Anualmente, a ESET, companhia de segurança da informação sediada na Eslováquia, compartilha dados sobre os crimes virtuais que aconteceram em determinado ano, e avalia tendências em ciberataques para os 12 meses seguintes.
Em 2023, alguns cenários chamaram atenção pela sua magnitude no aspecto do roubo de dados. Para este ano, é esperado que esses crimes fiquem ainda mais consistentes, abrindo porta para novos furtos de informação.
“A maioria dos incidentes listados no relatório são atribuídos ao ransomware ou a extorsionistas que roubam dados. No entanto, nem sempre é assim. Em algumas ocasiões, a causa pode ser um erro humano ou um invasor mal-intencionado. E, às vezes, os ataques têm um impacto desproporcional, mesmo que o número de vítimas seja relativamente pequeno”, comenta Camilo Amaya, Chefe do Laboratório da ESET América Latina.
Os 10 maiores incidentes cibernéticos de 2023
MOVEit
O modus operandi deste ataque é simples: utilizar uma vulnerabilidade de dia zero em um produto de software popular para acessar os ambientes dos clientes e, em seguida, extrair o máximo de dados possível para exigir um resgate.
Não está claro quantos dados foram comprometidos nem quantas vítimas foram afetadas. No entanto, algumas estimativas apontam para mais de 2.600 organizações e mais de 83 milhões de pessoas.
O fato de muitas dessas organizações serem, por sua vez, fornecedores ou prestadores de serviços de outras, agravou o impacto.
Comissão Eleitoral do Reino Unido
O regulador independente do Reino Unido para financiamento de partidos e eleições revelou, em agosto, que cibercriminosos haviam roubado informações pessoais de cerca de 40 milhões de eleitores no registro eleitoral.
Alegou-se que o ataque foi “complexo”, mas relatos subsequentes sugeriram que a postura de segurança da organização era deficiente, já que não havia passado por uma auditoria básica de segurança. A culpa poderia ter sido de um servidor Microsoft Exchange desatualizado, embora não esteja claro por que a comissão demorou 10 meses para informar o público.
O impacto da resiliência cibernética na segurança digital das empresas
Serviço de Polícia da Irlanda do Norte (PSNI)
Em agosto, o PSNI anunciou que um funcionário havia acidentalmente publicado dados internos sensíveis no site WhatDoTheyKnow em resposta a uma solicitação de liberdade de informação.
Os dados incluíam nomes, patentes e departamentos de cerca de 10.000 oficiais e funcionários civis, incluindo aqueles que trabalham em vigilância e inteligência.
Embora tenha ficado disponível por apenas duas horas antes de ser removido, esse tempo foi suficiente para que a informação circulasse entre os dissidentes republicanos irlandeses. Dois homens foram libertados sob fiança após serem detidos por crimes de terrorismo.
DarkBeam
A maior violação de dados do ano foi a exposição de 3,8 bilhões de registros pela plataforma de risco digital DarkBeam, após a desconfiguração de uma interface de visualização de dados.
Um pesquisador de segurança percebeu o erro e notificou a empresa, que corrigiu o problema rapidamente. No entanto, não está claro por quanto tempo os dados estiveram expostos ou se alguém os acessou anteriormente com más intenções.
Ironicamente, o tesouro de dados continha e-mails e senhas provenientes tanto de violações de dados relatadas anteriormente quanto de outras não relatadas. É mais um exemplo da necessidade de monitorar de perto e continuamente os sistemas para detectar configurações incorretas.
Conselho Indiano de Pesquisa Médica (ICMR)
Outra grande violação, uma das maiores da Índia, veio à tona em outubro, depois que um criminoso colocou à venda informações pessoais de 815 milhões de residentes.
Aparentemente, os dados foram extraídos do banco de dados de testes COVID do ICMR e incluíam nome, idade, sexo, endereço, número de passaporte e Aadhaar (número de identificação do governo).
Isso poderia fornecer aos cibercriminosos tudo o que precisam para tentar uma série de ataques de fraude de identidade. O Aadhaar pode ser usado na Índia como identificação digital e para o pagamento de contas e verificações de “Conheça seu cliente”.
