dezembro 30, 2022

[Segurança] Ciber Retrospectiva 2022

Se eu fosse resumir em poucas palavras como foi o cenário de ciber segurança em 2022, eu escolheria 2 fatos: ransomware e guerra cibernética.

É impossível fazer uma retrospectiva de 2022 sem falar na "pandemia de ransonware" que estamos vivendo nesses últimos anos. Esse é, sem dúvida, a causa dos pesadelos e noites mal dormidas de 10 em cada 10 CISOs. E o risco dos ataques de ransomware causa grande influência no mercado, direta e indiretamente: eles são uma das causas do burnout entre os profissionais da área, são o principal motivador na contratação de seguros cibernéticos e no investimento em tecnologias de segurança e, até mesmo, trouxeram para a pauta dos executivos a necessidade de conscientização dos usuários!

Os ciber ataques fizeram grandes vítimas em 2022, entre empresas e órgãos de governo, tornando isso uma preocupação cada vez mais constante para os executivos.

A lista ciber ataques e de vítimas dos ataques de ransomware neste ano é enorme, incluindo grandes empresas no Brasil e no mundo, e até o jornal britânico The Guardian não passou ileso, e sofreu um ataque de ransomware dias antes do Natal. Os ataques de Ransomware em 2022 forçaram o Lincoln College, nos EUA, uma instituição educacional de 157 anos, a fechar suas portas, fizeram toda a nação da Costa Rica a declarar uma emergência, obrigaram a montadora Toyota a fechar suas operações em 14 fábricas no Japão. por um dia inteiro, roubaram dados da Ferrari, interromperam os trabalhos do corpo de bombeiros na Australia e do porto de Lisboa - além de vários casos de hospitais impactados por incidentes de ransomware (como no caso de 270 mil pacientes de um hospital em Louisiana. Aqui no Brasil, a lista de vítimas inclui a Rede Record, o Banco PAN e o Banco de Brasília (BRB), que sofreu um ataque do ransomware LockBit e foi feito um pedido de resgate de cerca de 50 Bitcoins (BTC) (equivalente a cerca de R$ 5,2 milhões).

Com a pandemia de ransomware assustando executivos em todo o mundo, podemos facilmente ver impactos diretos e indiretos no mercado. O seguro cibernético se consolidou no mercado, inclusive no Brasil, e é visto como a "tábua de salvação" para as empresas. Mas não se iludam... além de não ser barato, os seguros tem cláusulas específicas que devem ser analisadas com cuidado no momento da contratação. Por exemplo, confirme se o seguro cobre o pagamento de resgate (tema muito polêmico atualmente) e se a cobertura pode ser reduzida se o incidente for causado por um erro ou falha na empresa (vale lembrar que a grande maioria dos incidentes são causados por falha humana).

Vamos ver então alguns dos principais fatos que marcaram o mercado de segurança da informação neste ano.

No mundo:

  • Guerra cibernética na Ucrânia: Vamos ser sinceros... ninguém nunca, jamais, previu que teríamos uma guerra e uma ciberguerra em andamento - muito menos que ela fosse durar tanto tempo, com a Ucrânia resistindo bravamente aos ataques russos e, infelizmente, sem previsão de cessar-fogo tão cedo :(
  • Por tabela, a guerra entre a Rússia e Ucrânia despertou o Hacktivismo, com diversos grupos ativistas e ciber criminosos tomando partido por um dos lados do conflito;
  • Pandemia de ransonware: Como eu comentei acima, os ataques de Ransomware foram a principal preocupação das empresas em todo o mundo, com diversas empresas conhecidas sendo impactadas;
  • Busca desesperada por seguro cibernético: Os ataques de ransomware tem aquecido no mercado de seguro cibernético nos últimos anos - até demais! As empresas estão vendo o seguro cibernético como tábua de salvação, já que a lista de vítimas dos ransomwares só aumenta (mas vou falar sobre isso nas minhas previsões para 2023);
  • Nunca se falou tanto sobre ataques a cadeia de suprimentos (supply chain attacks). Eu não sei exatamente porque o mercado insiste tanto em promover essa buzzword, mas o fato é que se fala muito disso. Não é novidade nenhuma, mas tá na agenda da galera;
  • As tecnologias de autenticação estão na mira dos atacantes. A OKTA e a LastPass foram invadidas, o que pode fornecer meios que podem facilitar a invasão futura a seus clientes. Além disso, vimos o comprometimento das tecnologias de MFA com o surgimento e popularização dos ataques de Fadiga de MFA (MFA Fatigue) - que estão em voga e fizeram várias empresas grandes de vítima, como no caso da Uber;
  • Burnout: a popularização dos ataques trouxe grande atração e pressão para a figura do CISO e das equipes de segurança, mas infelizmente a custa de muito stress e burnout. Junte a isso a dificuldade de contratar pessoal (que torna as equipes menores do que o ideal e os profissionais mais sobrecarregados), os stress específicos que surgiram durante o período da pandemia, etc;
  • Tivemos muitos ataques a empresas de criptomoedas e NFTs neste ano, aonde os criminosos conseguem obter valores milionários! Em um ciber ataque na Horizon Bridge da Harmony, em junho deste ano, os criminosos obtiveram cerca de 100 milhões de dólares. Este foi apenas um dos diversos ataques ocorridos nestas plataformas durante o ano;
  • Muito se falou sobre o Metaverso, e até sobre sua suposta "versão do mal", o "Darkverso". Mas não vi grande adoção e uso no decorrer desse ano, muito pelo contrário: já podemos ver notícias que indicam que essa onda pode não ser tão forte quanto imaginada inicialmente;
  • A Austrália foi vítima de grandes vazamentos e ciber ataques neste ano, eu nunca eu havia visto tantos casos por lá. O principal vazamento de dados aconteceu em Outubro com a empresa de planos de saúde Medibank, e agora em Dezembro até mesmo o corpo de bombeiros do estado de Victoria foi vítima de um ciberataque!

