Os clientes da Microsoft enfrentaram mais de 600 milhões de ataques de cibercriminosos e de agentes estatais todos os dias, variando de ransomware a phishing e ataques de identidade, como mostra o quinto Relatório Anual de Defesa Digital da Microsoft, que abrange tendências entre julho de 2023 e junho de 2024. Para além o alto volume de ameaças, o documento destaca que Estados-nação estão utilizando ferramentas e táticas do crime cibernético para atingir objetivos políticos e militares.
CONTEÚDO RELACIONADO: Relatório aponta as fragilidades da segurança de APIs na era da IA
Do outro lado, cibercriminosos estão empregando técnicas avançadas que antes eram exclusivas de operações patrocinadas por estados. Um exemplo que a Microsoft trouxe é de atores estatais da Rússia, que estão recrutando criminosos cibernéticos para coletar inteligência sobre o setor militar ucraniano, usando as mesmas ferramentas, como malware e frameworks de comando e controle, que são comumente utilizados por criminosos cibernético.
O relatório destaca como a guerra híbrida está se tornando uma prática comum, com estados-nação como Rússia e Irã realizando operações cibernéticas e de influência para avançar suas agendas políticas e militares. Essas campanhas não se limitam aos países em guerra, mas se estendem globalmente, afetando tanto os campos de batalha quanto a população civil.
Ransomware é arma até para Estados-nação
O relatório também aponta que atores patrocinados por estados estão adotando ransomware como uma ferramenta estratégica, misturando objetivos financeiros com táticas de espionagem. Embora o ransomware tenha sido tradicionalmente associado a grupos cibercriminosos que buscam lucro, agora ele também é usado para enfraquecer adversários, sabotar operações e desestabilizar governos e instituições.
Isso não é novidade, já que hackers norte-coreanos realizam crimes cibernéticos para financiar os programas nucleares e de mísseis do país – somente em 2023, estima-se que os roubos tenham somado entre US$ 600 milhões a US$ 1 bilhão. Mas em maio de 2024, um novo grupo norte-coreano chamado Moonstone Sleet foi identificado por ter desenvolvido uma variante personalizada de ransomware chamada FakePenny.
O diferencial desse ransomware é que ele não é apenas usado para extorsão financeira, mas também para objetivos de inteligência. Isso significa que, antes de criptografar os sistemas das vítimas, os atacantes roubam dados sensíveis, o que demonstra um interesse não só na monetização, mas também na espionagem.
O ransomware FakePenny foi implantado principalmente em organizações aeroespaciais e de defesa, indicando que os ataques não visam apenas ganhar dinheiro, mas também coletar informações estratégicas para a Coreia do Norte. Isso sugere que o grupo tem uma dupla motivação, combinando extorsão e roubo de dados com o objetivo de obter vantagens econômicas e estratégicas.
Ransomware ainda é risco para empresas e pessoas
A Microsoft também aponta o crescimento dos ataques de ransomware operados manualmente (“human-operated”). Nesses casos, ao invés de depender de um ransomware que se espalha automaticamente, os atacantes humanos exploram ativamente as redes comprometidas. Eles desabilitam ou modificam as defesas de segurança, explorando vulnerabilidades específicas para maximizar o impacto do ataque.
Por fim, os ataques tradicionais de ransomware também passaram por atualizações. Muitas vezes, o golpe está combinado com ataques de exfiltração de dados (double extortion), onde os criminosos primeiro roubam dados antes de criptografá-los. Eles ameaçam divulgar essas informações caso a vítima não pague o resgate. Isso torna a ameaça ainda mais eficaz, pois as vítimas não estão apenas preocupadas em recuperar o acesso aos seus sistemas, mas também com a exposição de dados confidenciais.
Setores como saúde, transporte, e governo estão sendo alvos cada vez mais frequentes de ataques de ransomware, devido à sua dependência de sistemas críticos que, se interrompidos, causam grandes impactos. Hospitais, por exemplo, podem ter suas operações médicas interrompidas, resultando em atrasos no atendimento e até riscos à vida humana.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e X.