Durante o ano passado, 58% de todos os ataques cibernéticos de Estados-nação observados pela Microsoft vieram da Rússia. E os ataques com origem neste Estado-nação são cada vez mais eficazes, saltando de uma taxa de comprometimento bem-sucedido de 21% no ano passado para 32% neste ano. Os agentes da Rússia estão cada vez mais visando agências governamentais para coleta de informações de inteligência, que saltaram de 3% como alvo há um ano para 53% – principalmente agências envolvidas em política externa, segurança nacional ou defesa. Os três principais países-alvo dos agentes da Rússia foram os Estados Unidos, Ucrânia e o Reino Unido.
Estes são apenas alguns dos insights do segundo Relatório Anual de Defesa Digital da Microsoft, que lançamos hoje (7) e que pode ser visto gratuitamente aqui. O relatório abrange o período de julho de 2020 a junho de 2021, e suas descobertas abrangem tendências em atividades de Estados-nação, crimes cibernéticos, segurança da cadeia de suprimentos, trabalho híbrido e desinformação.
Atividade de Estados-nação
A Rússia não é o único Estado-nação que evolui em suas abordagens, e a espionagem não é o único propósito para ataques por Estados-nação neste ano.
- Depois da Rússia, o maior volume de ataques que observamos veio da Coreia do Norte, Irã e China; a Coreia do Sul, Turquia (uma nova inclusão em nossos relatórios) e Vietnã também foram ativos, mas representam muito menos volume.
- Embora a espionagem seja o objetivo mais comum para ataques por Estados-nação, algumas atividades de ataque revelam outros objetivos, incluindo:
- Irã, que quadruplicou o seu foco em Israel no ano passado e lançou ataques destrutivos em meio a tensões elevadas entre os dois países, e
- Coreia do Norte, que visou empresas de criptomoeda para fins lucrativos, pois sua economia foi dizimada por sanções e pela COVID-19.
- 21% dos ataques que observamos de Estados-nação visaram consumidores e 79% visaram empresas, com os setores mais procurados sendo governo (48%), ONGs e think tanks (31%), educação (3%), organizações intergovernamentais (3%), TI (2%), energia (1%) e mídia (1%).
Embora a China não seja única em seu objetivo de coleta de informações, é notável que vários agentes chineses tenham usado uma série de vulnerabilidades não identificadas anteriormente. Os ataques do HAFNIUM que visam Exchange Servers on-premises foram bem divulgados mas, além da vulnerabilidade do dia 0 usada nesses ataques, a Microsoft detectou e relatou um Dia Zero ao VPN da Pulse Secure e um Dia Zero à SolarWinds neste ano, ambos explorados por agentes chineses.
A China também está usando sua coleta de informações para uma variedade de fins. Um agente chinês, CHROMIUM, tem como alvo entidades na Índia, Malásia, Mongólia, Paquistão e Tailândia para coletar informações sociais, econômicas e políticas sobre seus países vizinhos. Outro agente chinês, NICKEL, tem como alvo os ministérios de relações exteriores de governos na América Central e do Sul e na Europa. À medida que a influência da China muda com a Iniciativa do Cinturão e Rota do país, prevemos que estes agentes continuarão a usar a coleta de inteligência cibernética para obter informações sobre investimentos, negociações e influência. Por fim, os agentes chineses são notavelmente persistentes; mesmo depois de divulgarmos as tentativas da China de realizar coleta de inteligência contra indivíduos envolvidos nas eleições de 2020, seu agente ZIRCONIUM continuou sua atividade durante o dia das eleições.
No total, notificamos os clientes 20.500 vezes sobre tentativas de todos os agentes de Estados-nação de violar seus sistemas nos últimos três anos. Para deixar claro, a Microsoft não observa todos os ataques cibernéticos globais. Por exemplo, temos visibilidade limitada de ataques direcionados a sistemas on-premises que as organizações gerenciam por conta própria, como os ataques ao Exchange Server no início deste ano, e ataques direcionados a clientes de outros provedores de tecnologia. Acreditamos que compartilhar os dados que temos sobre estas ameaças seja útil para clientes, formuladores de políticas e para a comunidade de segurança em geral, e convidamos outras pessoas a compartilhar o que estão observando com sua visibilidade. A boa notícia é que nossa visibilidade das ameaças e nossa capacidade de ajudar a detê-las continuará a crescer à medida que mais organizações se mudarem para a nuvem.
Crime cibernético
O crime cibernético – especialmente o ransomware – continua a ser uma praga grave e crescente, como evidenciado no relatório deste ano. Mas, enquanto os agentes de Estados-nação visam principalmente as vítimas com informações úteis, os criminosos cibernéticos visam as vítimas com dinheiro. Como resultado, os alvos muitas vezes têm um perfil diferente. Os ataques de crimes cibernéticos a infraestruturas críticas – como o ataque de ransomware à Colonial Pipeline – muitas vezes roubam as manchetes. No entanto, os cinco principais setores visados no ano passado em relação a ataques de ransomware observados por nossa Equipe de Detecção e Resposta Rápida (DART) são varejo (13%), serviços financeiros (12%), manufatura (12%), governo (11%) e serviços de saúde (9%). Os Estados Unidos são de longe o país mais visado, recebendo mais do que o triplo dos ataques de ransomware que o país em segundo lugar. Os EUA são seguidos pela China, Japão, Alemanha e Emirados Árabes Unidos.
