{"id":24713,"date":"2026-02-11T09:00:13","date_gmt":"2026-02-11T12:00:13","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24713"},"modified":"2026-02-10T14:37:10","modified_gmt":"2026-02-10T17:37:10","slug":"practical-value-of-cyberthreat-attribution","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/practical-value-of-cyberthreat-attribution\/24713\/","title":{"rendered":"O valor pr\u00e1tico da atribui\u00e7\u00e3o de amea\u00e7as cibern\u00e9ticas"},"content":{"rendered":"<p>Nem todo profissional de seguran\u00e7a cibern\u00e9tica acha que vale a pena o esfor\u00e7o para descobrir exatamente quem \u00e9 o respons\u00e1vel pelo malware que atinge a sua empresa. O algoritmo t\u00edpico de investiga\u00e7\u00e3o de incidentes segue este fluxo: o analista encontra um arquivo suspeito \u2192 se o antiv\u00edrus n\u00e3o o detecta, ele o executa em um sandbox \u2192 confirma atividade maliciosa \u2192 adiciona o hash \u00e0 lista de bloqueio \u2192 faz uma pausa para o caf\u00e9. Essas s\u00e3o as etapas principais adotadas por muitos profissionais de seguran\u00e7a cibern\u00e9tica, especialmente quando est\u00e3o sobrecarregados com alertas ou n\u00e3o t\u00eam as habilidades forenses necess\u00e1rias para desvendar um ataque complexo passo a passo. No entanto, ao lidar com um ataque direcionado, essa abordagem inevitavelmente leva a um desastre, e aqui est\u00e1 o motivo.<\/p>\n<p>Se um invasor estiver jogando para valer, ele raramente se apegar\u00e1 a um \u00fanico vetor de ataque. H\u00e1 uma boa chance de que o arquivo malicioso j\u00e1 tenha cumprido seu papel em um ataque em v\u00e1rias etapas e hoje seja praticamente in\u00fatil para o invasor, que j\u00e1 avan\u00e7ou na infraestrutura corporativa e passou a operar com um conjunto completamente diferente de ferramentas. Para eliminar a amea\u00e7a de uma vez por todas, a equipe de seguran\u00e7a precisa detectar e neutralizar toda a cadeia de ataque.<\/p>\n<p>Mas como isso pode ser feito de forma r\u00e1pida e eficaz antes que os invasores consigam causar algum dano real? Uma maneira \u00e9 analisar o contexto a fundo. Ao analisar um \u00fanico arquivo, um especialista pode identificar com precis\u00e3o o grupo que est\u00e1 atacando a empresa, entender rapidamente as ferramentas e t\u00e1ticas que ele utiliza e, em seguida, varrer a infraestrutura em busca de amea\u00e7as relacionadas. Existem muitas ferramentas de intelig\u00eancia de amea\u00e7as dispon\u00edveis para isso, mas mostrarei como isso funciona usando nosso <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/threat-intelligence-subscription?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kdaily_wpplaceholder_sm-team___kti____a9a0706939e67b1a\" target=\"_blank\" rel=\"noopener\">Portal do Kaspersky Threat Intelligence<\/a>.<\/p>\n<h2>Um exemplo pr\u00e1tico da import\u00e2ncia da atribui\u00e7\u00e3o<\/h2>\n<p>Vamos supor que carregamos um malware descoberto em um portal de intelig\u00eancia de amea\u00e7as e detectamos que ele geralmente \u00e9 usado, digamos, pelo grupo <em>MysterySnail<\/em>. O que isso realmente significa? Vejamos as informa\u00e7\u00f5es dispon\u00edveis:<\/p>\n<p><img decoding=\"async\" class=\"alignnone wp-image-24719 size-large\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2026\/02\/10134907\/practical-value-of-cyberthreat-attribution-EN-MysterySnail.png\" alt=\"Informa\u00e7\u00f5es do grupo MysterySnail\" width=\"1024\" height=\"491\">Em primeiro lugar, esses invasores t\u00eam como alvo institui\u00e7\u00f5es governamentais na R\u00fassia e na Mong\u00f3lia. Trata-se de um grupo chin\u00eas que normalmente se concentra em espionagem. De acordo com o seu perfil, eles se estabelecem em uma infraestrutura e permanecem escondidos at\u00e9 encontrarem algo que valha a pena roubar. Tamb\u00e9m sabemos que eles normalmente exploram a vulnerabilidade <em>CVE-2021-40449<\/em>. Que tipo de vulnerabilidade \u00e9 essa?