O que as violações cibernéticas atuais ensinam aos operadores de cassino – insights da GLI

O que uma investigação de segurança revela sobre as ameaças cibernéticas nos jogos de hoje

A anatomia de um comprometimento de segurança cibernética

Quando atividades ou anomalias incomuns são detectadas na infraestrutura de TI de uma empresa, isso pode indicar um possível incidente. Nesses casos, uma equipe de especialistas em cibersegurança analisa as evidências disponíveis para verificar se houve acesso não autorizado, identificar as técnicas utilizadas pelos invasores e avaliar os impactos para a organização.

Uma investigação recente da equipe de segurança da Bulletproof apresenta uma visão geral dos mecanismos por trás das ameaças cibernéticas modernas.

Uma análise abrangente normalmente cobre as seguintes áreas:

·       Servidores críticos apresentando atividade incomum

·       Logs do sistema e tráfego de rede

·       Status de configuração e aplicação de patches

·       Inteligência de ameaças e análise comportamental

·       Treinamento interno sobre conscientização e boas práticas de cibersegurança

Esses métodos visam identificar de forma abrangente todos os indicadores, como possíveis backdoors e técnicas de exfiltração de dados.

Como investigar uma violação

Os investigadores de segurança cibernética seguem um processo que combina análise técnica e revisão detalhada, incluindo: 

·       Coletar e revisar evidências dos sistemas afetados

·       Classificar processos e atividades suspeitas

·       Analisar o tráfego de rede em busca de conexões anormais

·       Examinar logs para identificar sinais de acesso não autorizado

·       Revisar o código de aplicativos, verificando vulnerabilidades ocultas ou alterações maliciosas

As principais descobertas: o que se escondia por trás dos ciberataques a jogos e as medidas que as organizações podem adotar para fortalecer sua resiliência contra essas ameaças.

Durante nossa investigação para um cliente do setor de cassinos, o equivalente digital a uma invasão foi confirmado. Eis o que nossa equipe de cibersegurança encontrou:

• Processos maliciosos: softwares suspeitos foram instalados silenciosamente em servidores críticos. Ferramentas como PupyRAT e Rekoobe são conhecidas por dar aos invasores controle secreto sobre os sistemas, permitindo a elevação de privilégios e o desvio de dados sem detecção.
• "Vivendo da Terra": os atacantes utilizaram de forma estratégica softwares legítimos já presentes nos servidores (como o Amazon SSM Agent) para evitar levantar suspeitas. Essa técnica, chamada Living off the Land ("Vivendo da Terra"), faz com que suas ações se misturem às operações normais.
• Acesso persistente: o backdoor Rekoobe, por exemplo, conseguia receber comandos, transferir dados e até acessar arquivos de senhas confidenciais. Seu design furtivo lhe permitia se esconder à vista de todos e manter comunicação periódica com servidores externos de comando.
• Links de comando e controle: o tráfego de rede incomum revelou conexões com domínios e IPs suspeitos, sinais clássicos de que invasores mantinham controle remoto.

A investigação apontou cinco sinais-chave de que um ataque havia ocorrido:

1. Instalação simultânea de processos suspeitos em diferentes servidores
2. Conexões de saída incomuns para domínios e IPs maliciosos conhecidos
3. Uso indevido de privilégios administrativos para manter acesso contínuo
4. Transmissão de informações sensíveis (como nomes de usuário e senhas) por canais desprotegidos
5. Possível uso de técnicas esteganográficas para ocultação de informações

Atribuição

Não houve atribuição definitiva, mas o uso do PupyRAT sugere relação com o grupo Earth Berberoka (também conhecido como GamblingPuppet ou DiceyF), ativo desde 2022. O grupo, associado a falantes de chinês, tem como alvo cassinos online e sites de apostas, sobretudo na China e no Sudeste Asiático.

A análise revelou ainda que arquivos inicialmente codificados em ASCII apresentaram caracteres chineses quando processados em Unicode, revelando informações ocultas, técnica usada para evitar detecção.

Recomendações: Como se recuperar e construir resiliência

Indicadores de comprometimento: não deixar pedra sobre pedra

Responder a uma violação não significa apenas restaurar operações normais; trata-se também de fortalecer a resiliência organizacional. A equipe de cibersegurança da Bulletproof recomenda:

• Segmentação de rede: dividir as redes em zonas seguras para limitar o alcance dos invasores.
• Proteção e monitoramento avançados de endpoints: usar soluções de última geração com regras de detecção aprimoradas.
• Avaliações regulares de segurança: realizar varreduras de vulnerabilidades, testes de penetração e simulações de ataques (red teaming).
• Restrição de privilégios administrativos: conceder acessos críticos apenas a quem realmente precisa, com revisões periódicas.
• Resposta a incidentes: desenvolver planos claros, realizar exercícios de mesa e testar continuamente a maturidade dos processos.

Takeaways para o setor

Este caso não é isolado. Invasores estão em constante evolução, explorando novos malwares e ferramentas legítimas do sistema para escapar das defesas tradicionais. A tecnologia é importante, mas a resiliência depende de vigilância constante, treinamentos e prontidão para resposta rápida. Outras ameaças incluem:

• DDoS (ataques distribuídos de negação de serviço): sobrecarregam sistemas, causam interrupções e perdas significativas de receita, especialmente em horários de pico.
• Ameaças internas: funcionários ou contratados com acesso privilegiado podem, de forma acidental ou intencional, comprometer dados sensíveis.

Com a enorme quantidade de dados pessoais e financeiros coletados em cassinos, especialmente com os programas de KYC, esses ambientes se tornam alvos prioritários para criminosos. Uma violação pode levar a roubo de identidade, exposição de dados e perda da confiança do jogador.

Considerações finais

A indústria de jogos, tanto online quanto presencial, é cada vez mais visada por cibercriminosos. Para enfrentar esses riscos, operadoras devem:

• Implementar protocolos de segurança robustos
• Investir em tecnologias defensivas avançadas
• Colaborar com o setor para compartilhar inteligência de ameaças em tempo real

Uma postura proativa fortalece a segurança das plataformas, protege dados e fundos dos jogadores e, sobretudo, preserva a confiança, ativo essencial para o setor de jogos.