O número total de casos de ransomware no último mês foi 19% superior ao anterior, registando 486 ataques. O grupo RansomHub manteve-se no topo, responsável por 14% dos ataques entre os 10 principais atores de ameaças. O setor industrial continua a ser o mais visado, representando 30% dos ataques e demonstrando o foco contínuo dos atores de ameaças nas Infraestruturas Críticas Nacionais (CNI). América do Norte e Europa concentraram 76% de todos os casos a nível global. Eleições nos Estados Unidos motivaram a atividade de atores patrocinados pela Rússia, refletindo-se no aumento de ataques na região (de 233 para 272 casos).
O volume de ataques de ransomware registou no último mês um aumento global, tanto em relação ao anterior como ao mesmo período do ano passado. De acordo com o mais recente relatório da NCC Group, especialista mundial em cibersegurança e mitigação de riscos, houve um total de 486 ataques, um crescimento face aos 407 do mês anterior e aos 341 registados há um ano.
RansomHub continua no topo
O grupo RansomHub consolidou a sua posição como o ator de ameaças mais ativo do mês, com 68 ataques. Em outubro, registou-se um ataque significativo contra um operador aeroportuário mexicano responsável por 13 aeroportos em todo o país, forçando a adoção de sistemas de contingência. Este incidente destaca o impacto disruptivo que os ataques de ransomware podem ter nas Infraestruturas Críticas Nacionais (CNI) e as consequências reais que podem advir destes ataques. O Play manteve-se na segunda posição, com 53 ataques, seguido pelo Killsec com 34 ataques, e o Sarcoma, em quarto lugar, com 31 ataques.
América do Norte e Europa como principais alvos
A América do Norte permaneceu a região mais atacada, representando 56% dos ataques globais (272 casos), um aumento significativo face aos 233 registados em setembro. As eleições nos Estados Unidos motivaram a atividade de atores patrocinados pela Rússia, refletindo-se no aumento de ataques nesta região. A Europa surge em segundo lugar, com 20% dos ataques (97 casos). Na Ásia, registou-se um aumento notável, de 46 ataques em setembro para 68 em outubro, enquanto a América do Sul viu uma ligeira redução, passando de 21 para 20 ataques. Na Oceânia, os ataques subiram de 8 para 14, e África manteve-se estável, com 5 ataques em ambos os meses.
Setor industrial continua sob ataque constante
O setor industrial manteve-se como o mais visado, com um aumento de 45 ataques em relação a setembro, representando 30% (148) dos ataques em outubro. Estes números demonstram o foco contínuo dos atores de ameaças nas Infraestruturas Críticas Nacionais (CNI). O setor de bens de consumo não essenciais ficou em segundo lugar, com 100 ataques, seguido pelo setor da saúde, com 55 ataques.
Estados-nação – Principais atacantes patrocinados por Estados
Um ator de ameaça patrocinado por um estado-nação refere-se a um grupo que realiza atividades cibernéticas maliciosas, patrocinadas ou dirigidas por um governo. Estes grupos patrocinados por estados, também conhecidos como Advanced Persistent Threats (APTs), destacam-se pela sua sofisticação, sendo considerados os mais capazes e com mais recursos entre todos os tipos de agentes de ameaça. Os adversários cibernéticos patrocinados por estados tendem a ser movidos por objetivos de longo prazo, geralmente relacionados com uma ampla variedade de motivações políticas e económicas. Estes agentes utilizam uma ampla gama de ferramentas e técnicas para atingir os seus objetivos de longo prazo, incluindo:
- Spear-Phishing: um ataque de phishing altamente direcionado, projetado para enganar indivíduos específicos, a fim de revelar ou permitir acesso a informações sensíveis. Pode incluir também a instalação de malware.
- Zero-Day: exploração de vulnerabilidades anteriormente desconhecidas em software ou hardware, antes que os fornecedores possam emitir correções (patches).
- Malware Avançado: malware personalizado, desenhado especificamente para evitar detecção e realizar tarefas específicas, como extração de dados ou interrupção de sistemas.
- Ataques Watering Hole: comprometimento de sites frequentemente visitados pelos alvos, com o objetivo de entregar malware.
- Engenharia Social: técnicas de manipulação psicológica e engano para induzir indivíduos a divulgar informações altamente confidenciais.
Atores de ameaças mais proeminentes patrocinados por estados e os seus principais objetivos:
- Rússia: Foco principal em ciberespionagem sofisticada e operações de influência.
- China: Especializa-se em ciberespionagem extensiva, visando propriedade intelectual e segredos governamentais.
- Coreia do Norte: Operações cibernéticas maliciosas para financiar o regime, utilizando roubo e ransomware.
- Irão: Espionagem cibernética e interrupções de sistemas.
O Relatório de Defesa Digital da Microsoft 2024, lançado em outubro, destaca várias tendências nas atividades de estados-nação no período de julho de 2023 a junho de 2024. Uma dessas tendências é o aumento da colaboração entre atores patrocinados por estados e outros grupos cibercriminosos, esbatendo cada vez mais a linha entre organizações criminosas organizadas (Organised Crime Groups – OCGs) e atividades APT.
