Relatório de Defesa Digital da Microsoft: Atividades de espionagem crescem a nível mundial

Report this content

  • Ciberataques atingiram 120 países, impulsionados por espionagem instigada pelos governos;
  • A Microsoft bloqueou dezenas de milhares de milhões de ameaças de malware, 237 mil milhões de tentativas de ataque a passwords e 619.000 ataques distributed denial of service (DDoS);
  • Ataques de ransomware aumentarem 200% desde setembro de 2022
 
A Microsoft acaba de divulgar os resultados do Relatório de Defesa Digital, onde revela que os ciberataques atingiram 120 países, impulsionados por espionagem instigada por governos e com as operações de influência (IO) também a aumentar. Com base em mais de 65 biliões de sinais diários, o estudo cobre as tendências entre julho de 2022 e junho de 2023 das atividades de Estado-nação, cibercrime e técnicas de defesa.

Quase metade destes ataques visaram Estados membros da NATO e mais de 40% foram dirigidos a organizações governamentais ou do sector privado envolvidas na construção e manutenção de infraestruturas críticas. Apesar dos ataques que estiveram em destaque no ano passado estivessem frequentemente associados à destruição ou ao ganho financeiro com ransomware, os dados mostram que a motivação predominante voltou a ser a vontade de roubar informações, monitorizar secretamente as comunicações ou manipular o que as pessoas leem:
  • Os serviços secretos russos reorientaram os seus ciberataques para atividades de espionagem de apoio à guerra contra a Ucrânia, continuando simultaneamente a efetuar ciberataques destrutivos na Ucrânia, mas a desenvolver esforços de espionagem mais vastos;
  • Os esforços iranianos, outrora centrados em derrubar as redes dos seus alvos, tendem também hoje a amplificar mensagens manipuladoras para promover objetivos geopolíticos ou aceder a dados que circulam em redes sensíveis;
  • A China alargou o recurso a campanhas de espionagem para obter informações destinadas a impulsionar a sua iniciativa "Uma Faixa, Uma Rota" ou a política regional, para espiar os EUA, incluindo as principais instalações para as forças armadas americanas, e para estabelecer o acesso às redes de entidades de infraestruturas críticas;
  • Os atores norte-coreanos têm tentado roubar secretamente informações confidenciais; visaram uma empresa envolvida na tecnologia de submarinos e, por outro lado, utilizaram os ciberataques para roubar centenas de milhões em criptomoeda.
 
Mais países e setores sob ataque
Embora os EUA, a Ucrânia e Israel continuem a ser os países mais atacados, no último ano assistiu-se a um aumento dos ataques a nível global*. É o caso, em particular, do Sul Global, nomeadamente da América Latina e da África Subsariana. O Irão aumentou as suas operações no Médio Oriente. As organizações envolvidas na elaboração e execução de políticas estão entre as mais visadas, em consonância com a mudança de foco para a espionagem.

Rússia e China dão mais atenção às comunidades da diáspora
Tanto a Rússia, como a China, estão a aumentar as suas operações de influência contra uma série de comunidades da diáspora.  A Rússia pretende intimidar as comunidades ucranianas a nível mundial e semear a desconfiança entre os refugiados de guerra e as comunidades de acolhimento numa série de países, especialmente na Polónia e nos Estados Bálticos.  Em contrapartida, a China utiliza uma vasta rede de contas coordenadas em dezenas de plataformas para difundir propaganda dissimulada.  Estas contas visam diretamente as comunidades globais de língua chinesa e outras, denegrindo as instituições dos EUA e promovendo uma imagem positiva da China.

Convergência das operações de influência com os ciberataques
Os atores dos Estados-nação estão a utilizar mais frequentemente as OI juntamente com as ciber operações para difundir narrativas de propaganda favoráveis. Estas têm como objetivo manipular a opinião pública nacional e mundial para enfraquecer as instituições democráticas das nações adversárias, o que é mais perigoso no contexto de conflitos armados e de eleições nacionais. Por exemplo, na sequência da invasão da Ucrânia, a Rússia programou consistentemente as suas operações de IO com ataques militares e cibernéticos.  Do mesmo modo, em julho e setembro de 2022, o Irão avançou com ciberataques destrutivos contra o governo albanês com uma campanha de influência coordenada que ainda está em curso.