<\/p>\n<p><img decoding=\"async\" class=\"alignnone wp-image-24717 size-large\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2026\/02\/10134825\/practical-value-of-cyberthreat-attribution-EN-CVE-2021-40449.png\" alt=\"Informa\u00e7\u00f5es sobre a vulnerabilidade CVE-2021-40449\" width=\"1024\" height=\"539\">Como podemos ver, esta \u00e9 uma vulnerabilidade de escalonamento de privil\u00e9gios, o que significa que ela \u00e9 usada depois que os hackers j\u00e1 se infiltraram em uma infraestrutura. Essa vulnerabilidade tem uma classifica\u00e7\u00e3o de gravidade alta e \u00e9 muito explorada por a\u00ed. Ent\u00e3o, qual software \u00e9 realmente vulner\u00e1vel?<\/p>\n<p><img decoding=\"async\" class=\"alignnone wp-image-24721 size-large\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2026\/02\/10134957\/practical-value-of-cyberthreat-attribution-EN-Vulnerable-software-2.png\" alt=\"Software vulner\u00e1vel\" width=\"1024\" height=\"706\">J\u00e1 sei: o Microsoft Windows. Hora de verificar novamente se o patch que corrige essa vulnerabilidade foi realmente instalado. Muito bem. Al\u00e9m da vulnerabilidade, o que mais sabemos sobre os hackers? Descobrimos que eles t\u00eam uma maneira peculiar de verificar as configura\u00e7\u00f5es de rede: eles se conectam ao site p\u00fablico 2ip.ru:<\/p>\n<p><img decoding=\"async\" class=\"alignnone wp-image-24724 size-large\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2026\/02\/10142433\/practical-value-of-cyberthreat-attribution-EN-details.png\" alt=\"Informa\u00e7\u00f5es sobre a t\u00e9cnica\" width=\"1024\" height=\"109\">Portanto, faz sentido adicionar uma regra de correla\u00e7\u00e3o ao SIEM para sinalizar esse tipo de comportamento.<\/p>\n<p>Agora \u00e9 hora de estudar esse grupo mais a fundo e reunir indicadores adicionais de comprometimento (IoCs) para o monitoramento SIEM, bem como regras YARA prontas para uso (descri\u00e7\u00f5es de texto estruturadas usadas para identificar malware). Isso nos ajudar\u00e1 a rastrear todos os tent\u00e1culos desse kraken que podem j\u00e1 ter se infiltrado em uma infraestrutura corporativa e garantir que possamos intercept\u00e1-los rapidamente se eles tentarem uma nova invas\u00e3o.<\/p>\n<p><img decoding=\"async\" class=\"alignnone wp-image-24720 size-large\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2026\/02\/10134930\/practical-value-of-cyberthreat-attribution-EN-Repots.png\" alt=\"Relat\u00f3rios adicionais do MysterySnail\" width=\"1024\" height=\"529\">O Portal do Kaspersky Threat Intelligence fornece v\u00e1rios relat\u00f3rios adicionais sobre ataques do MysterySnail, cada um contendo uma lista de IoCs e regras YARA. As regras YARA podem ser usadas para verificar todos os terminais e os IoCs podem ser adicionados ao SIEM para um monitoramento constante. Vamos verificar os relat\u00f3rios para ver como esses invasores lidam com a exfiltra\u00e7\u00e3o de dados e que tipo de dados eles geralmente buscam. Agora podemos realmente tomar medidas para impedir o ataque.<\/p>\n<p>E assim, MysterySnail, a infraestrutura agora est\u00e1 ajustada para encontrar voc\u00ea e fornecer uma resposta imediata. Chega de espionagem!<\/p>\n<h2><a name=\"_Toc256000012\"><\/a>M\u00e9todos de atribui\u00e7\u00e3o de malware<\/h2>\n<p>Antes de abordar m\u00e9todos espec\u00edficos, \u00e9 preciso esclarecer um ponto: para que a atribui\u00e7\u00e3o funcione de fato, a intelig\u00eancia de amea\u00e7as precisa se basear em um conhecimento amplo e profundo das t\u00e1ticas, t\u00e9cnicas e procedimentos (TTPs) usados por agentes de amea\u00e7as. O escopo e a qualidade desses bancos de dados podem variar bastante entre os fornecedores. No nosso caso, antes mesmo da cria\u00e7\u00e3o da ferramenta, passamos anos rastreando grupos conhecidos em diversas campanhas e registrando seus TTPs, e seguimos atualizando esse banco de dados at\u00e9 hoje.