Ataques de ransomware aumentam 19% com geopolítica a influenciar atividade dos cibercriminosos: Rússia, China, Coreia do Norte e Irão têm os atores de ameaças mais proeminentes patrocinados por estados

O número total de casos de ransomware no último mês foi 19% superior ao anterior, registando 486 ataques. O grupo RansomHub manteve-se no topo, responsável por 14% dos ataques entre os 10 principais atores de ameaças. O setor industrial continua a ser o mais visado, representando 30% dos ataques e demonstrando o foco contínuo dos atores de ameaças nas Infraestruturas Críticas Nacionais (CNI). América do Norte e Europa concentraram 76% de todos os casos a nível global. Eleições nos Estados Unidos motivaram a atividade de atores patrocinados pela Rússia, refletindo-se no aumento de ataques na região (de 233 para 272 casos).

O volume de ataques de ransomware registou no último mês um aumento global, tanto em relação ao anterior como ao mesmo período do ano passado. De acordo com o mais recente relatório da NCC Group, especialista mundial em cibersegurança e mitigação de riscos, houve um total de 486 ataques, um crescimento face aos 407 do mês anterior e aos 341 registados há um ano.

RansomHub continua no topo

O grupo RansomHub consolidou a sua posição como o ator de ameaças mais ativo do mês, com 68 ataques. Em outubro, registou-se um ataque significativo contra um operador aeroportuário mexicano responsável por 13 aeroportos em todo o país, forçando a adoção de sistemas de contingência. Este incidente destaca o impacto disruptivo que os ataques de ransomware podem ter nas Infraestruturas Críticas Nacionais (CNI) e as consequências reais que podem advir destes ataques. O Play manteve-se na segunda posição, com 53 ataques, seguido pelo Killsec com 34 ataques, e o Sarcoma, em quarto lugar, com 31 ataques.

América do Norte e Europa como principais alvos

A América do Norte permaneceu a região mais atacada, representando 56% dos ataques globais (272 casos), um aumento significativo face aos 233 registados em setembro. As eleições nos Estados Unidos motivaram a atividade de atores patrocinados pela Rússia, refletindo-se no aumento de ataques nesta região. A Europa surge em segundo lugar, com 20% dos ataques (97 casos). Na Ásia, registou-se um aumento notável, de 46 ataques em setembro para 68 em outubro, enquanto a América do Sul viu uma ligeira redução, passando de 21 para 20 ataques. Na Oceânia, os ataques subiram de 8 para 14, e África manteve-se estável, com 5 ataques em ambos os meses.

Setor industrial continua sob ataque constante

O setor industrial manteve-se como o mais visado, com um aumento de 45 ataques em relação a setembro, representando 30% (148) dos ataques em outubro. Estes números demonstram o foco contínuo dos atores de ameaças nas Infraestruturas Críticas Nacionais (CNI). O setor de bens de consumo não essenciais ficou em segundo lugar, com 100 ataques, seguido pelo setor da saúde, com 55 ataques.

Estados-nação – Principais atacantes patrocinados por Estados

Um ator de ameaça patrocinado por um estado-nação refere-se a um grupo que realiza atividades cibernéticas maliciosas, patrocinadas ou dirigidas por um governo. Estes grupos patrocinados por estados, também conhecidos como Advanced Persistent Threats (APTs), destacam-se pela sua sofisticação, sendo considerados os mais capazes e com mais recursos entre todos os tipos de agentes de ameaça. Os adversários cibernéticos patrocinados por estados tendem a ser movidos por objetivos de longo prazo, geralmente relacionados com uma ampla variedade de motivações políticas e económicas. Estes agentes utilizam uma ampla gama de ferramentas e técnicas para atingir os seus objetivos de longo prazo, incluindo:

  • Spear-Phishing: um ataque de phishing altamente direcionado, projetado para enganar indivíduos específicos, a fim de revelar ou permitir acesso a informações sensíveis. Pode incluir também a instalação de malware.
  • Zero-Day: exploração de vulnerabilidades anteriormente desconhecidas em software ou hardware, antes que os fornecedores possam emitir correções (patches).
  • Malware Avançado: malware personalizado, desenhado especificamente para evitar detecção e realizar tarefas específicas, como extração de dados ou interrupção de sistemas.
  • Ataques Watering Hole: comprometimento de sites frequentemente visitados pelos alvos, com o objetivo de entregar malware.
  • Engenharia Social: técnicas de manipulação psicológica e engano para induzir indivíduos a divulgar informações altamente confidenciais.

Atores de ameaças mais proeminentes patrocinados por estados e os seus principais objetivos:

  • Rússia: Foco principal em ciberespionagem sofisticada e operações de influência.
  • China: Especializa-se em ciberespionagem extensiva, visando propriedade intelectual e segredos governamentais.
  • Coreia do Norte: Operações cibernéticas maliciosas para financiar o regime, utilizando roubo e ransomware.
  • Irão: Espionagem cibernética e interrupções de sistemas.

