A Check Point divulgou dados sobre os ataques cibernéticos observados no atual conflito Rússia e Ucrânia. De acordo com análise dos pesquisadores da CPR, os ataques cibernéticos ao governo e ao setor militar da Ucrânia aumentaram 196% nos primeiros três dias de combate, contra as organizações russas aumentaram 4% e os e-mails de phishing nos idiomas eslavos orientais aumentaram em sete (7) vezes, sendo que um terço desses e-mails de phishing maliciosos foram direcionados a destinatários russos enviados de endereços de e-mails ucranianos.
O aumento de quase 200% nos ciberataques contra o governo e o setor militar da Ucrânia, nos três primeiros dias de combate, refere-se à comparação com os primeiros dias de fevereiro de 2022. O mesmo setor, tanto no âmbito global como na Rússia, não mostrou um aumento semelhante.
Aumento de 4% nos ataques cibernéticos na Rússia
Nos dias 24 a 26 de fevereiro, a CPR documentou um acréscimo de 4% nos ataques cibernéticos por organização na Rússia, em comparação com a semana anterior. Na Ucrânia, a quantidade total de ataques cibernéticos por organização aumentou 0,2%. Outras regiões do mundo experimentaram uma diminuição nos ataques cibernéticos por organização, conforme gráfico abaixo:
A CPR verificou ainda um aumento significativo de sete (7) vezes nos e-mails de phishing maliciosos nos idiomas eslavos orientais (cartas da Rússia/Ucrânia). O gráfico a seguir mostra a porcentagem desses e-mails de phishing em relação a todos os e-mails maliciosos enviados semanalmente nas últimas cinco semanas (desde 24 de janeiro até 27 de fevereiro):
Além disso, um terço desses e-mails de phishing direcionados a destinatários russos foram enviados de endereços de e-mails ucranianos, reais ou falsificados.
Atenção para fraudes em doações à Ucrânia
A CPR também identificou e-mails fraudulentos por meio dos quais os atacantes se aproveitam da situação para obter lucro financeiro, atraindo os destinatários a doar dinheiro para fundos de apoio ucranianos falsos.
“Em nossa investigação sobre a atividade cibernética que surgiu em torno do conflito Rússia/Ucrânia, observamos aumentos de ciberataques em ambos os lados, com o governo ucraniano e o setor militar do país apresentando um aumento em maior quantidade. É importante entender que a guerra atual também tem uma dimensão cibernética, em que as pessoas que estão online têm escolhido o lado da Darkweb até as redes sociais”, explica Lotem Finkelstein, chefe de Inteligência de Ameaças da Check Point Software Technologies.
A equipe da Check Point Research destacou principais dicas de segurança para as pessoas que pretendem realizar doações à Ucrânia:
1) Descubra domínios falsos
Uma das técnicas mais comuns usadas em e-mails de phishing são domínios semelhantes ou falsos. Os domínios semelhantes são projetados para parecerem um domínio legítimo ou confiável à primeira vista. Por exemplo, em vez do endereço de e-mail manager@company.com, um e-mail de phishing pode usar manager@cornpany.com ou boss@company.com. Os atacantes também podem usar domínios falsos, mas plausíveis em seus ataques.
2) Desconfie de anexos incomuns
Um objetivo comum dos e-mails de phishing é induzir o destinatário a baixar e executar malware anexado à mensagem em seu computador. Para que isso funcione, o e-mail precisa carregar um arquivo capaz de executar código executável. Como resultado, os e-mails de phishing podem ter anexos incomuns ou suspeitos. Por exemplo, uma suposta fatura pode ser um arquivo ZIP ou um documento anexado do Microsoft Office pode exigir que as macros sejam habilitadas para visualizar o conteúdo. Se for esse o caso, é provável que o e-mail e seus anexos sejam maliciosos.
3) Fique atento à gramática ou tom da mensagem
Muitas vezes, os e-mails de phishing não são escritos por pessoas fluentes no idioma. Isso significa que esses e-mails podem conter erros gramaticais ou simplesmente soar errados ou incorretos. É improvável que e-mails reais de uma organização legítima tenham esses erros, portanto, devem ser um sinal de alerta de um possível ataque de phishing. Os e-mails de phishing são projetados para convencer o destinatário a fazer algo que não é do seu interesse (fornecer informações confidenciais, instalar malware etc).
