Acompanhe
Quem trabalha com tecnologia sabe que a segurança de dados é uma das principais preocupações de governos e empresas de todos os continentes. Para você ter uma dimensão do problema, só em 2020 foram realizadas 41 bilhões de tentativas de ataques cibernéticos na América Latina e Caribe, segundo o FortiGuard Labs.
Devido à quantidade e variedade de ataques cibernéticos nos últimos quatro anos, o Kaspersky, um dos maiores laboratórios de segurança do mundo, começou a fazer um levantamento trimestral das maiores ameaças à cibersegurança.
O relatório mais recente de 2021 apontou as principais estratégias usadas por grupos hackers que, há pelo menos uma década, invadem sistemas e servidores de big techs, corporações multinacionais e governos.
Neste artigo, você conhecerá os maiores ataques cibernéticos do primeiro e segundo trimestres de 2021, de acordo com os pesquisadores da Kaspersky. Se você quiser saber mais detalhes sobre os ataques, confira o relatório do primeiro trimestre na íntegra, em inglês. O do segundo trimestre pode ser conferido aqui.
Segundo a Kaspersky, um ataque cibernético é uma tentativa de ataque malicioso a computadores, servidores, dispositivos móveis e sistemas eletrônicos. O termo genérico abrange uma série de métodos, como o malware, a injeção SQL e o phishing.
As ameaças à cibersegurança podem ser divididas em três tipos, de acordo com o objetivo:
Os crimes virtuais se tornaram o tipo de ameaça virtual mais comum durante a pandemia, o que gerou uma alta demanda por profissionais de TI especializados em Cybersecurity. Outra profissão que viu a procura por mão de obra qualificada aumentar neste período foi a arquitetura de software , área também fundamental para oferecer segurança aos dados de empresas e consumidores.
Nos casos apontados neste artigo, a motivação dos ataques não foi explicitada.
Os ataques listados abaixo tiveram como alvo pessoas e empresas, sendo realizados por diferentes grupos hackers. Eles compartilham uma estratégia em comum: a exploração da vulnerabilidade Dia Zero, também chamada de zero day ou 0-Day.
O grupo hacker norte-coreano Lazarus é famoso entre os especialistas em cybersecurity. Eles ficaram famosos após os ataques à Sony Pictures, em 2014, e ao roubo de US$ 81 milhões do Banco Central de Bangladesh, em 2016.
Em janeiro de 2021, o Google Threat Analysis Group (TAG) anunciou que pesquisadores da área de segurança de dados estavam sendo alvos de ataques por um grupo da Coreia do Norte. Os cibercriminosos se utilizavam de engenharia social e perfis fakes nas redes sociais para instalar um exploit no Google Chrome das vítimas.
Para a Kaspersky, este ataque cibernético segue o padrão de ação do Lazarus, como o uso de um malware semelhante ao ThreatNeedle.
Outra vulnerabilidade explorada pelo grupo norte-coreano é a do Dia Zero, ou seja, o ataque virtual é realizado assim que uma falha na cibersegurança é descoberta. Neste caso, o Lazarus se aproveitou das brechas do Google Chrome provavelmente para roubar dados de pesquisa sobre cybersecurity.
A vulnerabilidade do Dia Zero também foi explorada contra a Microsoft em março de 2021. A big tech identificou um novo ator APT chamado HAFNIUM em seu Exchange Server, mas garantiu que os alvos dos ataques foram limitados.
A telemetria da Kaspersky apontou que, durante a primeira semana de março, cerca de 1,4 mil servidores da gigante da tecnologia foram alvos de ataques cibernéticos. Ainda, no final de fevereiro, o laboratório de cybersecurity descobriu que 12 sistemas Exchange tiveram vulnerabilidades "dia zero" exploradas.
Segundo a Kaspersky, as ameaças à cibersegurança dos servidores da Microsoft aconteceram na Europa e nos Estados Unidos, partindo de diferentes grupos hackers.
Uma das mais conhecidas fornecedoras de ferramentas da TI, a SolarWinds tem sido alvo frequente de ataques cibernéticos. O mais recente aconteceu em dezembro de 2020, mas a Kaspersky o incluiu no relatório de 2021 pela dimensão dos danos.
O produto Orion IT foi alvo de um sofisticado ataque à supply-chain ("cadeia de suprimentos", em português) e a segurança da rede de mais de 18 mil clientes da empresa de tecnologia ficou comprometida, incluindo grandes corporações e governos.
O ataque aconteceu por meio do backdoor customizado Sunburst, semelhante ao malware Kazuar, que ameaça à cibersegurança de empresas do mundo inteiro desde 2017.
Para os pesquisadores da Kaspersky, o Sunburst pode ter sido desenvolvido pelo mesmo grupo hacker que criou o Kazuar, porém a hipótese ainda precisa ser mais bem investigada. Enquanto isso, outros atores têm aproveitado as vulnerabilidades Dia Zero de mais produtos da SolarWinds.
Os ataques cibernéticos do segundo semestre basearam-se principalmente em engenharia social, recorrendo à anexos e links maliciosos em e-mails. Os cibercriminosos também atualizaram suas ferramentas ao desenvolver malwares baseados em Python.
Em maio deste ano, a Volexity e a Microsoft alertaram para uma campanha de e-mails contra 150 entidades diplomáticas da Europa e América do Norte. Os ataques cibernéticos foram atribuídos ao grupo hacker Nobelium, mas a Kaspersky acredita que o Kazuar esteja envolvido.
A ação foi denominada pela Kaspersky de HotCousin, que consiste em um e-mail de phishing. Na mensagem é anexado um arquivo ISO, instalado no computador da vítima. Esta vê um arquivo LNK disfarçado de uma pasta do Windows e, ao clicar duas vezes para abri-la, acaba por descarregar um beacon Cobalt Strike na memória do dispositivo.
O Cobalt Strike é bastante utilizado em ataques cibernéticos por ser um framework estável e fácil de ser configurado.
A backdoor FourteenHi foi usada em uma campanha de ataques cibernéticos, chamada de ExCone pelos pesquisadores da Kaspersky, para invadir dispositivos por meio do VLC media player. Com mais de 20 anos de existência, o software é bastante popular por ser gratuito e de código aberto.
A Kaspersky não conseguiu identificar os atores responsáveis pelo ataque cibernético nem os seus objetivos.
O grupo hackers BlackShadow ficou conhecido após divulgar uma série de documentos sensíveis da companhia de seguros Shirbit. Eles são conhecidos pela prática de ransomware, ou seja, desenvolvem um malware que restringe o acesso a um sistema até que um resgate em criptomoedas seja pago pela vítima. Desta vez, os dados foram divulgados no Telegram.
Os pesquisadores da Kaspersky identificaram que os atores usaram um servidor C2 que foi contactado por um implante Android malicioso. Essa ferramenta também foi empregada em outros alvos do Oriente Médio, na campanha chamada WildPressure.
A campanha de ataques cibernéticos utilizou a linguagem Python para desenvolver um malware que afetasse os sistemas operacionais Windows e macOS. No entanto, a Kaspersky alerta que, apesar das evidências, é arriscado relacionar esta tecnologia às ações do BlackShadow.
Por okleina
Gostou deste conteúdo? Deixe seu comentário abaixo ou compartilhe com seus amigos!
Assine a News da Pós para ficar por dentro das novidades
Receba conteúdos sobre:
Formulário enviado com sucesso!