A Microsoft acaba de divulgar os resultados do Relatório de Defesa Digital, onde revela que as fraudes de suporte técnico dispararam 400% desde 2022. Com base em mais de 78 mil milhões de sinais de segurança diários, o estudo cobre as tendências entre julho de 2023 e junho de 2024 em matéria de ameaças como as operações de ciberinfluência, o estado do cibercrime, o aumento dos ciberataques entre Estados-nação e partilha recomendações sobre como reforçar a defesa digital.
De acordo com o relatório, embora os ataques de Estados-nação continuem a ser uma preocupação, também o são os ciberataques motivados financeiramente. No último ano, a Microsoft observou um aumento significativo no volume de fraudes de suporte técnico, com a frequência diária a subir de 7 mil em 2023 para 100 mil em 2024. Mais de 70% da infraestrutura maliciosa esteve ativa por menos de duas horas, o que significa que podem desaparecer antes mesmo de serem detetadas.
Paralelamente, a Microsoft observou um aumento de 2,75 vezes ano após ano nos ataques de ransomware. No entanto, houve uma redução de três vezes nos ataques de resgate que atingiram a fase de encriptação. As técnicas de acesso inicial mais prevalentes continuam a ser a engenharia social, especificamente phishing por email, SMS e voz, mas também o comprometimento de identidade e a exploração de vulnerabilidades em aplicações públicas ou sistemas operativos não atualizados.
Atores afiliados ao Estado estão a utilizar cada vez mais os cibercriminosos e as suas ferramentas
Ao longo do último ano, a Microsoft identificou atores dos Estados-nação a realizar operações para obter ganhos financeiros, ao recrutar cibercriminosos para recolher informações, particularmente sobre o exército ucraniano, e a utilizar o mesmo malware, framework de comando e controlo, e outras ferramentas adotadas pelos cibercriminosos:
- Atores de ameaças russos parecem ter terceirizado algumas das suas operações de ciberespionagem para outros grupos, especialmente operações que visam a Ucrânia. Em junho de 2024, um grupo de cibercrime utilizou malware comum para comprometer pelo menos 50 dispositivos militares ucranianos.
- Atores dos Estados-nação iranianos usaram ransomware numa operação de influência, comercializando dados roubados de um site de encontros israelita e sugerindo a remoção de perfis do seu repositório de dados por uma taxa.
- Um novo ator norte-coreano desenvolveu uma variante personalizada de ransomware chamada FakePenny, que foi implantada em organizações dos setores aeroespacial e de defesa após a exfiltração de dados das redes afetadas, demonstrando motivações tanto de recolha de inteligência como de monetização.
Já sobre as ferramentas adotadas, a Microsoft observou tanto atores de ameaças de Estados-nação, como cibercriminosos, a experimentar a Inteligência Artificial (IA). Tal como esta tecnologia é cada vez mais utilizada para ajudar as pessoas a serem mais eficientes, os atores de ameaças estão a aprender como podem usar a IA para atingir as vítimas. Nas operações de influência, os atores afiliados à China preferem imagens geradas por IA, enquanto os atores afiliados à Rússia utilizam IA focada em áudio em vários meios. No entanto, não foi observado que este conteúdo seja eficaz em influenciar audiências.
Atividades de Estados-nação fortemente concentradas em locais de conflito militar ativo ou tensão regional
Além dos Estados Unidos e do Reino Unido, a maior parte da atividade cibernética afiliada a Estados-nação estava concentrada em Israel, Ucrânia, Emirados Árabes Unidos e Taiwan, com Portugal a aparecer na 25ª posição dos países europeus. Além disso, o Irão e a Rússia têm utilizado tanto a guerra entre a Rússia e a Ucrânia, como o conflito entre Israel e Hamas, para espalhar mensagens enganosas ou que promovem a divisão através de campanhas de propaganda que estendem a sua influência para além das fronteiras geográficas das zonas de conflito, demonstrando a natureza globalizada da guerra híbrida.
De acordo com o relatório, aproximadamente 75% dos alvos russos estavam na Ucrânia ou num Estado-membro da NATO, enquanto Moscovo procurava recolher informações sobre as políticas do Ocidente em relação à guerra. Por sua vez, os esforços de direcionamento dos atores de ameaças chineses permaneceram semelhantes aos dos últimos anos em termos de geografias visadas, com foco em Taiwan, bem como em países do Sudeste Asiático. Enquanto o Irão colocou um foco significativo em Israel, especialmente após o início da guerra entre Israel e Hamas, visando também os EUA e os países do Golfo, incluindo os Emirados Árabes Unidos e o Bahrein, em parte devido à normalização das suas relações com Israel e à perceção de Teerão de que estão a apoiar os esforços de guerra de Israel.
Rússia, Irão e China concentrados nas eleições dos EUA
A Rússia, o Irão e a China têm utilizado questões geopolíticas em curso para gerar discórdia em questões internas sensíveis nos EUA, procurando influenciar o público norte-americano a favor de um partido ou candidato em detrimento de outro, ou degradar a confiança nas eleições como fundamento da democracia. Conforme relatado pela Microsoft, o Irão e a Rússia têm sido os mais ativos, e esperam que esta atividade continue a acelerar nas próximas duas semanas antes das eleições dos EUA.
Além disso, a Microsoft observou um aumento nos domínios homóglifos relacionados com as eleições ou links falsos, que correspondem a ataques de phishing e malware, tanto motivados por lucro, como de reconhecimento por ameaças de atores dos Estados-nação com objetivos políticos. Atualmente, a tecnológica está a monitorizar mais de 10 mil homóglifos para detetar possíveis imitações e com isso garantir que não está a hospedar infraestruturas maliciosas.
Colaboração continua a ser crucial para fortalecer a cibersegurança
Com mais de 600 milhões de ataques por dia direcionados apenas aos clientes da Microsoft, deve haver uma pressão contrária para reduzir o número total de ataques online. A dissuasão eficaz pode ser alcançada de duas maneiras: pela negação de intrusões ou pela imposição de consequências para comportamentos maliciosos. A Microsoft continua a fazer a sua parte para reduzir as intrusões e comprometeu-se a tomar medidas para proteger a si mesma e aos seus clientes através da Secure Future Initiative.
Embora a indústria deva fazer mais para negar os esforços dos atacantes através de uma melhor cibersegurança, isso precisa ser combinado com a ação governamental para impor consequências que desencorajem ainda mais os ciberataques mais prejudiciais. O sucesso só pode ser alcançado combinando defesa com dissuasão. Nos últimos anos, tem-se dado particular atenção ao desenvolvimento de normas internacionais de conduta no ciberespaço. No entanto, essas normas até agora carecem de consequências significativas para a sua violação, e os ataques de Estados-nação não foram dissuadidos, aumentando em volume e agressividade. Para mudar o campo de jogo, será necessário um esforço consciente e comprometido tanto do setor público quanto do privado, para que os atacantes deixem de ter vantagem.
Para mais informações, consulte o blog de Tom Burt – Corporate Vice President, Customer Security & Trust ou o relatório completo.