Cibercrime armado: o que as organizações podem aprender com o conflito na Ucrânia
Postado por Sergey Shykevich, gerente do grupo de inteligência de ameaças da Check Point Software em 19/09/2022 em ArtigosEm 24 de fevereiro de 2022, a Rússia realizou uma invasão militar em larga escala na Ucrânia com ataques em terra, mar e ar. O que tem sido menos visível, mas ainda assim um elemento crítico dessa guerra, é a batalha travada no ciberespaço.
Assim como o conflito militar com suas consequências mais amplas em termos de interrupção do comércio e a tragédia da crise dos refugiados, a guerra no ciberespaço tem um impacto além das fronteiras da Ucrânia e da Rússia. Embora ninguém possa prever quanto tempo essa guerra durará, podemos dizer com certeza que os aspectos cibernéticos do conflito na Ucrânia continuarão ressoando muito depois que as armas forem silenciadas.
Então, o que esse conflito nos ensina sobre guerra cibernética e como as organizações podem se preparar para essa nova ordem mundial?
Uma coisa que podemos tirar do que está acontecendo na Ucrânia é que a guerra cibernética se tornou um componente estabelecido do conflito global, tanto na batalha de propaganda quanto na condução real das operações militares.
Entre fevereiro e agosto deste ano, os ciberataques ao governo e ao setor militar da Ucrânia aumentaram 112%, enquanto o mesmo setor da Rússia teve diminuição de 8%. Com apenas três dias de conflito no final de fevereiro, observamos um aumento de 196% nos ataques cibernéticos ao governo e ao setor militar da Ucrânia. E esses ataques não mostraram sinais de desaceleração nos meses seguintes. Identificamos ainda que:
• Mais de 1.500 ciberataques semanais em média em todas as redes corporativas na Ucrânia, maior que a média global (1.124 ciberataques semanais) e maior que na Rússia (1.434 ciberataques semanais).
• Um aumento de 25% na média semanal de ataques cibernéticos em redes corporativas na Ucrânia, em comparação com o início do ano anterior ao conflito (01/01/2022 – 21/02/2022), enquanto no mundo o aumento foi de 0,1% e na Rússia em 13%.
Assim, pelo que estamos observando na Ucrânia e na Rússia, talvez a estatística mais impressionante que documentamos nesse contexto seja um aumento de 112% nos ataques cibernéticos ao governo e ao setor militar da Ucrânia, enquanto na Rússia houve uma diminuição de 8%. Embora a Rússia não tenha se desconectado completamente da Internet conforme relatórios anteriores, sabemos que redes e sites governamentais e militares implementaram diferentes medidas para limitar o acesso a seus recursos de fora da Rússia, o que dificulta a execução de alguns dos ataques.
Após o conflito, qualquer que seja o resultado, esses grupos de APT, hacktivistas e indivíduos não vão simplesmente desaparecer. Em vez disso, eles vão direcionar seus novos conhecimentos e ferramentas para novos alvos, desencadeando um “tsunami” de ataques cibernéticos em todo o mundo. Já começamos a ver os primeiros sinais de alerta disso com ataques aos parceiros da OTAN,
bem como aos países que vieram em auxílio da Ucrânia, aumentando em frequência e intensidade. Este conflito viu a atividade cibernética mudar a face da guerra para sempre. No que se refere às organizações, vimos que o setor mais atacado na Rússia durante o conflito foi o financeiro, com uma média de mais de 2.600 ataques por organização a cada semana, um aumento de 24% em comparação com o período anterior ao conflito.
O segundo setor russo mais atacado durante o conflito foi o das Comunicações, com uma média de 1.928 ataques semanais por organização (redução de 8%). Isso pode ser devido a um foco mais pesado no setor financeiro com maior atividade, devido às sanções globais implementadas por organizações governamentais e empresariais fora da Rússia.
A interrupção deste setor também perturbará gravemente as atividades normais do dia a dia de seus cidadãos, semelhante aos ataques ao setor de Comunicações, em que a maioria dos serviços prestados on-line, como chamadas ou serviços de Internet, atrapalhariam as atividades normais.
O destaque para o setor mais atacado durante o conflito pelo lado da Ucrânia também foi o setor financeiro, com uma média de 1.841 ciberataques por organização a cada semana, uma queda de 29% em relação ao período anterior ao conflito, seguido pelo governo e setor militar, com uma média de 1.406 ataques semanais por organização, que também registrou o maior aumento nos ataques cibernéticos semanais com um aumento de 112% em comparação com período anterior ao conflito, o que pode ser devido ao aumento dos ataques infligidos a eles por facções do lado da Rússia.
A manufatura foi o terceiro setor fortemente atacado, com mais de 400 ataques por organização semanalmente (redução de 64%). Como a Rússia, o setor financeiro da Ucrânia sofreu grandes ataques, provavelmente, como resultado das várias ajudas financeiras individuais e governamentais recebidas, bem como de cibercriminosos que buscavam lucrar com doações conhecidas enviadas à Ucrânia para os esforços de guerra e refugiados.
Não foi surpreendente ver o setor de manufatura também sendo fortemente atacado, pois esta é uma de suas principais indústrias críticas para que qualquer país seja sustentado, com suas exportações globais de trigo contribuindo fortemente para a economia da Ucrânia. Essas interrupções agora não apenas impactariam as entradas de fundos na Ucrânia, mas impactariam negativamente em suas exportações.
Mas, não são apenas os órgãos governamentais desses países que devem se preocupar, as empresas também devem se preparar para o que se seguirá após esta guerra. Os cibercriminosos precisam de um fluxo de renda constante para recrutar novos membros e investir em tecnologia, e eles voltarão sua atenção para as empresas a fim de aumentar seus cofres quando o apoio do estado acabar.
Este conflito viu a atividade cibernética mudar a face da guerra para sempre. Mas, também teve o efeito de “dano colateral” de aumentar o nível de ameaça de ataques cibernéticos a organizações governamentais e privadas em todo o mundo. Embora já estivéssemos em uma era de ataques cibernéticos sofisticados de quinta geração, os atacantes aumentaram seu jogo durante a guerra e sabemos que ataques cibernéticos ainda mais integrados e sofisticados estão chegando.
As organizações precisam se preparar agora. Mitigação de ataques não será suficiente, as empresas devem adotar uma estratégia de segurança cibernética de prevenção. As empresas têm duas opções para lidar com uma superfície de ataque cada vez maior por meio da prevenção. Uma delas é adotar uma estratégia de arquitetura de segurança na qual os vário fornecedores seriam reunidos como uma “colcha de retalhos”.
A outra opção envolve a consolidação da arquitetura de segurança por meio de uma suíte de cibersegurança. Esta última tem sido a abordagem mais recomendada por fechar as lacunas relacionadas a configurações incorretas e políticas de segurança que não se sobrepõem totalmente ao usar vários fornecedores.
Ao adotar uma abordagem de segurança consolidada, as empresas podem ter proteção preventiva contra os ataques mais avançados, ao mesmo tempo em que alcançam, em média, um aumento de 50% na eficiência operacional e uma redução de 20% nos custos com cibersegurança.
Foto: Sergey Shykevich, gerente do grupo de inteligência de ameaças da Check Point Software