Por Tom Burt, vice-presidente corporativo de clientes, segurança e confiança da Microsoft Corp
Em 23 de fevereiro de 2022, o mundo da cibersegurança entrou em uma nova era, a era da guerra híbrida, quando a Rússia lançou ataques físicos e digitais contra a Ucrânia. O Relatório de Defesa Digital da Microsoft deste ano fornece novos detalhes sobre esses ataques e sobre o aumento da agressão cibernética vinda de líderes autoritários em todo o mundo.
Durante o ano passado, os ciberataques direcionados à infraestrutura crítica saltaram de 20% para 40% de todos os ataques oriundos de estados-nação detectados pela Microsoft. Esse aumento deveu-se, em grande parte, ao objetivo da Rússia de danificar a infraestrutura ucraniana e à agressiva espionagem direcionada aos aliados da Ucrânia, incluindo os Estados Unidos. A Rússia também acelerou suas tentativas de comprometer as empresas de TI como uma maneira de interromper as operações ou obter informações dos clientes das agências governamentais dessas empresas nos países membros da OTAN. 90% dos ataques russos detectados no ano passado tinham como alvo os estados membros da OTAN, e 48% desses ataques tinham como alvo empresas de TI sediadas em países da OTAN.
A Rússia não estava sozinha em associar agressões políticas e físicas aos ataques cibernéticos.
- Atores iranianos intensificaram ataques ousados após uma transição do poder presidencial. Eles lançaram ataques destrutivos direcionados à Israel, e operações de ransomware e hack-and-leak contra adversários regionais para vítimas dos EUA e da UE, incluindo alvos críticos de infraestrutura dos EUA, como autoridades portuárias. Em pelo menos um caso, a Microsoft detectou um ataque disfarçado de ataque de ransomware que tinha a intenção de apagar dados israelenses. Em outro, um ator iraniano executou um ataque que disparou sirenes de um foguete de emergência em Israel.
- Enquanto a Coreia do Norte embarcava em seu período mais agressivo de testes de mísseis no primeiro semestre de 2022, um de seus atores lançou uma série de ataques para roubar tecnologias de empresas aeroespaciais e de pesquisadores em todo o mundo. Outro ator norte-coreano trabalhou para ter acesso a organizações de notícias globais que atuam no país, bem como acesso a grupos cristãos. E ainda assim, um terceiro ator continuou com as tentativas, muitas vezes sem sucesso, de invadir empresas de criptomoedas para roubar fundos em apoio à economia em dificuldades do país.
- A China aumentou seus ciberataques de roubo de informações e espionagem na busca de exercer uma maior influência regional sobre o Sudeste Asiático e combater o crescente interesse dos Estados Unidos. Em fevereiro e março, um ator chinês teve como alvo 100 contas afiliadas a uma proeminente organização intergovernamental no Sudeste Asiático, quando a organização anunciou uma reunião entre o governo dos Estados Unidos e líderes regionais. Logo após a China e as Ilhas Salomão assinarem um acordo militar, a Microsoft detectou malware de um ator chinês nos sistemas do governo das Ilhas Salomão. A China também usou suas capacidades cibernéticas em campanhas voltadas para nações do hemisfério sul, como a Namíbia, Ilhas Maurício e Trinidad e Tobago, entre outras.
Muitos dos ataques oriundos da China são alimentados por sua capacidade de encontrar e compilar “vulnerabilidades de zero-day” – vulnerabilidades únicas não reparadas em softwares e não conhecidas anteriormente pela comunidade de segurança. A coleção chinesa dessas vulnerabilidades parece ter aumentado na esteira de uma nova lei que exige que as entidades na China reportem vulnerabilidades que descobrem ao governo, antes de compartilhá-las com outros.
Embora seja tentador focar nos ataques de Estados-nação como a atividade cibernética mais interessante do ano passado, seria um erro ignorar outras ameaças, especialmente aqueles cibercrimes que impactam mais usuários no ecossistema digital do que as atividades dos Estados-nação.