<\/p>\n<p>Com um banco de dados TTP instalado, os seguintes m\u00e9todos de atribui\u00e7\u00e3o podem ser implementados:<\/p>\n<ol>\n<li>Atribui\u00e7\u00e3o din\u00e2mica: identificar TTPs atrav\u00e9s da an\u00e1lise din\u00e2mica de arquivos espec\u00edficos e, em seguida, fazer a refer\u00eancia cruzada desse conjunto de TTPs com aqueles de grupos de hackers conhecidos<\/li>\n<li>Atribui\u00e7\u00e3o t\u00e9cnica: encontrar sobreposi\u00e7\u00f5es de c\u00f3digos entre arquivos espec\u00edficos e fragmentos de c\u00f3digo conhecidos por serem usados por grupos espec\u00edficos de hackers no malware deles<\/li>\n<\/ol>\n<h3>Atribui\u00e7\u00e3o din\u00e2mica<\/h3>\n<p>A identifica\u00e7\u00e3o de TTPs durante a an\u00e1lise din\u00e2mica \u00e9 relativamente simples de implementar; de fato, essa funcionalidade j\u00e1 faz parte dos sandboxes modernos h\u00e1 bastante tempo. Naturalmente, todos os nossos sandboxes tamb\u00e9m identificam TTPs durante a an\u00e1lise din\u00e2mica de uma amostra de malware:<\/p>\n<p><img decoding=\"async\" class=\"alignnone wp-image-24718 size-large\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2026\/02\/10134848\/practical-value-of-cyberthreat-attribution-EN-Matrix.png\" alt=\"TTPs de uma amostra de malware\" width=\"1024\" height=\"539\">O foco desse m\u00e9todo est\u00e1 em categorizar a atividade do malware usando a estrutura MITRE ATT&amp;CK. Um relat\u00f3rio de sandbox normalmente cont\u00e9m uma lista de TTPs detectados. Embora esses dados sejam muito \u00fateis, eles n\u00e3o s\u00e3o suficientes para fazer uma atribui\u00e7\u00e3o completa a um grupo espec\u00edfico. Tentar identificar os perpetradores de um ataque usando apenas esse m\u00e9todo \u00e9 muito parecido com a antiga par\u00e1bola indiana <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Os_Cegos_e_o_Elefante\" target=\"_blank\" rel=\"noopener nofollow\">dos cegos e do elefante<\/a>, em que pessoas com os olhos vendados tocam partes diferentes de um elefante e tentam adivinhar o que est\u00e1 na frente delas. Aquele que toca a tromba pensa que \u00e9 uma p\u00edton; aquele que toca o flanco tem certeza de que \u00e9 uma parede, e assim por diante.<\/p>\n<h2><img decoding=\"async\" class=\"alignnone wp-image-24722 size-large\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2026\/02\/10135015\/practical-value-of-cyberthreat-attribution-Elefant-1.jpg\" alt=\"Homens cegos e um elefante\" width=\"1024\" height=\"768\">Atribui\u00e7\u00e3o t\u00e9cnica<\/h2>\n<p>O segundo m\u00e9todo de atribui\u00e7\u00e3o ocorre por meio da an\u00e1lise est\u00e1tica de c\u00f3digo (embora tenha em mente que esse tipo de atribui\u00e7\u00e3o \u00e9 sempre problem\u00e1tico). A ideia principal aqui \u00e9 agrupar at\u00e9 mesmo arquivos de malware ligeiramente sobrepostos com base em caracter\u00edsticas exclusivas espec\u00edficas. Antes que a an\u00e1lise possa come\u00e7ar, a amostra de malware deve ser desmontada. O problema \u00e9 que, juntamente com os bits informativos e \u00fateis, o c\u00f3digo recuperado cont\u00e9m muito ru\u00eddo. Se o algoritmo de atribui\u00e7\u00e3o considerar esse lixo n\u00e3o informativo, qualquer amostra de malware acabar\u00e1 se parecendo com um grande n\u00famero de arquivos leg\u00edtimos, impossibilitando a atribui\u00e7\u00e3o de qualidade. Por outro lado, tentar atribuir malware apenas com base em fragmentos \u00fateis enquanto se usa um m\u00e9todo matem\u00e1tico primitivo resultar\u00e1 em um aumento acentuado da taxa de falsos positivos. Al\u00e9m disso, qualquer resultado de atribui\u00e7\u00e3o deve ser verificado quanto a semelhan\u00e7as com arquivos leg\u00edtimos, e a qualidade dessa verifica\u00e7\u00e3o geralmente depende muito dos recursos t\u00e9cnicos do fornecedor.