Para conseguir isso, os atacantes costumam usar truques psicológicos ou a engenharia social em suas campanhas, como:
• Senso de Urgência: Os e-mails de phishing geralmente informam aos destinatários que algo precisa ser feito imediatamente. Isso ocorre porque é menos provável que alguém, que esteja com pressa, pense se o e-mail parece suspeito ou legítimo.
• Uso de autoridade: Golpes de comprometimento de e-mail comercial (BEC) e outros e-mails de spear phishing geralmente fingem ser do CEO ou de outro pessoal autorizado de alto nível. Esses golpes se aproveitam do fato de o destinatário estar inclinado a seguir as ordens das autoridades, sejam elas quais forem.
4) Cuidado com Pedidos Suspeitos
E-mails de phishing são projetados para roubar dinheiro, credenciais ou outras informações confidenciais. Se um e-mail fizer uma solicitação ou uma demanda que pareça incomum ou suspeita, então isso pode ser uma evidência de que é parte de um ataque de phishing.
Atenção com a segurança corporativa
Dada a recente incerteza geopolítica, os profissionais de segurança cibernética também precisam se preparar para um aumento contínuo na atividade de ameaças. As instâncias já foram relatadas. Por exemplo, as equipes da Check Point Research encontraram um aumento de ataques de negação de serviço distribuído (DDoS), alguns deles realizados por botnets de IoT, como Mirai. Também vimos evidências de ferramentas de limpeza (wiper) usadas para derrubar máquinas.
A natureza interconectada dos mercados e sistemas globais introduz a possibilidade de que ataques direcionados possam impactar sistemas em empresas e organizações localizadas fora de países envolvidos em atividades geopolíticas. Em todos os casos de risco aumentado, é imperativo que as equipes de TI mantenham contato com as autoridades locais e nacionais e sigam os avisos dos serviços de inteligência de ameaças e das equipes de resposta a emergências de computadores (CERTs).
Os pesquisadores da Check Point Software indicam um conjunto de práticas recomendadas iniciais que são relevantes para vários vetores de ataques em potencial.
Proteção contra-ataques DDoS
Os gateways fornecem vários recursos que podem ser usados para mitigar os impactos dos ataques DDoS. Isso inclui assinaturas especializadas de prevenção de intrusões, configurações de sistema operacional e gateway, respostas automatizadas de gerenciamento, bem como comandos para bloquear dinamicamente as fontes de ataque.
Uma série de outras soluções são recomendadas, como aquelas dedicadas à mitigação de DDoS, em que há dispositivos de mitigação de ataques de perímetro que protege as organizações contra ameaças emergentes de rede e aplicativos e outras para proteção da infraestrutura contra o tempo de inatividade da rede e do aplicativo (ou tempo lento), exploração de vulnerabilidade do aplicativo, disseminação de malware, anomalias de rede, roubo de informações e outros tipos de ataques.
Prevenir ransomware e “limpadores”
As soluções devem atender, principalmente, proteção contra ransomware e “limpadores” (wipers) e outros tipos de software malicioso, por meio das soluções de prevenção de ameaças.
Gateways
Configurar o IPS para prevenir e não apenas detectar ataques usando as políticas recomendadas. Adotar uma abordagem preventiva aumenta significativamente os perfis de defesa e simplifica as atividades de correção futuras. Assim, soluções IPS protegem contra os vetores de ataque mais relevantes conhecidos por espalhar ransomware e limpadores. Revisar as configurações de gateway, gerenciamento e prevenção de ameaças são essenciais para maximizar a proteção e o desempenho. Isso pode incluir otimizar a política de prevenção de ameaças e ativar a inspeção HTTPS no tráfego relevante; e minimizar a exposição com backups de dados contínuos e correções de sistemas.
Desinformação e phishing
A expectativa é de que os atacantes empreguem formas tradicionais e inovadoras de engenharia social. Isso pode incluir e-mails e mensagens de texto que atraem as vítimas para sites maliciosos ou para baixar arquivos com ataques incorporados. Portanto, é imprescindível:
• Reiterar a conscientização e educação cibernética para os funcionários;
• Evitar ataques de phishing zero em e-mails, endpoints e dispositivos móveis;
• Ativar as proteções de emulação e extração de ameaças;
• Aproveitar os recursos de Zero Phishing.
Proteger os funcionários remotos
Em um ambiente de trabalho híbrido atual, é importante fornecer aos funcionários remotos acesso seguro aos recursos corporativos a partir das proteções na borda para bloquear ataques maliciosos.