O Google divulgou um relatório detalhado sobre ataques de dia zero observados em 2024, contabilizando 75 explorações desse tipo, número inferior aos 98 casos registrados no ano anterior. Ainda assim, o relatório revela uma tendência preocupante: quase metade dessas vulnerabilidades — cerca de 44% — teve como alvo direto softwares e dispositivos voltados ao ambiente corporativo, especialmente aqueles ligados à segurança de rede.
Ataques de dia zero em 2024 têm foco crescente em empresas, aponta Google
Segundo o Google Threat Intelligence Group (GTIG), a exploração de falhas em navegadores e dispositivos móveis apresentou uma redução expressiva em comparação a 2023. Navegadores sofreram um terço menos ataques, enquanto os dispositivos móveis viram essa queda chegar à metade. No entanto, os pesquisadores alertam que, apesar da redução, cerca de 90% das explorações móveis ainda são realizadas por meio de cadeias compostas de múltiplas vulnerabilidades de dia zero.
Sistemas mais afetados e foco corporativo
O sistema operacional mais visado foi o Microsoft Windows, com 22 falhas exploradas. Outros alvos incluíram o navegador Chrome (7), o Android (7), o iOS (2), o Safari (3) e o Firefox (1). No caso do Android, três vulnerabilidades estavam em componentes de terceiros.
Entre os 33 ataques direcionados a softwares empresariais, 20 afetaram produtos de segurança e rede, incluindo soluções da Ivanti, Palo Alto Networks e Cisco. Esses sistemas, que operam com altos níveis de permissão e servem como ponte entre redes e dispositivos, se tornam alvos valiosos para cibercriminosos que buscam acesso privilegiado a ambientes corporativos.
O levantamento mostra ainda que 18 fornecedores distintos foram afetados em 2024. As empresas mais atingidas foram Microsoft (26 falhas), Google (11), Ivanti (7) e Apple (5), revelando a amplitude da superfície de ataque mesmo entre grandes nomes da tecnologia.
Grupos por trás dos ataques
Dos 75 incidentes, 34 foram atribuídos a seis grandes grupos de ciberameaças, com destaque para operações de espionagem patrocinadas por Estados e para fornecedores de ferramentas de vigilância comercial. Dentre eles:
Notícias Relacionadas
Alerta cibernético
SonicWall alerta para exploração ativa de falhas críticas na VPN SMA100
A SonicWall, empresa especializada em soluções de segurança digital, emitiu um novo alerta urgente direcionado aos usuários de seus dispositivos da linha Secure Mobile Access (SMA). De acordo com a companhia, duas vulnerabilidades graves — agora confirmadas como exploradas em ataques reais — afetam diretamente os dispositivos VPN SMA100. Falhas na VPN SMA100 da SonicWall […]
Atualização crítica
Microsoft resolve falhas de pesquisa no Outlook Web e SharePoint
A Microsoft iniciou a aplicação de correções destinadas a resolver falhas que estavam afetando a funcionalidade de pesquisa no Outlook na Web e no SharePoint Online. A origem do problema, conforme identificado sob o código EX1063763 no centro de administração do Microsoft 365, estava relacionada a componentes de infraestrutura que não estavam entregando o desempenho […]
- Espionagem estatal: 10 casos, liderados por China, Rússia e Coreia do Sul.
- Vigilância comercial: 8 casos envolvendo exploits como o CVE-2024-53104 e CVE-2024-32896.
- Grupos financeiros não estatais: 5 ataques, incluindo o uso do CVE-2024-55956.
- Grupos norte-coreanos com motivação mista (financeira e de espionagem): 5 falhas exploradas.
- Grupos russos com motivações híbridas: 2 casos relacionados ao CVE-2024-9680 e CVE-2024-49039.
Técnicas de invasão cada vez mais sofisticadas
Em um dos casos mais complexos de 2024, o Google identificou uma injeção de JavaScript malicioso em um portal governamental ucraniano. O ataque explorou a falha CVE-2024-44308 para execução de código e combinou com a CVE-2024-44309, uma brecha no WebKit, permitindo ataques de cross-site scripting (XSS) com roubo de cookies do serviço login.microsoftonline[.]com.
Outro episódio envolveu a exploração das vulnerabilidades CVE-2024-9680 e CVE-2024-49039 no Firefox e Tor, permitindo a saída da sandbox e execução remota de código. Essa operação foi atribuída ao grupo RomCom — também conhecido por diversos outros nomes como Storm-0978 e Void Rabisu — e rastreado pelo Google como “CIGAR”, um grupo com interesses financeiros e de espionagem.
Perspectiva para o futuro da segurança digital
De acordo com Casey Charrier, analista sênior da GTIG, há indícios de que os esforços de mitigação começam a surtir efeito. Produtos historicamente vulneráveis foram menos visados em 2024, o que pode estar ligado ao aumento dos investimentos em segurança por grandes fornecedores.
Apesar disso, o foco das ameaças está mudando, com ataques cada vez mais direcionados a sistemas empresariais. Essa mudança exige que um número maior e mais diverso de fornecedores implemente medidas preventivas robustas. O futuro da exploração de falhas de dia zero dependerá da capacidade das empresas de se anteciparem aos métodos dos agentes maliciosos.