Tendências por Estado-Nação
Embora tenha havido um aumento geral das ameaças, foram observadas tendências nos atores mais ativos dos Estados-nação.
  • Rússia tem como alvo os aliados da Ucrânia na NATO – Os atores estatais russos expandiram as suas atividades relacionadas com a Ucrânia para visar os aliados de Kiev, principalmente os membros da NATO. Em abril e maio de 2023, a Microsoft observou um aumento de atividade contra organizações ocidentais, 46% das quais em Estados membros da NATO, em particular os Estados Unidos, o Reino Unido e a Polónia.  Vários atores estatais russos fizeram-se passar por diplomatas ocidentais e funcionários ucranianos, tentando aceder às contas para obter informações sobre a política externa ocidental em relação à Ucrânia, planos e intenções de defesa e investigações de crimes de guerra.
  • China tem como alvo a defesa dos EUA, os países do Mar do Sul da China e os parceiros da Iniciativa Uma Faixa, Uma Rota – As atividades alargadas e sofisticadas da China refletem a sua dupla procura de influência global e de recolha de informações.  Os seus alvos são mais frequentemente as infraestruturas críticas e de defesa dos EUA, as nações que fazem fronteira com o Mar do Sul da China (especialmente Taiwan) e até os próprios parceiros estratégicos da China. Para além dos múltiplos ataques sofisticados às infraestruturas dos EUA descritos no relatório, a Microsoft também identificou atores baseados na China atacarem os parceiros da Iniciativa Uma Faixa, Uma Rota, como a Malásia, a Indonésia e o Cazaquistão.
  • Irão lança novos ataques em África, na América Latina e na Ásia – No ano passado, alguns atores estatais iranianos aumentaram a complexidade dos seus ataques.  O Irão não só visou países ocidentais que considera estarem a fomentar a agitação no Irão, como também expandiu o seu alcance geográfico para incluir mais países asiáticos, africanos e latino-americanos. Na frente IO, o Irão tem promovido narrativas que procuram reforçar a resistência palestiniana, semear o pânico entre os cidadãos israelitas, fomentar a agitação xiita nos países do Golfo Árabe e contrariar a normalização dos laços israelitas e árabes.  O Irão também tem feito esforços para aumentar a coordenação das suas atividades com a Rússia.
  • Coreia do Norte tem como alvo as organizações russas, entre outras – A Coreia do Norte aumentou a sofisticação das suas ciberoperações no último ano, especialmente no que respeita ao roubo de criptomoedas e aos ataques à cadeia de abastecimento. Além disso, a Coreia do Norte está a utilizar emails de spear-phishing e perfis do LinkedIn para visar especialistas da península coreana em todo o mundo para recolher informações. Apesar do recente encontro entre Putin e Kim Jong-Un, a Coreia do Norte tem como alvo a Rússia, especialmente para a recolha de informações sobre energia nuclear, defesa e política governamental.
 
IA cria ameaças – mas também oportunidades de defesa
Os atacantes já estão a utilizar a Inteligência Artificial (IA) como uma arma para aperfeiçoar mensagens de phishing e melhorar as operações de influência com imagens sintéticas. Mas a IA também será crucial para uma defesa bem-sucedida, automatizando e aumentando aspetos da cibersegurança, como a deteção, resposta, análise e previsão de ameaças. A IA também pode permitir que os modelos de linguagem de grande dimensão (LLM) gerem informações e recomendações em linguagem natural a partir de dados complexos, ajudando a que os analistas sejam mais eficazes e reativos.

Neste período de análise, já foi possível assistir a uma ciberdefesa impulsionada por IA a inverter a maré de ciberataques; na Ucrânia, por exemplo, a IA ajudou a defender a Rússia.