O Relatório de Defesa Digital da Microsoft 2024, lançado em outubro, destaca várias tendências nas atividades de estados-nação no período de julho de 2023 a junho de 2024. Uma dessas tendências é o aumento da colaboração entre atores patrocinados por estados e outros grupos cibercriminosos, esbatendo cada vez mais a linha entre organizações criminosas organizadas (Organised Crime Groups – OCGs) e atividades APT.

Isto inclui o uso de ferramentas de OCGs por agentes patrocinados por estados, aumentando o foco em operações para ganho financeiro, bem como a utilização de capacidades de outros agentes para recolha de inteligência, por exemplo, informações sobre as forças armadas da Ucrânia por atores afiliados à Rússia.

A utilização de ferramentas e infraestruturas comuns, como infostealers e redes de comando e controlo (C2), oferece flexibilidade para atingir os objetivos estatais de forma rápida e eficaz.

Os agentes iranianos focaram-se em operações de influência, enquanto os norte-coreanos recorreram ao ransomware para recolha de inteligência e geração de fundos para o regime, tendo roubado mais de 3 mil milhões de dólares desde 2017.

Outro ponto relevante indica que grande parte da atividade de estados-nação concentrou-se em regiões com tensões ou conflitos militares ativos, como Taiwan, Ucrânia, Israel e Emirados Árabes Unidos.

Tanto a Rússia como o Irão utilizaram com sucesso os conflitos Rússia-Ucrânia e Israel-Hamas para espalhar desinformação, expandindo a sua influência para além das zonas de conflito, enquanto reforçam a natureza globalizada da guerra híbrida.

Os adversários afiliados à China continuam focados em Taiwan e outros países do Sudeste Asiático, intensificando os ataques em regiões estratégicas.

Uma última tendência observada é a tentativa de influenciar as eleições nos EUA, com a Rússia, o Irão e a China a procurarem influenciar a opinião pública em favor de determinados candidatos ou partidos, bem como desvalorizar a confiança no processo eleitoral como base da democracia.

No terceiro trimestre de 2024, observou-se um aumento no número de ataques a infraestruturas críticas a nível global, com destaque para a utilização intensificada de spear-phishing, exploits zero-day e implantações de malware. Este cenário reflete a crescente sofisticação e foco estratégico destes agentes. Atividades incluem:

  • APT29 e APT28 (Rússia): Utilizaram vulnerabilidades zero-day e n-day em iOS e Chrome para infiltrar redes governamentais.
  • APT41 e Earth Baku (China): Visaram infraestruturas críticas de redes, incluindo dispositivos como switches Cisco Nexus, para implantar malware avançado, como ShadowPad e VelvetShell.
  • Kimsuky e Lazarus (Coreia do Norte): Apostaram fortemente em spear-phishing e malware avançado, como MoonPeak e FPSpy, para espionagem cibernética.
  • Muddy Water e APT34 (Irão): Utilizaram engenharia social e malware personalizado, como BugSleep, para intensificar os ataques a infraestruturas críticas e governos no Médio Oriente.

Destaque: Ataque de ransomware à Casio pelo grupo Underground

No dia 8 de outubro de 2024, a Casio confirmou um ataque de ransomware pelo grupo Underground, resultando no acesso não autorizado e roubo de dados. O grupo Underground tem ligações ao grupo de cibercrime russo Storm-0978 (RomCom), suspeito de realizar ataques em nome do Estado russo.

A violação comprometeu informações pessoais de colaboradores, candidatos e parceiros comerciais, embora não tenham sido afetadas informações relacionadas com cartões de crédito nem serviços essenciais como o CASIO ID. O ataque causou interrupções nos sistemas e serviços, sobretudo no Japão, afetando o processamento de pedidos e envios.

Os atacantes utilizaram táticas de dupla extorsão, encriptando e extraindo dados para exigir um resgate. Embora o ponto de entrada exato continue desconhecido, é possível que tenham explorado vulnerabilidades como a CVE-2023-36884 no Microsoft Office. Este incidente sublinha a importância crítica de uma gestão atempada de patches para evitar este tipo de violações.

Matt Hull, Head of Threat Intelligence da NCC Group, destaca:

“Com eventos políticos de grande relevância em outubro, não é surpresa que estejamos a assistir a um aumento no volume global de atividades cibercriminosas. As motivações geopolíticas, como as eleições nos EUA, mostram que Estados-nação, como a Rússia, continuam a ter uma influência significativa no volume de ciberataques a nível global.”

“A ameaça constante ao setor industrial, como o mais visado, reforça a necessidade de vigilância contínua para proteger as Infraestruturas Críticas Nacionais (CNI).”

“Os dados mostram uma dinâmica crescente no panorama das ameaças, com uma colaboração cada vez mais frequente entre Estados-nação e grupos de crime organizado. À medida que diferentes atores de ameaças aproveitam os recursos uns dos outros, é crucial que as organizações estejam em dia com práticas de segurança fundamentais, como a gestão de palavras-passe, a segurança de endpoints e a autenticação multifator (MFA).”

“Como demonstrado pelo foco nas CNI, os ataques estão a tornar-se menos aleatórios e mais direcionados a organizações onde o impacto será maior. Empresas que dependem de ‘tempo de operação’ e que detêm grandes volumes de propriedade intelectual ou dados pessoais identificáveis são alvos de alto valor.”