*Por Ray Canzanese
O dia 24 de fevereiro de 2023 marcou um ano desde que a Rússia invadiu a Ucrânia, iniciando um conflito que já matou mais de 8.000, feriu mais de 13.300 e deslocou mais de 14 milhões de pessoas no ano passado, de acordo com a ONU. A guerra física entre a Ucrânia e a Rússia foi acompanhada por uma guerra cibernética entre os dois países. Aqui nos concentramos na guerra cibernética, particularmente o que podemos aprender com o ano passado.
Os ataques visam principalmente agências governamentais e infraestrutura crítica
A maioria dos ataques russos no ano passado teve como alvo agências militares e governamentais e infraestrutura crítica, principalmente provedores de telecomunicações e empresas de energia. Outros ataques foram mais amplamente direcionados a empresas e indivíduos na Ucrânia e seus aliados em todo o mundo. Enquanto isso, a maioria dos ataques ucranianos foi direcionada a instituições do governo russo, com ataques focados em derrubar sites, paralisar serviços financeiros e interromper campanhas de desinformação.
O phishing é a principal técnica de infiltração usada para a maioria dos ataques
A técnica de infiltração mais comum usada na guerra cibernética tem sido o phishing, com ambos os lados usando campanhas direcionadas, muitas vezes acompanhadas por exploits baseados em arquivos ou outras cargas maliciosas. O phishing é popular na guerra cibernética porque é simples, de baixo risco, eficaz e versátil. Uma mensagem de phishing bem elaborada e direcionada entregue via aplicativo de mensagens, SMS, e-mail, mídia social ou outro canal pode ser usada contra praticamente qualquer tipo de alvo. Depois de um phishing bem-sucedido, os ataques geralmente se concentram em espionagem ou sabotagem.
Espionagem e sabotagem são o foco
Na guerra cibernética, esses são os principais objetivos. No ano passado, a espionagem normalmente assumiu a forma de RATs e infostealers, enquanto a sabotagem assumiu com frequência a forma de ataques DDoS, ransomware e wipers (malware que apaga o HD do equipamento infectado). Ao longo do ano, muitos wipers russos surgiram para atacar a Ucrânia, incluindo WhisperGate, HermeticWiper, IsaacWiper e outros. Um recente ataque de ransomware usou uma nova família de ransomware, Prestige, para atingir os setores de logística e transporte na Ucrânia e na Polônia.
15% dos ataques têm como alvo outras nações, principalmente aliados
Enquanto aproximadamente 85% dos ataques foram direcionados a indivíduos ou organizações dentro da Rússia ou da Ucrânia, os 15% restantes foram direcionados principalmente a aliados em todo o mundo. Como os ataques dentro da Rússia e da Ucrânia, os ataques a alvos em outras nações também miraram infraestruturas críticas e agências governamentais.
O ataque mais significativo da guerra russo-ucraniana aconteceu em 2017 com o NotPetya, um wiper russo direcionado à Ucrânia que acabou infectando sistemas em todo o mundo, incluindo as empresas Maersk e Merck, causando cerca de US $ 10 bilhões em danos. Ao longo deste último ano ainda não notamos um ataque dessa escala. Até agora, os ataques fora da Rússia e da Ucrânia têm sido aparentemente bem direcionados. Alguns, notavelmente o ataque inicial contra Viasat, foram direcionados com menos precisão. Embora destinado a interromper a conectividade de redes na Ucrânia, o ataque Viasat causou interrupções em toda a Europa.
Lições
• Controles e treinamento antiphishing são defesas essenciais durante uma guerra cibernética. Bloquear as tentativas de phishing pode ajudar a interromper um ciberataque antes que ele possa causar qualquer dano;
• As agências governamentais e a infraestrutura crítica estão em maior risco durante uma guerra cibernética, garantindo investimentos extras em defesas de cibersegurança e o estabelecimento de controles mais rigorosos para reduzir a superfície de risco;
• As defesas contra ransomware, especialmente backups robustos e bem testados, também podem ser defesas eficazes contra alguns wipers destrutivos que geralmente são usados durante uma ciberguerra;
• Quanto mais próximo um indivíduo ou organização estiver do conflito, seja fisicamente ou por meio de aliança, maior a probabilidade de se tornar um alvo. Embora a maioria dos ataques seja direcionada a agências governamentais e infraestrutura crítica dentro dos países em guerra, qualquer pessoa nesses países é alvo comum, assim como indivíduos e organizações que são aliados de ambos os lados.
Olhando para o futuro
À medida que o conflito físico na Ucrânia continua, o mesmo acontecerá com a guerra cibernética. Estima-se que os ataques físicos da Rússia contra a Ucrânia se intensifiquem no próximo ano, e que os ataques cibernéticos aumentem no mesmo ritmo. Quanto mais tempo o conflito se arrastar, maior a probabilidade de vermos aliados alvejados em todo o mundo, além dos ataques adicionais.
*Ray Canzanese é diretor do Netskope Threat Labs