Isto inclui o uso de ferramentas de OCGs por agentes patrocinados por estados, aumentando o foco em operações para ganho financeiro, bem como a utilização de capacidades de outros agentes para recolha de inteligência, por exemplo, informações sobre as forças armadas da Ucrânia por atores afiliados à Rússia.
A utilização de ferramentas e infraestruturas comuns, como infostealers e redes de comando e controlo (C2), oferece flexibilidade para atingir os objetivos estatais de forma rápida e eficaz.
Os agentes iranianos focaram-se em operações de influência, enquanto os norte-coreanos recorreram ao ransomware para recolha de inteligência e geração de fundos para o regime, tendo roubado mais de 3 mil milhões de dólares desde 2017.
Outro ponto relevante indica que grande parte da atividade de estados-nação concentrou-se em regiões com tensões ou conflitos militares ativos, como Taiwan, Ucrânia, Israel e Emirados Árabes Unidos.
Tanto a Rússia como o Irão utilizaram com sucesso os conflitos Rússia-Ucrânia e Israel-Hamas para espalhar desinformação, expandindo a sua influência para além das zonas de conflito, enquanto reforçam a natureza globalizada da guerra híbrida.
Os adversários afiliados à China continuam focados em Taiwan e outros países do Sudeste Asiático, intensificando os ataques em regiões estratégicas.
Uma última tendência observada é a tentativa de influenciar as eleições nos EUA, com a Rússia, o Irão e a China a procurarem influenciar a opinião pública em favor de determinados candidatos ou partidos, bem como desvalorizar a confiança no processo eleitoral como base da democracia.
No terceiro trimestre de 2024, observou-se um aumento no número de ataques a infraestruturas críticas a nível global, com destaque para a utilização intensificada de spear-phishing, exploits zero-day e implantações de malware. Este cenário reflete a crescente sofisticação e foco estratégico destes agentes. Atividades incluem:
- APT29 e APT28 (Rússia): Utilizaram vulnerabilidades zero-day e n-day em iOS e Chrome para infiltrar redes governamentais.
- APT41 e Earth Baku (China): Visaram infraestruturas críticas de redes, incluindo dispositivos como switches Cisco Nexus, para implantar malware avançado, como ShadowPad e VelvetShell.
- Kimsuky e Lazarus (Coreia do Norte): Apostaram fortemente em spear-phishing e malware avançado, como MoonPeak e FPSpy, para espionagem cibernética.
- Muddy Water e APT34 (Irão): Utilizaram engenharia social e malware personalizado, como BugSleep, para intensificar os ataques a infraestruturas críticas e governos no Médio Oriente.
Destaque: Ataque de ransomware à Casio pelo grupo Underground
No dia 8 de outubro de 2024, a Casio confirmou um ataque de ransomware pelo grupo Underground, resultando no acesso não autorizado e roubo de dados. O grupo Underground tem ligações ao grupo de cibercrime russo Storm-0978 (RomCom), suspeito de realizar ataques em nome do Estado russo.
A violação comprometeu informações pessoais de colaboradores, candidatos e parceiros comerciais, embora não tenham sido afetadas informações relacionadas com cartões de crédito nem serviços essenciais como o CASIO ID. O ataque causou interrupções nos sistemas e serviços, sobretudo no Japão, afetando o processamento de pedidos e envios.
Os atacantes utilizaram táticas de dupla extorsão, encriptando e extraindo dados para exigir um resgate. Embora o ponto de entrada exato continue desconhecido, é possível que tenham explorado vulnerabilidades como a CVE-2023-36884 no Microsoft Office. Este incidente sublinha a importância crítica de uma gestão atempada de patches para evitar este tipo de violações.
Matt Hull, Head of Threat Intelligence da NCC Group, destaca:
“Com eventos políticos de grande relevância em outubro, não é surpresa que estejamos a assistir a um aumento no volume global de atividades cibercriminosas. As motivações geopolíticas, como as eleições nos EUA, mostram que Estados-nação, como a Rússia, continuam a ter uma influência significativa no volume de ciberataques a nível global.”
“A ameaça constante ao setor industrial, como o mais visado, reforça a necessidade de vigilância contínua para proteger as Infraestruturas Críticas Nacionais (CNI).”
“Os dados mostram uma dinâmica crescente no panorama das ameaças, com uma colaboração cada vez mais frequente entre Estados-nação e grupos de crime organizado. À medida que diferentes atores de ameaças aproveitam os recursos uns dos outros, é crucial que as organizações estejam em dia com práticas de segurança fundamentais, como a gestão de palavras-passe, a segurança de endpoints e a autenticação multifator (MFA).”
“Como demonstrado pelo foco nas CNI, os ataques estão a tornar-se menos aleatórios e mais direcionados a organizações onde o impacto será maior. Empresas que dependem de ‘tempo de operação’ e que detêm grandes volumes de propriedade intelectual ou dados pessoais identificáveis são alvos de alto valor.”