Imagem mostra pessoas em um ambiente com luzes de led

Espionagem potencializa ataques cibernéticos globais

*Por Tom Burt – vice-presidente corporativo de Segurança e Confiança do Cliente

No ano passado, os ataques cibernéticos atingiram 120 países, alimentados por espionagem patrocinada pelo governo e com o aumento das operações de influência (IO). Quase metade desses ataques teve como alvo os Estados-membros da OTAN, e mais de 40% foram contra organizações governamentais ou do setor privado envolvidas na construção e manutenção de infraestruturas críticas. Embora as manchetes sobre ataques cibernéticos no ano passado tenham sido frequentemente focadas na destruição ou no ganho financeiro com ransomware, os dados mostram que a motivação predominante voltou a ser o desejo de roubar informações, monitorar secretamente a comunicação ou manipular o que as pessoas leem. Por exemplo:

  • As agências de inteligência russas redirecionaram seus ataques cibernéticos para atividades de espionagem em apoio à guerra contra a Ucrânia, enquanto continuam os ataques cibernéticos destrutivos na Ucrânia e os esforços de espionagem mais amplos.
  • Os esforços iranianos, antes focados em derrubar as redes de seus alvos, também estão inclinados hoje a amplificar mensagens manipuladoras para promover objetivos geopolíticos ou explorar dados que circulam por redes confidenciais.
  • A China expandiu seu uso de campanhas de espionagem para obter inteligência para alimentar sua Iniciativa Cinturão e Rota ou política regional, para espionar os EUA, incluindo instalações-chave para os militares dos EUA, e para estabelecer acesso às redes de entidades de infraestrutura crítica.
  •  Já os norte-coreanos têm tentado roubar informações confidenciais secretamente. Eles visaram uma empresa envolvida em tecnologia submarina, enquanto separadamente usavam ataques cibernéticos para roubar centenas de milhões em criptomoedas.

Esses são alguns dos insights do quarto Relatório Anual de Defesa Digital da Microsoft, que cobre tendências entre julho de 2022 e junho de 2023 em atividades de Estado-nação, crimes cibernéticos e técnicas de defesa.

Mais países, setores sob ataque

Embora os EUA, a Ucrânia e Israel continuem sendo os países mais atacados, o último ano viu um aumento no escopo global de ataques. Este é particularmente o caso no Hemisfério Sul, especialmente na América Latina e na África Subsaariana. O Irã aumentou suas operações no Oriente Médio. As organizações envolvidas na formulação e execução de políticas estavam entre as mais visadas, em linha com a mudança de foco para a espionagem.

Rússia e China aumentam foco em comunidades de diáspora (pessoas das respectivas pátrias que vivem em outros países)

Tanto a Rússia quanto a China estão aumentando o escopo de suas operações de influência contra uma variedade de diásporas. A Rússia pretende intimidar as comunidades ucranianas globais e semear a desconfiança entre refugiados de guerra e comunidades de acolhimento em uma série de países, especialmente a Polônia e os países bálticos. Em contraste, a China implanta uma vasta rede de contas coordenadas em dezenas de plataformas para espalhar propaganda secreta. Estes visam diretamente as comunidades globais de língua chinesa e outras, difamando as instituições dos EUA e promovendo uma imagem positiva da China através de centenas de influenciadores de estilo de vida multilíngues.

Convergência de operações de influência (OI) com ataques cibernéticos

Os atores do Estado-nação estão empregando mais frequentemente a OI ao lado de operações cibernéticas para espalhar narrativas de propaganda que os favoreçam. Estes visam manipular a opinião nacional e global para minar as instituições democráticas dentro das nações adversárias percebidas – mais perigosamente nos contextos de conflitos armados e eleições nacionais. Por exemplo, após a invasão da Ucrânia, a Rússia cronometrou consistentemente suas OI com ataques militares e cibernéticos. Da mesma forma, em julho e setembro de 2022, o Irã realizou ataques cibernéticos destrutivos contra o governo albanês com uma campanha de influência coordenada que ainda está em andamento.

Tendências por Estado-nação

Embora tenha havido um aumento geral na atividade de ameaças, foram observadas tendências com os atores mais ativos do Estado-nação.

