Cibersegurança

Cyberameaças: Uma nova realidade para infraestruturas e dados pessoais

Por Emanuel Negromonte
Cibersegurança
7 min
cybersecurity

A crescente escalada de ciberataques impulsiona a demanda por defesa cibernética proativa e inteligente.

Tópicos
  • Ataques patrocinados por estados-nação visam infraestruturas críticas, propriedade intelectual e dados sensíveis.
  • Grupos cibercriminosos aprimoram técnicas de roubo de credenciais e SIM-swap, tornando-as mais sofisticadas.
  • Ataques de ransomware evoluem, com novas famílias e parcerias estratégicas entre cibercriminosos.
  • A necessidade de serviços de Detecção e Resposta a Ameaças (MDR) em tempo real é crucial para a soberania digital.

Em um cenário global cada vez mais interconectado, a segurança digital se tornou um pilar fundamental para empresas e governos. Recentemente, relatórios especializados revelaram um aumento alarmante nos ciberataques, com foco em infraestruturas essenciais, informações sigilosas e dados individuais. Esse panorama de ameaças, impulsionado por atores estatais e grupos criminosos organizados, exige uma reavaliação das estratégias de defesa cibernética.

Conteúdo

O novo front da guerra cibernética: infraestruturas e espionagem

Um dos pontos de maior preocupação em 2024 é a intensificação de ataques direcionados a infraestruturas críticas. Ações cibernéticas, atribuídas a grupos com possíveis ligações governamentais, têm explorado redes de retransmissão operacional (ORBs). Essa tática permite que invasores transitem por redes usando proxies residenciais em países-alvo, dificultando a detecção e o bloqueio de suas atividades maliciosas.

Exemplos recentes incluem grupos como Volt Typhoon/BRONZE SILHOUTTE, Salt Typhoon, Gallium (Operação Tainted Love), HAFNIUM e APT41. Estes têm orquestrado campanhas sistemáticas contra setores de infraestrutura vital em diversas regiões, incluindo Estados Unidos, Europa, África e Ásia, buscando alcançar objetivos militares e de inteligência estratégica.

Para ludibriar os sistemas de segurança, os cibercriminosos têm empregado métodos mais furtivos, reminiscentes de técnicas antigas, operando “manualmente” e infiltrando-se em tráfego de rede legítimo através de dispositivos conectados à internet de fabricantes renomados como Cisco, Fortinet, Citrix e Ivanti.

“Essa nova dinâmica de operação dos agentes alinhados a alguns estados-nação, que conseguem navegar por redes de retransmissão quase sem serem percebidos, a partir de um nó residencial de reputação neutra no país-alvo, não só permite espionagem, mas também testes de reação e o pré-posicionamento para objetivos militares em tempos de conflito. Isso sublinha a importância crítica de serviços de Detecção e Resposta a Ameaças e avaliações de risco contínuas, 24 horas por dia, 7 dias por semana, tanto para organizações quanto para garantir a soberania digital de uma nação”, alerta Francisco Camargo, CEO da CLM, distribuidor latino-americano de valor agregado focado em segurança da informação.

Ascensão de the com (unc3944): o novo protagonista do cibercrime

Entre os grupos cibercriminosos, “The Com” (UNC3944) tem se destacado por sua sofisticação e eficácia. Este grupo é conhecido por:

  • Exploração de credenciais roubadas: Adquiridas em mercados clandestinos, essas credenciais são a porta de entrada para sistemas corporativos e em nuvem.
  • Ataques de SIM-swap: Técnica que permite a transferência do número de telefone da vítima para um chip controlado pelos criminosos, possibilitando o acesso a contas e serviços protegidos por autenticação de dois fatores.
  • Uso de tokens de autenticação em nuvem: Obtidos de repositórios como o GitHub, esses tokens são utilizados para infiltrar-se em sistemas em nuvem com o auxílio de ferramentas automatizadas.
  • Emprego de ferramentas legítimas: A utilização de ferramentas nativas da nuvem para manter a persistência dificulta a identificação de suas atividades maliciosas.