À medida que a IA transformadora reformula muitos aspetos da sociedade, é necessário apostar em práticas de IA responsáveis, cruciais para manter a confiança e a privacidade dos utilizadores e para criar benefícios a longo prazo. Os modelos de IA generativa exigem uma evolução das práticas de cibersegurança e os modelos de ameaças para fazer face a novos desafios, como a criação de conteúdos realistas - incluindo texto, imagens, vídeo e áudio - que podem ser utilizados por atores de ameaças para espalhar desinformação ou criar código malicioso. Para garantir que continuam à frente destas ameaças emergentes, a Microsoft está empenhada em garantir que todos os seus produtos e serviços de IA são desenvolvidos e utilizados de uma forma que respeite os princípios de IA.

O estado do cibercrime
Embora os grupos de ameaças tenham acelerado significativamente o ritmo dos seus ataques ao longo do último ano, as proteções incorporadas nos produtos Microsoft bloquearam dezenas de milhares de milhões de ameaças de malware, impediram 237 mil milhões de tentativas de ataque a passwords e mitigaram 619.000 ataques distributed denial of service (DDoS) que visam desativar um servidor, serviço ou rede sobrecarregando-o com um excesso de tráfego da Internet.

Os criminosos procuram também aumentar o seu anonimato e eficácia, utilizando a encriptação remota para encobrir o seu rasto de forma mais eficaz, bem como ferramentas baseadas na cloud, como as máquinas virtuais.  Mas o reforço das parcerias públicas e privadas significa que os criminosos estão cada vez mais na mira das autoridades policiais. Por exemplo, o ransomware conhecido como "Target" foi descoberto e foram efetuadas detenções e acusações com êxito. Mas os criminosos continuam a procurar os pontos de entrada mais fáceis nos sistemas e é necessário um esforço contínuo e acelerado para estar um passo à frente.

Ataques de ransomware aumentam em sofisticação e velocidade
A telemetria da Microsoft indica que as organizações viram os ataques de ransomware executados por humanos aumentarem 200% desde setembro de 2022. Esses ataques são geralmente um tipo de ataque do tipo "mãos no teclado", normalmente visando uma organização inteira com pedidos de resgate personalizados.

Os atacantes também estão a desenvolver ataques para minimizar a sua pegada, com 60% a utilizar encriptação remota, tornando assim ineficaz a correção baseada em processos. Estes ataques são também notáveis pela forma como tentam obter acesso a dispositivos não geridos – mais de 80 por cento de todos os comprometimentos que observámos têm origem nesses dispositivos não geridos.

“Ataques de fadiga” a passwords e autenticação multifactor (MFA) disparam
A MFA é o método de autenticação cada vez mais comum que exige que os utilizadores forneçam dois ou mais fatores de identificação para obterem acesso a um site ou aplicação. Embora a implementação da MFA seja uma das defesas mais fáceis e eficazes que as organizações podem implementar contra-ataques, reduzindo o risco de comprometimento em 99,2%, os atores de ameaças estão cada vez mais a tirar partido da "fadiga da MFA" para bombardear os utilizadores com notificações MFA, na esperança de que estes acabem por aceitar e fornecer acesso.

A Microsoft observou aproximadamente 6.000 tentativas de fadiga da MFA por dia no último ano.  Além disso, o primeiro trimestre de 2023 registou um aumento dramático de dez vezes nos ataques a passwords contra identidades na cloud, especialmente no setor da educação, de cerca de 3 mil milhões por mês para mais de 30 mil milhões - uma média de 4.000 ataques a passwords por segundo direcionados para identidades na cloud da Microsoft este ano.

A única defesa segura será uma defesa coletiva
A escala e a natureza das ameaças descritas no Relatório de Defesa Digital da Microsoft podem parecer desanimadoras.  No entanto, estão a ser dados grandes passos na frente tecnológica para derrotar estes atacantes e, ao mesmo tempo, estão a ser criadas parcerias fortes que transcendem fronteiras, indústrias e a divisão público-privada. Estas parcerias estão a ter um sucesso cada vez maior em manter os utilizadores seguros e é por isso que é vital continuar a alargá-las e a aprofundá-las

Tags: