A NCC Group, especialista mundial em cibersegurança e mitigação de riscos, acaba de disponibilizar a edição de 2022 do seu Relatório Anual de Monitorização de Ameaças, que detalha os principais incidentes e o seu impacto a nível mundial. A América do Norte, com 44% e a Europa, com 35%, foram os alvos preferidos para ataques ransomware durante o ano passado. O setor da indústria foi o mais afetado pelo segundo ano consecutivo.
De acordo com o estudo, os ataques globais de ransomware (tipo de malware que impede o acesso a sistemas ou ficheiros e exige o pagamento de um resgate para o devolver) tiveram um ligeiro decréscimo de 5% face a 2021 (de 2667 em 2021 para 2531 em 2022), tendo crescido 11% na Europa e diminuído 24% na América do Norte. Embora a nível mundial tenha havido um pouco menos de ataques de ransomware do que no ano anterior, verificou-se um aumento notável entre fevereiro e abril de 2022, coincidindo com o início do conflito Rússia-Ucrânia, quando o proeminente grupo LockBit intensificou a atividade.
A análise mostra que os cibercriminosos procuram continuamente novas técnicas e estratégias para extorquir dinheiro às suas vítimas, com o roubo de dados e o DDoS (Distributed Denial of Service – método de impedir o funcionamento de sites depois de enviar diversas solicitações que excedem a capacidade da rede) a serem adicionados ao seu arsenal para mascarar ataques cada vez mais sofisticados.
Grupos cibercriminosos
Com base nos incidentes identificados pelo serviço de gestão de deteção e resposta e pela equipa de resposta a ciberincidentes da NCC Group, o documento revela que o LockBit foi o agente de ameaças mais ativo em 2022, tendo sido responsável por 33% de todos os ataques de ransomware monitorizados, um aumento de 94% face a 2021. Verificaram-se, em 2022, 846 ataques pelo LockBit, face a 436 detetados em 2021. A atividade do grupo atingiu o pico em abril com 103 ataques, antes do lançamento de um novo software de ransomware e da sua renomeação para LockBit 3.0.
O BlackCat contabilizou 8% do total de ataques em 2022. Com apenas 4 ataques em dezembro de 2021, o grupo avançou para uma média de 18 ataques mensais, com um pico de 30 ataques em dezembro de 2022.
O principal agente de ameaças em 2021, o grupo com ligações à Rússia, Conti, reduziu drasticamente os seus níveis de ataque, com apenas 7% em 2022 face aos 21% no ano anterior. De junho em diante, não foram sequer detetados novos ataques por parte do Conti. Esta redução de atividade coincidiu com o aparecimento de um novo grupo, denominado BlackBasta, que se acredita estar associado ou ter vindo substituir o Conti.
Setores
Os setores mais atacados em 2022 foram a indústria, com 804 organizações afetadas (32%), seguida pelo comércio, com 487 (20%) e pela tecnologia, com 263 (10%). Entre o setor do comércio, os segmentos mais atacados foram a hotelaria, o retalho especializado, a construção e os serviços financeiros. No segmento da tecnologia, os serviços de TI e Software foram os mais visados, sobretudo através do roubo de propriedade intelectual.
Regiões
A América do Norte e a Europa sofreram o maior número de ataques de ransomware em 2022. A América do Norte foi a mais afetada, com 44% de todos os incidentes (1.106), uma queda de 24% em relação aos números de 2021 (1.447). A Europa contabilizou 35% de todos os incidentes, com um aumento de 11% no número de ataques, de 810 em 2021 para 896 em 2022. Este aumento foi potencialmente influenciado pelo início do conflito russo-ucraniano no primeiro semestre do ano.
Aumento de ataques DDoS e BEC
O termo “ransomware” referia-se originalmente a um tipo de software que encripta dados com o objetivo da extorsão. Depois, surgiu a dupla extorsão, com o ransomware encoberto e, em seguida, o roubo de dados sensíveis em websites específicos, também conhecido por “pague-agora-ou-seja-extorquido”. Agora, os novos cibercriminosos de ransomware, como o LockBit 3.0, estão a recorrer a ataques DDoS para acrescentar ainda mais pressão às organizações vítimas, conhecida como tripla extorsão.
A NCC Group detetou 230.519 eventos DDoS em 2022, 45% direcionados aos EUA, 27% dos quais em janeiro. Este aumento logo no início do ano reflete uma maior turbulência no cenário de ameaças cibernéticas, em parte influenciado pelo conflito Rússia-Ucrânia. O DDoS continua a ser utilizado como arma por criminosos e grupos ciberativistas como parte do conflito, juntamente com campanhas de desinformação e malware destrutivo para atacar infraestruturas críticas nacionais da Ucrânia e de outros países.
Atraindo menos atenção do que os seus equivalentes de ransomware, os ataques BEC (Business Email Compromisse – fraude direcionada às mensagens empresariais com o objetivo de obter informações confidenciais e desviar recursos financeiros) são claramente uma ameaça crescente que as organizações devem prestar atenção e representaram 33% de todos os incidentes observados pela equipa de resposta a incidentes cibernéticos da NCC Group.
Para Matt Hull, Global Head of Threat Intelligence da NCC Group, “2022 foi outro ano difícil. O ambiente de ameaças foi fortemente influenciado pelo conflito entre a Rússia e a Ucrânia, com um imenso arsenal de ciber-capacidades ofensivas, do DDoS ao malware, espalhadas por criminosos, ciberativistas e até por outros países. Embora talvez não tenha sido o “cibergeddon” que alguns esperavam do próximo grande conflito global, temos assistido a um aumento de ataques promovidos por estados, com a ciberguerra a ser crítica neste campo de batalha ciber-físico híbrido”.
O responsável adiantou ainda que, “apesar da ligeira queda de ataques de ransomware, isso não significa que podemos tomar a missão como cumprida. De facto, este declínio deve-se provavelmente em parte a um acréscimo das linhas de defesa, a uma resposta cada vez mais dura e colaborativa por parte dos governos e autoridades policiais, bem como ao impacto global da guerra na Ucrânia. Como resultado, assistimos a várias operações coordenadas em 2022 que resultaram na prisão de membros-chave de cibercriminosos, bem como ao desmantelamento de grupos há muito estabelecidos, como o Conti, o mais ativo em 2021.”
“Olhando para 2023, prevemos que os atacantes se foquem na tentativa de comprometer cadeias de fornecimento, fazendo bypass à autenticação de factores múltiplos e aproveitando-se de APIs mal configuradas. A ameaça irá persistir e as organizações devem permanecer vigilantes, compreender como podem ficar expostas e tomar medidas para mitigar qualquer risco”, conclui Matt Hull.