Recentemente, “The Com” ampliou seu arsenal com a adição do ransomware Qilin e estabeleceu uma parceria com o grupo de ransomware RansomHub. Este grupo de cibercriminosos serve como um termo genérico para associações como 0ktapus, StarFraud e o antigo Lapsus$.

“Este grupo foi responsável pela campanha de ataque com motivação financeira à Snowflake, afetando quase 200 empresas clientes. Os invasores usaram conjuntos de credenciais comprometidas (coletados de logs do Infostealer), combinados com engenharia social agressiva, para orquestrar o ataque”, detalha o executivo.

O cenário em transformação do ransomware

O ecossistema de ransomware continua a evoluir rapidamente, com novos grupos emergindo e técnicas mais avançadas sendo empregadas. Em 2024, o Akira consolidou-se como o grupo de ransomware mais ativo, seguido por Play e BlackSuit. O setor também observou a ascensão de novas famílias como Orca e RansomHub, enquanto grupos anteriormente dominantes diminuíram sua atividade.

As ameaças mais frequentemente reportadas incluíram novas famílias de ransomware e atividades de infostealers em diversas plataformas, como Windows, macOS e Linux. Além disso, a utilização indevida de software legítimo por agentes de ameaças foi detectada em mais de uma dezena de ocasiões nos últimos doze meses.

A pesquisa também identificou diversas vulnerabilidades e explorações:

  • CVE-2024-21591: Abuso da Juniper VPN sem MFA para intrusão por Akira.
  • CVE-2024-27199: Vulnerabilidade de segurança no JetBrains TeamCity.
  • CVE-2024-29847: Deserialização RCE no Ivanti EPM.
  • CVE-2024-3094: Utilitários XZ com backdoor.
  • CVE-2024-38112: Exploits de Dia Zero direcionados ao Internet Explorer.
  • CVE-2024-4978: Backdoor na cadeia de suprimentos de software do Justice AV Solutions Viewer.
  • CVE-2024-6368: Vulnerabilidade de regressão no OpenSSH.

Visões aprofundadas: annual threat hunting report 2024

O “Annual Threat Hunting Report 2024”, da SentinelOne, uma empresa líder em cibersegurança com tecnologia de IA, oferece uma análise abrangente das ciberameaças. Este ano, o relatório integrou dados de suas afiliadas PinnacleOne e WatchTower.

  • PinnacleOne: Grupo consultivo estratégico, que estuda os principais riscos geopolíticos e sua influência no ambiente cibernético.
  • WatchTower: Fornece serviços personalizados de detecção de ameaças e análise para identificar invasores emergentes. Em 2024, publicou 188 relatórios Flash, cobrindo mais de mil consultas sobre novas famílias de ransomware, infostealers e vulnerabilidades recorrentes.

Além disso, o relatório inclui dados da equipe de resposta a incidentes da SentinelOne, que detalha violações reais – desde ataques de dia zero em dispositivos VPN até roubo de dados via plugins do JIRA – e aponta falhas comuns, como detecções perdidas e segmentação de rede deficiente.

Em um cenário de cibersegurança em constante mutação, a compreensão e a antecipação das ameaças são cruciais para a proteção de dados e infraestruturas.

TAGGED:
FONTES:SentinelOne
Compartilhe este artigo
Artigo anterior Pixel 9a Usuários do Pixel enfrentam consumo elevado de bateria após atualização de maio
Próximo artigo Imagem com a logomarca da Siri Apple planeja liberar escolha de assistente virtual padrão para iPhone
Kernel

Futuro do Kernel Linux: RISC-V, Rust e os caminhos da inovação tecnológica

Programador visualizando o futuro do Kernel Linux com foco em RISC-V e Rust

As tecnologias que estão transformando o núcleo do Linux e definindo o futuro da computação!

Por Emanuel Negromonte

Leia também

Posts sobre o mesmo assunto