Cibercriminosos continuam a agir como empresas sofisticadas que buscam lucro
O cibercrime continua a aumentar conforme a industrialização da economia do cibercrime reduz a barreira de habilidades para a entrada, proporcionando maior acesso a ferramentas e infraestrutura. Só no último ano, o número estimado de ataques de senhas por segundo aumentou 74%. Muitos desses ataques alimentaram ataques de ransomware, levando a mais do que o dobro de exigências de resgate. No entanto, esses ataques não foram espalhados uniformemente por todas as regiões. Na América do Norte e na Europa, observamos uma queda no número total de casos de ransomware relatados às nossas equipes de resposta, em comparação com 2021. Ao mesmo tempo, os casos notificados na América Latina aumentaram. Também observamos um aumento constante ano a ano no número de e-mails de phishing. Embora temas como a COVID-19 tenham sido menos prevalentes do que em 2020, a guerra na Ucrânia tornou-se uma nova isca de phishing a partir do início de março de 2022. Pesquisadores da Microsoft observaram um aumento impressionante de e-mails se passando por organizações legítimas solicitando doações de criptomoedas em Bitcoin e Ethereum, supostamente para apoiar cidadãos ucranianos.
Atores estrangeiros estão usando técnicas altamente eficazes – muitas vezes espelhando ataques cibernéticos – para permitir que a influência da propaganda reduza a confiança e impacte a opinião pública – tanto interna como internacionalmente.
As operações de influência são uma nova seção do nosso relatório este ano, como resultado de nossos novos investimentos em análise e ciência de dados abordando essa ameaça. Observamos como a Rússia tem trabalhado duro para convencer seus cidadãos, e os cidadãos de muitos outros países, de que sua invasão da Ucrânia foi justificada – ao mesmo tempo em que semeia propaganda desacreditando as vacinas de COVID no Ocidente e promovendo sua eficácia internamente. Também observamos uma sobreposição crescente entre essas operações e os ciberataques. Em particular, as operações de influência usam uma abordagem familiar de três etapas:
- Operações de influência cibernética pré-posicionam falsas narrativas no domínio público, como invasores pré-posicionam malware dentro da rede de computadores de uma organização.
- Uma campanha coordenada é lançada – muitas vezes na época mais benéfica para alcançar os objetivos do ator – para propagar narrativas por meio de veículos de comunicação e redes sociais apoiados pelo governo.
- Uma mídia estatal e proxies amplificam narrativas dentro de públicos direcionados.
Essa abordagem de três etapas foi aplicada no final de 2021, por exemplo, para apoiar a falsa narrativa russa em torno de supostas armas biológicas e laboratórios biológicos na Ucrânia. Além da Rússia, observamos outras nações, incluindo China e Irã, implantando operações de propaganda para estender sua influência global em uma série de questões.
Boas práticas de higiene cibernética continuam sendo a melhor defesa, enquanto a nuvem fornece a melhor segurança física e lógica contra os ciberataques
O relatório deste ano inclui ainda mais recomendações sobre como as pessoas e as organizações podem se proteger de ataques. A melhor coisa que as pessoas podem fazer é prestar atenção aos pontos básicos – permitir a autenticação multifator, aplicar patches de segurança, definir corretamente quem tem acesso privilegiado aos sistemas e implantar soluções de segurança modernas de qualquer provedor líder de mercado. As empresas têm em média 3.500 dispositivos conectados que não são protegidos por proteções básicas para ponto de extremidade, e os atacantes aproveitam esse fato. Também é fundamental detectar os ataques precocemente. Em muitos casos, o resultado de um ciberataque é determinado muito antes do ataque começar. Os atacantes usam ambientes vulneráveis para obter acesso inicial, realizam uma vigilância e causam estragos por movimentos laterais, criptografia ou exfiltração. Finalmente, como o relatório deste ano destaca, não podemos ignorar o aspecto humano. Temos uma escassez de profissionais de segurança – um problema que precisa ser enfrentado pelos setores privado e público – e as organizações precisam incluir segurança como parte de suas culturas.
