Por Tom Burt, vice-presidente corporativo de Segurança e Confiança do Cliente
Os clientes da Microsoft enfrentam mais de 600 milhões de ataques de cibercriminosos e de agentes estatais todos os dias, variando de ransomware a phishing e ataques de identidade. Novamente, agentes de ameaças afiliados a Estados demonstraram que as operações cibernéticas – seja para espionagem, destruição ou influência – desempenham um papel de apoio persistente em conflitos geopolíticos mais amplos. Alimentando também a escalada dos ataques cibernéticos, estamos vendo evidências crescentes do conluio de gangues de crimes cibernéticos com grupos de ligados a Estados compartilhando ferramentas e técnicas.
Devemos encontrar uma maneira de conter a maré dessa atividade cibernética maliciosa. Isso inclui continuar a fortalecer nossos domínios digitais para proteger nossas redes, dados e pessoas em todos os níveis. No entanto, esse desafio não será cumprido apenas com a execução de uma lista de medidas de higiene cibernética puramente, mas somente com o foco e o compromisso com os fundamentos da defesa cibernética, desde o usuário individual até o executivo corporativo e os líderes governamentais.
Esses são alguns dos insights do quinto Digital Defense Report, que abrange tendências entre julho de 2023 e junho de 2024.
Atores afiliados a Estados estão usando cada vez mais cibercriminosos e suas ferramentas.
No ano passado, a Microsoft observou atores estatais conduzindo operações para obter ganhos financeiros, recrutando cibercriminosos para coletar informações, principalmente sobre os militares ucranianos, e fazer uso dos mesmos ladrões de informações, estruturas de comando e controle e outras ferramentas preferidas pela comunidade cibercriminosa. Especificamente:
- Os agentes de ameaças russos parecem ter terceirizado algumas de suas operações de ciberespionagem para grupos criminosos, especialmente operações direcionadas à Ucrânia. Em junho de 2024, um grupo suspeito de crimes cibernéticos usou malware de commodities para comprometer pelo menos 50 dispositivos militares ucranianos.
- Atores estatais iranianos usaram ransomware em uma operação de influência cibernética, comercializando dados roubados de sites de namoro israelenses. Eles se ofereceram para remover perfis individuais específicos de seu repositório de dados por uma taxa.
- A Coreia do Norte está entrando no jogo do ransomware. Um ator norte-coreano recém-identificado desenvolveu uma variante de ransomware personalizada chamada FakePenny, que foi implantada em organizações no setor aeroespacial e de defesa após extrair dados das redes afetadas, demonstrando motivações de coleta de inteligência e monetização.
A atividade de agentes estatais estava fortemente concentrada em torno de locais de conflito militar ativo ou tensão regional
Além dos Estados Unidos e do Reino Unido, a maior parte da atividade de ameaças cibernéticas afiliadas a Estados que observamos concentrou-se em Israel, Ucrânia, Emirados Árabes Unidos e Taiwan. Além disso, o Irã e a Rússia usaram a guerra Rússia-Ucrânia e o conflito Israel-Hamas para espalhar mensagens divisivas e enganosas por meio de campanhas de propaganda que estendem sua influência além dos limites geográficos das zonas de conflito, demonstrando a natureza globalizada da guerra híbrida.
- Aproximadamente 75% dos alvos russos estavam na Ucrânia ou em um Estado membro da Otan, já que Moscou busca coletar informações sobre as políticas do Ocidente na guerra.
- Os esforços de segmentação dos agentes de ameaças chineses permanecem semelhantes aos dos últimos anos em termos de geografias visadas – Taiwan sendo o foco, bem como países do Sudeste Asiático – e intensidade de segmentação por local.
- O Irã colocou um foco significativo em Israel, especialmente após a eclosão da guerra Israel-Hamas. Os atores iranianos continuaram a atacar os EUA e os países do Golfo, incluindo os Emirados Árabes Unidos e o Bahrein, em parte por causa da normalização dos laços com Israel e da percepção de Teerã de que ambos estão permitindo os esforços de guerra de Israel.
Rússia, Irã e China se concentram nas eleições dos Estados Unidos (EUA)
Rússia, Irã e China usaram questões geopolíticas em andamento para gerar discórdia em questões domésticas sensíveis que antecederam a eleição dos EUA, buscando influenciar o público nos EUA para um partido ou candidato em detrimento de outro, ou para degradar a confiança nas eleições como base da democracia. Como relatamos, o Irã e a Rússia têm sido os mais ativos e esperamos que essa atividade continue a acelerar nas próximas duas semanas antes das eleições nos EUA.