No ano passado, a economia do “crime cibernético como serviço” fez a transição de uma indústria nascente, mas em rápido crescimento, para um empreendimento criminoso maduro. Hoje, qualquer pessoa, independentemente do conhecimento técnico, pode acessar um mercado on-line robusto para adquirir a gama de serviços necessários para executar ataques para qualquer finalidade. O mercado tem três componentes. Primeiro, à medida que a demanda aumenta, os criminosos estão cada vez mais focados em se especializar em kits prontos de infecção diferenciados e aumentar seu uso de automação, reduzindo seus custos e aumentando sua escala. Já vimos kits que são vendidos por apenas US$ 66. Em segundo lugar, fornecedores separados oferecem credenciais comprometidas necessárias para acessar os sistemas das pessoas e implantar os kits. Observamos credenciais sendo vendidas de US$ 1 a US$ 50 cada, dependendo do valor percebido do alvo. Em terceiro lugar, os serviços de custódia de criptomoedas servem como corretores entre compradores e vendedores para garantir que os kits e credenciais funcionem conforme a oferta. Também começamos a identificar kits sofisticados que não apenas fornecem dados de vítimas para o criminoso que comprou e implantou o kit, mas também secretamente fornecem os dados para a entidade que criou o kit.
O ransomware continua sendo uma das maiores ameaças do crime cibernético e, no ano passado, continuou a evoluir para se tornar mais disruptivo. Em vez de se concentrar em ataques automatizados que dependem do volume e de baixas demandas facilmente pagas para gerar lucro, o ransomware operado por humanos usa inteligência coletada de fontes on-line, roubando e analisando os documentos financeiros e de seguro da vítima e investigando redes comprometidas para selecionar alvos e definir exigências de resgate muito maiores.
O combate em um ambiente de trabalho híbrido
À medida que as ameaças on-line aumentam em volume, sofisticação e impacto, todos devemos tomar medidas para fortalecer a primeira linha de defesa. Implantar uma higiene cibernética fundamental – como escovar os dentes para se proteger contra cáries ou afivelar o cinto de segurança para proteger sua vida – é um passo básico que todos devemos tomar.
Menos de 20% dos nossos clientes estão usando recursos de autenticação fortes, como autenticação multifator ou MFA. Oferecemos isto gratuitamente e as organizações podem ativá-lo por padrão para os seus usuários. Na verdade, se as organizações apenas aplicassem o MFA, usassem antimalware e mantivessem seus sistemas atualizados, elas estariam protegidas contra mais de 99% dos ataques que vemos hoje.
É claro que empresas de tecnologia como a Microsoft têm um papel importante a desempenhar no desenvolvimento de software seguro, na criação de produtos e serviços avançados de segurança cibernética para os clientes que desejam implantá-los e na detecção e interrupção de ameaças. Mas as organizações que tomam medidas básicas para se protegerem irão além das medidas mais sofisticadas que as empresas de tecnologia e o governo podem tomar para protegê-las. A boa notícia é que nos últimos 18 meses vimos um aumento de 220% no uso de autenticação forte, pois as empresas vêm pensando em aumentar sua postura de segurança em um ambiente de trabalho remoto. A má notícia é que ainda temos um longo caminho pela frente. Parte da solução precisa ser a capacitação de mais profissionais de segurança cibernética que podem ajudar organizações de todos os tipos a se manterem seguras, e teremos mais para compartilhar sobre nosso trabalho nesta área nas próximas semanas.
Há três tendências que também nos dão esperança.
Primeiro, o governo dos EUA tomou medidas sem precedentes para abordar a segurança cibernética usando leis e autoridade já registradas. A Ordem Executiva anunciada em maio contribuiu muito para tornar o governo federal dos EUA e aqueles com quem eles trabalham mais seguros. Já a liderança da Casa Branca, em parceria com o setor privado no meio dos ataques ao Exchange Server pelo HAFNIUM no início deste ano, estabeleceu um novo padrão para colaboração relacionada a incidentes.
Em segundo lugar, os governos em todo o mundo estão introduzindo e aprovando novas leis que exigem coisas como denúncias obrigatórias quando as organizações descobrem ataques cibernéticos, para que as agências governamentais apropriadas tenham um senso do escopo do problema e possam investigar incidentes usando seus recursos.
Em terceiro lugar, tanto os governos como as empresas estão se apresentando de forma voluntária quando são vítimas de ataques. Esta transparência ajuda todos a entender melhor o problema e permite um maior engajamento do governo e das equipes de resposta imediata.
As tendências são claras: os Estados-nação estão cada vez mais usando, e continuarão a usar, ataques cibernéticos para quaisquer que sejam seus objetivos políticos, seja espionagem, interrupções ou destruição. Prevemos que mais países se juntarão à lista daqueles que se envolvem em operações cibernéticas ofensivas e que estas operações se tornarão mais descaradas, persistentes e prejudiciais, a menos que haja consequências mais graves. E o mercado de crimes cibernéticos continuará a se tornar mais sofisticado e mais especializado, a menos que todos nós desenvolvamos nosso trabalho para impedi-los. Mais trabalho do que nunca está em andamento para lidar com estas preocupações, mas precisaremos garantir que elas permaneçam como prioridade nas agendas nacionais e internacionais nos próximos anos.