<\/p>\n<h3><a name=\"_Toc256000013\"><\/a>A abordagem da Kaspersky com rela\u00e7\u00e3o \u00e0 atribui\u00e7\u00e3o<\/h3>\n<p>Nossos produtos utilizam um banco de dados exclusivo de malware associado a grupos espec\u00edficos de hackers, constru\u00eddo ao longo de mais de 25 anos. Al\u00e9m disso, usamos um <a href=\"https:\/\/www1.fips.ru\/ofpstorage\/Doc\/IZPM\/RUNWC1\/000\/000\/002\/757\/265\/%D0%98%D0%97-02757265-00001\/DOCUMENT.PDF\" target=\"_blank\" rel=\"noopener nofollow\">algoritmo de atribui\u00e7\u00e3o patenteado<\/a> com base na an\u00e1lise est\u00e1tica de c\u00f3digos desmontados. Isso nos permite determinar com alta precis\u00e3o, e at\u00e9 mesmo uma porcentagem de probabilidade espec\u00edfica, o quanto um arquivo analisado se assemelha \u00e0s amostras conhecidas de um grupo espec\u00edfico. Dessa forma, podemos formar um veredicto bem fundamentado que atribui o malware a um agente de amea\u00e7a espec\u00edfico. Os resultados s\u00e3o ent\u00e3o cruzados com um banco de dados de bilh\u00f5es de arquivos leg\u00edtimos para filtrar falsos positivos; se uma correspond\u00eancia for encontrada com qualquer um deles, o veredicto de atribui\u00e7\u00e3o \u00e9 ajustado de acordo. Essa abordagem \u00e9 a base do Kaspersky Threat Attribution Engine, que mant\u00e9m o servi\u00e7o de atribui\u00e7\u00e3o de amea\u00e7as em funcionamento no <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/threat-intelligence-subscription?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kdaily_wpplaceholder_sm-team___kti____a9a0706939e67b1a\" target=\"_blank\" rel=\"noopener\">Portal do Kaspersky Threat Intelligence<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"24715\">\n","protected":false},"excerpt":{"rendered":"<p>Por que \u00e9 \u00fatil atribuir malware a um grupo de hackers espec\u00edfico?<\/p>\n","protected":false},"author":2792,"featured_media":24723,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655],"tags":[28,1975,1776],"class_list":{"0":"post-24713","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-ataques","10":"tag-inteligencia-de-ameacas","11":"tag-servicos"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/practical-value-of-cyberthreat-attribution\/24713\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/practical-value-of-cyberthreat-attribution\/30133\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/practical-value-of-cyberthreat-attribution\/25194\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/practical-value-of-cyberthreat-attribution\/13167\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/practical-value-of-cyberthreat-attribution\/30010\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/practical-value-of-cyberthreat-attribution\/28957\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/practical-value-of-cyberthreat-attribution\/31823\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/practical-value-of-cyberthreat-attribution\/41238\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/practical-value-of-cyberthreat-attribution\/14248\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/practical-value-of-cyberthreat-attribution\/55217\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/practical-value-of-cyberthreat-attribution\/23591\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/practical-value-of-cyberthreat-attribution\/33159\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/practical-value-of-cyberthreat-attribution\/30222\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/practical-value-of-cyberthreat-attribution\/35894\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/practical-value-of-cyberthreat-attribution\/35550\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/inteligencia-de-ameacas\/","name":"intelig\u00eancia de amea\u00e7as"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24713","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2792"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=24713"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24713\/revisions"}],"predecessor-version":[{"id":24727,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24713\/revisions\/24727"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/24723"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=24713"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=24713"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=24713"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}