-0 flex h-full w-full items-center\"><span class=\"flex h-4 w-full items-center justify-between overflow-hidden\"><span class=\"max-w-[15ch] grow truncate overflow-hidden text-center\">BleepingComputer<\/span><\/span><\/span><\/a><\/span><\/span><\/p>\n<\/li>\n<\/ul>\n\n\n","protected":false},"excerpt":{"rendered":"<p>CrowdStrike e a amea\u00e7a interna: quando o inimigo est\u00e1 dentro da casa Nos \u00faltimos dias, a comunidade de seguran\u00e7a foi sacudida por uma confirma\u00e7\u00e3o s\u00e9ria: a CrowdStrike \u2014 uma das maiores empresas de ciberseguran\u00e7a do mundo \u2014 identificou e demitiu um funcion\u00e1rio que compartilhava screenshots e informa\u00e7\u00f5es internas com um grupo de cibercriminosos. Segundo relat\u00f3rios, [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":23617,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105],"tags":[],"class_list":["post-23615","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/23615","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=23615"}],"version-history":[{"count":2,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/23615\/revisions"}],"predecessor-version":[{"id":23618,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/23615\/revisions\/23618"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/23617"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=23615"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=23615"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=23615"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}