Além disso, a Microsoft observou um aumento nos domínios homóglifos – que utilizam caracteres semelhantes para confundir – relacionados às eleições – ou links falsificados – que entregam cargas úteis de phishing e malware. Acreditamos que esses domínios são exemplos de atividades cibercriminosas impulsionadas pelo lucro e de reconhecimento por agentes de ameaças estatais em busca de objetivos políticos. Atualmente, estamos monitorando mais de 10 mil homóglifos para detectar possíveis representações. Nosso objetivo é garantir que a Microsoft não esteja hospedando infraestrutura mal-intencionada e informar os clientes que possam ser vítimas de tais ameaças de representação.
O cibercrime e a fraude com motivação financeira continuam sendo uma ameaça persistente
Embora os ataques a Estados continuem a ser uma preocupação, os ataques cibernéticos com motivação financeira também são relevantes. No ano passado, a Microsoft observou:
- Um aumento de 2,75 vezes em um ano nos ataques de ransomware. No entanto, que houve uma diminuição de três vezes nos ataques deste tipo que atingiram o estágio de criptografia. As técnicas de acesso inicial mais prevalentes continuam sendo a engenharia social, especificamente phishing por e-mail, SMS e voz
- Os golpes de tecnologia dispararam 400% desde 2022. No ano passado, a Microsoft observou um aumento significativo no tráfego de golpes de tecnologia, com a frequência diária subindo de 7 mil em 2023 para 100 mil em 2024. Mais de 70% da infraestrutura maliciosa ficou ativa por menos de duas horas, o que significa que eles podem ter desaparecido antes mesmo de serem detectados. Essa rápida taxa de rotatividade ressalta a necessidade de medidas de segurança cibernética mais ágeis e eficazes.
Os agentes de ameaças estão experimentando a IA generativa
No ano passado, começamos a ver agentes de ameaças – tanto cibercriminosos quanto estatais – experimentando IA. Assim como a IA é cada vez mais usada para ajudar as pessoas a serem mais eficientes, os agentes de ameaças estão aprendendo como podem usar as eficiências da IA para atingir as vítimas. Com operações de influência, os atores afiliados à China favorecem imagens geradas por IA, enquanto os atores afiliados à Rússia usam IA focada em áudio em todos os meios. Até agora, não observamos esse conteúdo sendo eficaz em influenciar o público.
Mas a história da IA e da segurança cibernética também é potencialmente otimista. Embora ainda esteja em seus primeiros dias, a IA mostrou seus benefícios para os profissionais de segurança cibernética, agindo como uma ferramenta para ajudar a responder em uma fração do tempo que uma pessoa levaria para processar manualmente uma infinidade de alertas, arquivos de código malicioso e análise de impacto correspondente. Continuamos a inovar nossa tecnologia para encontrar novas maneiras pelas quais a IA pode beneficiar e fortalecer a segurança cibernética.
A colaboração continua sendo crucial para fortalecer a segurança cibernética.
Com mais de 600 milhões de ataques por dia direcionados apenas aos clientes da Microsoft, deve haver uma pressão contrária para reduzir o número total de ataques online. A dissuasão eficaz pode ser alcançada de duas maneiras: pela negação de intrusões ou pela imposição de consequências para comportamentos maliciosos. A Microsoft continua a fazer nossa parte para reduzir as invasões e se comprometeu a tomar medidas para proteger a nós mesmos e nossos clientes por meio de nossa Iniciativa Futuro Seguro.
Embora a indústria deva fazer mais para combater os esforços dos invasores por meio de uma melhor segurança cibernética, isso precisa ser combinado com a ação do governo para impor consequências que desencorajem ainda mais os ataques cibernéticos mais prejudiciais. O sucesso só pode ser alcançado combinando defesa com dissuasão. Nos últimos anos, muita atenção tem sido dada ao desenvolvimento de normas internacionais de conduta no ciberespaço. No entanto, essas normas até agora carecem de consequências significativas para sua violação, e os ataques de Estados não foram intimidados, aumentando em volume e agressão. Para mudar o campo de jogo, será necessária consciência e comprometimento dos setores público e privado para que os invasores não tenham mais a vantagem.
A Microsoft continua a compartilhar informações importantes sobre ameaças com a comunidade, incluindo nossa recente pesquisa Cyber Signals que analisa os riscos cibernéticos no setor educacional.