Aqui no Brasil:

  • Estamos vivenciando um grande aumento da criminalidade voltada a fraude bancária, com roubo de celulares, sequestros relâmpagos e golpes do Pix, muito motivado pela agilidade trazida pelo Pix e pela rápida bancarização e uso de mobile ranking na população (fruto do período de lockdown na pandemia e da popularidade do Pix);
  • Vejo o início da popularização dos programas de bug bounty no mercado brasileiro, com provavelmente mais de 50 empresas já possuindo programas de notificação e recompensas por bugs;
  • Quando falamos nos ataques a tecnologias de autenticação, a popularização do mobile ranking no Brasil fez com que os criminosos voltassem seus esforços para burlar as tecnologias de autenticação biométrica usada pelos bancos digitais, inclusive usando ferramentas de deep fake para tentar burlar a autenticação facial de clientes;
  • A área de conscientização começa a ganhar atenção dentro das empresas. Os profissionais dedicados a conscientização ainda são poucos, pois é raro ver empresas com estratégia, orçamento e pessoal dedicado a conscientização de usuários. Mas isso está aumentando, provavelmente por conta do alto risco do fator humano associado aos ataques de ransomware. Ganharam muito destaque as campanhas bem feitas e caprichadas do Itaú e do Nubank;
  • Eu tenho visto também um grande aumento de perfis no Instagram sobre segurança da informação, usado por profissionais da área para compartilhar notícias e, principalmente, educar os usuários finais;
  • Não posso deixar de citar as fake news distribuídas e compartilhadas aos montes no período das eleições.

Os golpes mais comuns no Brasil em 2022:

  • golpe do Whatsapp;
  • sequestro de perfis no Instagram para divulgar falsas promoções em redes sociais (principalmente no Instagram)
  • roubos de celulares para invadir as contas bancárias;
  • golpe da Mão Fantasma: o usuário é convencido a baixar um app em seu celular que dá acesso remoto ao criminoso, que por sua vez vai acessar os apps bancários da vítima e limpar suas contas;
  • golpe do Tinder: os criminosos estão usando perfis falsos em redes de relacionamento para atrair vítimas para encontros, aonde são sequestradas e mantidas em cativeiro enquanto tem suas contas bancárias esvaziadas.

Coisas que acontecem todos os anos e não foi novidade:

  • tivemos novos volumes recordes nos ataques DDoS, chegando a 26 milhões de requisições por segundo;
  • os ataques de ransomware continuam crescendo em complexidade, quantidade de vítimas e valor arrecadado pelos criminosos;
  • aumento das estatísticas de fraudes e ciber ataques.

Os ataques mais bizarros do ano:

Elas sofreram 2 ataques nesse ano, e quase podem pedir música no Fantástico:

  • Uber
  • Lastpass
  • Jakks Pacific: Fabricante de brinquedos americana que foi atacada com menos de 10 dias de diferença pelos grupos Hive e BlackCat
Algumas estatísticas de 2022:
  • Segundo a Akamai, entre 2021 e 2022 os ciberataques relacionados a serviços financeiros na América Latina aumentaram 419%, ultrapassando em números absolutos, durante este ano, a casa dos 20 milhões;
  • O Panorama de Ameaças da Kaspersky indica que 2.366 ataques de malware e 110 mensagens fraudulentas oriundas de phishing foram bloqueados por minuto na América Latina em 2022, com mais de 1,5 mil somente no Brasil. Por aqui, são nada menos do que 1.554 tentativas por minuto ou 65% de todos os bloqueios na América Latina;
  • Segundo a (ISC)² o gap global de mão de obra qualificada na área segurança cibernética aumentou 26,2% neste ano, na comparação com 2021, elevando em 3,4 milhões o número de profissionais necessários para atender as necessidades do mercado.

Para saber mais:

PS: Pequena atualização em 30/12 e em 03, 06, 09 e 12/01/2023. Atualizado em 20/01 para incluir mais algumas notícias e referências. Pequena atualização em 08, 15 e 22/05, e em 02/06.

PS/2: Esse post foi reproduzido no portal CryptoID: Segurança – Ciber Retrospectiva 2022. Por Anchises Moraes.

PS3 (02/06): Por algum motivo bizarro e sem noção, esse post foi suspenso temporariamente pela Google em 29/05, sub suspeita de violar as regras de comunidade referente a Malware e Vírus.

PS4 (17/10): O CEO da Mandiant, Kevin Mandia, fez uma apresentação na RSA Conference com uma revisão dos acontecimentos em 2022 - The State of Cybersecurity – Year in Review:



Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.