O incidente que afetou o grupo Impresa é o mais recente de uma longa lista de ciberataques a meios de comunicação, incluindo jornais, revistas, entre outros.
Este tipo de ataques é cada vez mais comum e afeta organizações de todos os setores e dimensões: os cibercriminosos – neste caso, pertencentes ao Lapsus$ – obtém informações privadas dos meios de comunicação e aproveitam-se desses dados para começar um processo de chantagem, normalmente relacionada com extorsão de dinheiro.
Depois de acederem aos servidores Amazon Web Services do grupo Impresa, os cibercriminosos ameaçaram divulgar a informação obtida se a empresa não efetuasse um pagamento, como indicado numa nota de resgate carregada nas páginas web da Impresa. É de notar que durante este incidente, os cibercriminosos também levaram a cabo ações de defacing, um tipo de ataque dirigido a um website, caracterizado pela modificação da sua aparência visual.
Esta ameaça multiplicou-se nos últimos anos, tendo surgido vários grupos APT, tais como os responsáveis do incidente que envolveu a Sony, que sofreu uma grande quebra de segurança depois de ter sido vítima do grupo norte-coreano Lazarus em 2014; e grupos hacktivistas, tais como os que atacaram os meios de comunicação israelitas no aniversário do assassinato de Soleimani.
De recordar que nos últimos meses, foram observados ataques direcionados contra grupos de media, tais como o ataque de ransomware contra o grupo norueguês Amedia (o segundo maior grupo de media do país e um dos mais importantes a nível europeu), o incidente de segurança em Outubro que levou à fuga de milhares de dados do Twitch, uma plataforma utilizada por numerosos meios de comunicação social para a publicação de notícias ou programas, o ataque de ransomware nesse mesmo mês contra o grupo de comunicação social americano Sinclair, que levou a que se paralisassem as emissões televisivas, ou a operação de ciberespionagem contra jornalistas com o spyware Pegasus.
RECOMENDAÇÕES
Os meios de comunicação social são um pilar básico quando se trata de manter a sociedade informada sobre o que está a acontecer e é essencial que estejam bem protegidos contra ciberataques que pretendam roubar informações e peçam restastes; inclusão de notícias falsas ou mensagens de ódio e medo com repercussões na sociedade; a sua utilização para promover falsos negócios ou atividades (burlas, phishing…); obtenção de benefícios económicos, etc.
Para evitar este tipo de ataque, recomenda-se que se mantenha os sistemas operativos atualizados, antivírus em computadores, WAF, segurança de servidores, etc., e que se informe e sensibilize os colaboradores das organizações, uma vez que o fator humano é geralmente o elo mais fraco nas organizações e é a porta de entrada que permite que estes ciberataques aconteçam.
Há diferentes diretrizes ou recomendações que todos os profissionais devem seguir para tentar impedir estes ciberataques de ocorrerem, independentemente da área de atuação da empresa ou da sua dimensão:
– Recomenda-se a realização de ações para sensibilizar os profissionais para potenciais riscos de cibersegurança que podem enfrentar. A sensibilização irá ajudar a receber formação em medidas de segurança que impeçam de se tornarem vítimas de ataques, tais como não abrir anexos de fontes desconhecidas, não abrir mensagens de email marcadas como spam, ligar dispositivos USB desconhecidos nos computadores, etc.
– Recomenda-se ter um serviço de gestão EDR que possa modelar o comportamento deste tipo de ataques, a fim de os detetar e remediar numa fase inicial.
– Recomenda-se a gestão do ciclo de vida das vulnerabilidades, o que impede a sua exploração
– Alertar a equipa de segurança para comportamentos anómalos, tanto por parte dos colaboradores da organização como por pessoas externas, incluindo distribuidores.
– Evitar a navegação em ambientes web não confiáveis, mesmo que o sistema esteja atualizado e possua software antivírus.
– Utilizar Hypertext Transfer Protocol Secure (HTTPS), em vez de HTTP.