Lições aprendidas após um ano de ciberguerra russo-ucraniana

Na última sexta-feira (24) completou um ano desde que a Rússia invadiu a Ucrânia, iniciando um conflito que já matou mais de 8.000, feriu mais de 13.300 e deslocou mais de 14 milhões de pessoas no ano passado, de acordo com a ONU. Mas o que podemos aprender com essa guerra cibernética

Compartilhar:

*Por Ray Canzanese

 

O dia 24 de fevereiro de 2023 marcou um ano desde que a Rússia invadiu a Ucrânia, iniciando um conflito que já matou mais de 8.000, feriu mais de 13.300 e deslocou mais de 14 milhões de pessoas no ano passado, de acordo com a ONU. A guerra física entre a Ucrânia e a Rússia foi acompanhada por uma guerra cibernética entre os dois países. Aqui nos concentramos na guerra cibernética, particularmente o que podemos aprender com o ano passado.

 

Os ataques visam principalmente agências governamentais e infraestrutura crítica

 

A maioria dos ataques russos no ano passado teve como alvo agências militares e governamentais e infraestrutura crítica, principalmente provedores de telecomunicações e empresas de energia. Outros ataques foram mais amplamente direcionados a empresas e indivíduos na Ucrânia e seus aliados em todo o mundo. Enquanto isso, a maioria dos ataques ucranianos foi direcionada a instituições do governo russo, com ataques focados em derrubar sites, paralisar serviços financeiros e interromper campanhas de desinformação.

 

O phishing é a principal técnica de infiltração usada para a maioria dos ataques

 

A técnica de infiltração mais comum usada na guerra cibernética tem sido o phishing, com ambos os lados usando campanhas direcionadas, muitas vezes acompanhadas por exploits baseados em arquivos ou outras cargas maliciosas. O phishing é popular na guerra cibernética porque é simples, de baixo risco, eficaz e versátil. Uma mensagem de phishing bem elaborada e direcionada entregue via aplicativo de mensagens, SMS, e-mail, mídia social ou outro canal pode ser usada contra praticamente qualquer tipo de alvo. Depois de um phishing bem-sucedido, os ataques geralmente se concentram em espionagem ou sabotagem.

 

Espionagem e sabotagem são o foco

 

Na guerra cibernética, esses são os principais objetivos. No ano passado, a espionagem normalmente assumiu a forma de RATs e infostealers, enquanto a sabotagem assumiu com frequência a forma de ataques DDoS, ransomware e wipers (malware que apaga o HD do equipamento infectado). Ao longo do ano, muitos wipers russos surgiram para atacar a Ucrânia, incluindo WhisperGate, HermeticWiper, IsaacWiper e outros. Um recente ataque de ransomware usou uma nova família de ransomware, Prestige, para atingir os setores de logística e transporte na Ucrânia e na Polônia.

 

15% dos ataques têm como alvo outras nações, principalmente aliados

 

Enquanto aproximadamente 85% dos ataques foram direcionados a indivíduos ou organizações dentro da Rússia ou da Ucrânia, os 15% restantes foram direcionados principalmente a aliados em todo o mundo. Como os ataques dentro da Rússia e da Ucrânia, os ataques a alvos em outras nações também miraram infraestruturas críticas e agências governamentais.

 

O ataque mais significativo da guerra russo-ucraniana aconteceu em 2017 com o NotPetya, um wiper russo direcionado à Ucrânia que acabou infectando sistemas em todo o mundo, incluindo as empresas Maersk e Merck,       causando cerca de US $ 10 bilhões em danos. Ao longo deste último ano ainda não notamos um ataque dessa escala. Até agora, os ataques fora da Rússia e da Ucrânia têm sido aparentemente bem direcionados. Alguns, notavelmente o ataque inicial contra Viasat, foram direcionados com menos precisão. Embora destinado a interromper a conectividade de redes na Ucrânia, o ataque Viasat causou interrupções em toda a Europa.

 

Lições

 

• Controles e treinamento antiphishing são defesas essenciais durante uma guerra cibernética. Bloquear as tentativas de phishing pode ajudar a interromper um ciberataque antes que ele possa causar qualquer dano;

 

•  As agências governamentais e a infraestrutura crítica estão em maior risco durante uma guerra cibernética, garantindo investimentos extras em defesas de cibersegurança e o estabelecimento de controles mais rigorosos para reduzir a superfície de risco;

 

•  As defesas contra ransomware, especialmente backups robustos e bem testados, também podem ser defesas eficazes contra alguns wipers destrutivos que geralmente são usados durante uma ciberguerra;

 

•  Quanto mais próximo um indivíduo ou organização estiver do conflito, seja fisicamente ou por meio de aliança, maior a probabilidade de se tornar um alvo. Embora a maioria dos ataques seja direcionada a agências governamentais e infraestrutura crítica dentro dos países em guerra, qualquer pessoa nesses países é alvo comum, assim como indivíduos e organizações que são aliados de ambos os lados.

 

Olhando para o futuro

 

À medida que o conflito físico na Ucrânia continua, o mesmo acontecerá com a guerra cibernética. Estima-se que os ataques físicos da Rússia contra a Ucrânia se intensifiquem no próximo ano, e que os ataques cibernéticos aumentem no mesmo ritmo. Quanto mais tempo o conflito se arrastar, maior a probabilidade de vermos aliados alvejados em todo o mundo, além dos ataques adicionais.

 

*Ray Canzanese é diretor do Netskope Threat Labs

Conteúdos Relacionados

Security Report | Overview

Ransomware cai 26% no Brasil, mas país segue como maior vítima na América Latina

Mesmo com queda de 26% se comparado a 2023, o país apresenta mais de 487 mil detecções de ransomware no...
Security Report | Overview

Como harmonizar benefícios e vulnerabilidades da multinuvem no Brasil?

Enquanto, em um lado, as estratégias de multicloud podem ajudar empresas a otimizar seus negócios de forma visível, caso não...
Security Report | Overview

Outubro da Cibersegurança: Fatores humanos seguem como maiores riscos

Na atualidade, o erro humano é o que tem levado a mais ocorrências de violação cibernética nas empresas
Security Report | Overview

Exército Brasileiro coordena nova edição do Guardião Cibernético

Evento é o maior exercício cibernético do Hemisfério Sul e permitem que Forças Armadas, órgãos parceiros e representantes de infraestruturas...