  • Rússia mira aliados da Ucrânia na Otan
    Os atores estatais russos expandiram suas atividades relacionadas à Ucrânia para atingir os aliados de Kiev, principalmente os membros da Otan. Em abril e maio de 2023, a Microsoft observou um aumento na atividade contra organizações ocidentais, 46% das quais em países membros da Otan, particularmente Estados Unidos, Reino Unido e Polônia. Vários atores estatais russos se passaram por diplomatas ocidentais e autoridades ucranianas, tentando acessar a conta. O objetivo era obter informações sobre a política externa ocidental sobre a Ucrânia, planos e intenções de defesa e investigações de crimes de guerra.
  • China mira defesa dos EUA, nações do Mar do Sul da China e parceiros da Iniciativa Belt and Road (Iniciativa Cinturão e Rota)As atividades ampliadas e sofisticadas da China refletem  suas duplas buscasde influência global e coleta de inteligência. Seus alvos  mais comuns são a defesa e a infraestrutura crítica dos EUA, as nações que fazem fronteira com o Mar do Sul da China (especialmente Taiwan) e até mesmo os próprios parceiros estratégicos da China. Além dos múltiplos ataques sofisticados à infraestrutura dos EUA detalhados no relatório, a Microsoft também viu atores baseados na China atacarem parceiros da Iniciativa Belt and Road, como Malásia, Indonésia e Cazaquistão.
  • Irã traz novos ataques à África, América Latina e Ásia
    O ano passado viu alguns atores estatais iranianos aumentarem a complexidade de seus ataques. O Irã não apenas mirou países ocidentais que acredita estarem fomentando distúrbios dentro do Irã, mas também expandiu seu alcance geográfico para incluir mais países asiáticos, africanos e latino-americanos. Na frente da OI, o Irã promoveu narrativas que buscam reforçar a resistência palestina, semear o pânico entre os cidadãos israelenses, fomentar a agitação xiita nos países árabes do Golfo e combater a normalização dos laços árabe-israelenses. O Irã também tem feito esforços para aumentar a coordenação de suas atividades com a Rússia.
  • Coreia do Norte mira organizações russas, entre outras
    A Coreia do Norte aumentou a sofisticação de suas operações cibernéticas no último ano, especialmente em roubo de criptomoedas e ataques à cadeia de suprimentos. Além disso, a Coreia do Norte está usando e-mails de spear-phishing e perfis no LinkedIn para atingir especialistas da península coreana em todo o mundo para coletar informações. Apesar do recente encontro entre Putin e Kim Jong-Un, a Coreia do Norte está mirando a Rússia, especialmente para energia nuclear, defesa e coleta de informações políticas do governo.

IA cria novas ameaças – e novas oportunidades de defesa

Os cibercriminosos já estão usando a IA como arma para refinar mensagens de phishing e melhorar as operações de influência com imagens sintéticas. Mas a IA também será crucial para o sucesso da defesa, automatização e aumento de aspectos de segurança cibernética, como detecção, resposta, análise e previsão de ameaças. A IA também pode permitir que grandes modelos de linguagem (LLMs) gerem insights e recomendações de linguagem natural a partir de dados complexos, ajudando a tornar os analistas mais eficazes e responsivos.

Já estamos vendo a defesa cibernética alimentada por IA revertendo a maré de ataques cibernéticos; na Ucrânia, por exemplo, a IA ajudou o país a se defender da Rússia.

À medida que a IA transformadora remodela muitos aspectos da sociedade, devemos nos envolver em práticas de IA responsável cruciais para manter a confiança e a privacidade do usuário, e para criar benefícios de longo prazo. Os modelos de IA generativa exigem que evoluamos as práticas de segurança cibernética e os modelos de ameaças para enfrentar novos desafios, como a criação de conteúdo realista – incluindo texto, imagens, vídeo e áudio – que pode ser usado por agentes de ameaças para espalhar desinformação ou criar código malicioso. Para nos mantermos à frente dessas ameaças emergentes, continuamos comprometidos em garantir que todos os nossos produtos e serviços de IA sejam desenvolvidos e usados de uma maneira que respeite nossos princípios de IA.