23andMe
Um criminoso afirmou ter roubado 20 milhões de dados de uma empresa americana de genética e pesquisa. Aparentemente, foram usadas técnicas de preenchimento de credenciais para acessar as contas dos usuários, utilizando credenciais previamente comprometidas que esses usuários haviam reciclado no 23andMe.
No caso dos usuários que optaram pelo serviço DNA Relatives do site, a ameaça pôde acessar muitos mais dados de possíveis parentes. Entre as informações presentes no vazamento de dados estavam a foto do perfil, sexo, ano de nascimento, localização e resultados de ascendência genética.
Ataques DDoS de restabelecimento rápido
Outro caso incomum envolveu uma vulnerabilidade de dia zero no protocolo HTTP/2 revelada em outubro, que permitiu a cibercriminosos lançar alguns dos maiores ataques DDoS já vistos.
De acordo com o Google, esses ataques atingiram o pico de 398 milhões de requisições por segundo (rps), em comparação com a maior taxa anterior de 46 milhões de rps.
A boa notícia é que gigantes como o Google e a Cloudflare corrigiram a falha, mas as empresas que gerenciam sua própria presença na Internet foram instadas a seguir o exemplo imediatamente.
T-Mobile
A empresa de telecomunicações americana sofreu muitas violações de segurança nos últimos anos, mas a revelada em janeiro é uma das maiores até agora.
A ocorrência afetou 37 milhões de clientes, cujos endereços, números de telefone e datas de nascimento foram roubados. Um segundo incidente revelado em abril afetou cerca de 800 clientes, mas incluiu muitos mais dados, como PINs das contas da T-Mobile, números de Seguro Social, dados de identificação do governo, datas de nascimento e códigos internos que a empresa usa para atender às contas dos clientes.
MGM International/Caesars
Dois dos nomes mais importantes de Las Vegas foram atacados com poucos dias de diferença pelo mesmo ransomware afiliado à ALPHV/BlackCat conhecido como Scattered Spider.
No caso da MGM, conseguiram acessar a rede simplesmente por meio de uma investigação no LinkedIn e, em seguida, através de um ataque de vishing no qual passaram pelo departamento de TI e solicitaram credenciais. No entanto, o ataque teve um custo significativo para a empresa. Ela foi obrigada a fechar sistemas informáticos essenciais, causando interrupções nas máquinas caça-níqueis, nos sistemas de gerenciamento de restaurantes e até mesmo nos cartões de acesso aos quartos por vários dias.
A empresa estimou um custo de 100 milhões de dólares. O gasto para a Caesar’s não está claro, embora a empresa tenha admitido ter pago 15 milhões de dólares aos seus extorsionários.
Vazamentos do Pentágono
O incidente mais recente afetou o exército dos Estados Unidos e serve como exemplo para qualquer grande organização preocupada com intrusos mal-intencionados. Jack Teixeira, de 21 anos, membro da ala de inteligência da Guarda Nacional Aérea de Massachusetts, vazou documentos militares extremamente sensíveis para impressionar sua comunidade no Discord.
Posteriormente, esses documentos foram compartilhados em outras plataformas e reenviados pelos russos que acompanhavam a guerra na Ucrânia. Esses documentos forneceram à Rússia um tesouro de inteligência militar para sua guerra na Ucrânia e minaram a relação dos Estados Unidos com seus aliados. Teixeira conseguiu imprimir e levar para casa documentos de alto sigilo para fotografá-los e posteriormente enviá-los para a internet.
O que esperar de 2024 no aspecto dos ciberataques?
O comportamento criminoso cada vez mais normalizado entre os jovens, as próprias vítimas sendo alvo de múltiplos ataques, e o roubo de dados como uma epidemia de fraude são algumas das tendências analisadas pela ESET.
“As forças de segurança desempenham um papel muito importante na luta contra adversários ágeis e cada vez mais bem equipados com recursos. Usuários e empresas devem continuar aprimorando suas defesas, enquanto os provedores de serviços desempenham um papel fundamental na investigação de ameaças emergentes, na incorporação de proteção em seus produtos e até mesmo em ajudar a polícia a monitorar, desmantelar organizações criminosas e reforçar a mensagem de que a ciberdelinquência não é lucrativa”, resume Phil Muncaster, editor de tecnologia na ESET.