O estado do cibercrime

O jogo de gato e rato entre cibercriminosos e defensores continua evoluindo. Embora os grupos de ameaças tenham acelerado significativamente o ritmo de seus ataques no último ano, as proteções integradas em todos os produtos da Microsoft bloquearam dezenas de bilhões de ameaças de malware, frustraram 237 bilhões de tentativas de ataque de senha de força bruta e mitigaram 619 mil ataques distribuídos de negação de serviço (DDoS) que visam desativar um servidor, serviço ou rede, sobrecarregando-o com uma enxurrada de tráfego de internet.

Os criminosos também estão procurando aumentar seu anonimato e eficácia, usando criptografia remota para cobrir seus rastros de forma mais eficaz, bem como ferramentas baseadas em nuvem, como máquinas virtuais. Mas parcerias privadas e públicas mais fortes significam que elas estão cada vez mais na mira da aplicação da lei. Por exemplo, o operador de ransomware conhecido como Target foi eliminado, e prisões e acusações foram feitas com sucesso. Mas os criminosos continuam procurando os pontos de entrada mais fáceis para os sistemas e é necessário um esforço contínuo e acelerado para ficar um passo à frente deles.

Ataques de ransomware aumentam em sofisticação e velocidade

A telemetria da Microsoft indica que as organizações viram os ataques de ransomware operados por humanos aumentarem 200% desde setembro de 2022. Esses ataques são geralmente um tipo de ataque “mão na massa” em vez de um ataque automatizado, geralmente visando uma organização inteira com pedidos de resgate personalizados.

Os invasores também estão desenvolvendo ataques para minimizar seus rastros, com 60% usando criptografia remota, tornando a correção baseada em processos ineficaz.

Esses ataques também são notáveis pela forma como tentam obter acesso a dispositivos não gerenciados ou próprios. Mais de 80% de todos os comprometimentos que observamos têm origem nesses dispositivos não gerenciados. Os operadores de ransomware estão explorando cada vez mais vulnerabilidades em softwares menos comuns, tornando mais difícil prever e se defender contra ataques.

Os cibercriminosos também ameaçam divulgar informações roubadas para pressionar as vítimas e extrair o pagamento. Desde novembro de 2022, observamos uma duplicação de potenciais instâncias de exfiltração de dados depois que os agentes de ameaças comprometeram um ambiente. Mas nem todo roubo de dados está associado a ransomware, já que ele pode ser feito também para coleta de credenciais ou espionagem do Estado-nação.

Ataquesque exploram a fraqueza das senhas e a falta de uso de autenticação (MFA) disparam

MFA é o método de autenticação cada vez mais comum que exige que os usuários forneçam dois ou mais “fatores” de identificação para obter acesso a um site ou aplicativo – como uma senha junto com reconhecimento facial ou uma senha única. Embora a implantação do MFA seja uma das defesas mais fáceis e eficazes que as organizações podem adotar contra ataques, reduzindo o risco de comprometimento em 99,2%, os agentes de ameaças estão cada vez mais aproveitando a “fadiga do MFA”, ou seja, quando os usuários são sobrecarregados com solicitações frequentes de MFA, como códigos de verificação por SMS, notificações de aplicativos móveis ou tokens de hardware. Eles fazem isso para bombardear os usuários com notificações de MFA na esperança de que eles finalmente aceitem e forneçam acesso.

A Microsoft observou aproximadamente 6.000 tentativas de fadiga de MFA por dia no ano passado. Além disso, o primeiro trimestre de 2023 viu um aumento dramático de dez vezes nos ataques baseados em senhas contra identidades de nuvem, especialmente no setor de educação, de cerca de 3 bilhões por mês para mais de 30 bilhões – uma média de 4.000 ataques de senha por segundo visando identidades de nuvem da Microsoft este ano.

A única maneira segura de se proteger será por meio de uma defesa coletiva

A escala e a natureza das ameaças descritas no Relatório de Defesa Digital da Microsoft podem parecer desanimadoras. Mas grandes avanços estão sendo feitos na frente tecnológica para derrotar esses cibercriminosos. No paralelo, estão sendo criadas parcerias fortes que transcendem fronteiras, indústrias e a divisão público-privado. Estas parcerias estão tendo cada vez mais sucesso em garantir mais segurança e é por isso que é vital continuarmos expandindo e aprofundando estas iniciativas.. Cerca de 75% dos cidadãos elegíveis em nações democráticas têm a oportunidade de votar no próximo ano e meio. Manter as eleições seguras e as instituições democráticas fortes é um dos pilares da nossa defesa coletiva.