Um relatório recente do Fundo Monetário Internacional (FMI) afirma que bancos e seguradoras foram alvo de mais de 20 mil ataques cibernéticos, que causaram um prejuízo estimado de US$ 12 bilhões. Para a ISH Tecnologia, esses números ressaltam como o setor financeiro é um dos alvos preferidos dos cibercriminosos.
O motivo principal para esse interesse tem relação com o grande volume de dados sensíveis e recursos econômicos que essas companhias gerenciam, tornando-as alvos atraentes para operações de fraude, extorsão e roubo de informações.
Graças ao desenvolvimento exponencial da tecnologia, o setor teve sua superfície de ataques ampliada. Diferentemente de outros campos, como o de água e saneamento, que podem ser afetados por falhas em atualizações e manutenção, as operações direcionadas a essa área são caracterizadas por uma alta complexidade e precisão.
De acordo com a ISH, os agentes maliciosos modificam e aprimoram cada vez mais seus métodos ofensivos direcionados ao setor, a fim de tornarem suas operações indetectáveis e bem-sucedidas. Segundo os pesquisadores, os cibercriminosos exploram uma ampla gama de táticas, técnicas e procedimentos (conhecidos como TTPs) para comprometer os sistemas financeiros. Dentre os ataques, estão inclusas práticas sofisticadas de phishing, disseminação de ransomwares e invasões de rede.
No geral, o setor financeiro é visado por dois tipos diferentes de atores de ameaças. Os grupos cibercriminosos são caracterizados por disparar ofensivas com mais frequência e na busca de obter lucro imediato. De forma ágil e a partir da exploração de brechas e vulnerabilidades, eles atuam com o intuito de extorquir grandes somas de dinheiro ou comprometer informações sensíveis.
Por outro lado, os grupos de Estado-Nação direcionam operações com motivações que vão além do ganho financeiro direto, ao abranger interesses políticos e econômicos. Geralmente, seus ataques têm como alvo bancos centrais, bolsas de valores e grandes instituições financeiras. Além disso, essa espécie de ator de ameaça busca desestabilizar economias ou roubar informações estratégicas para ganhos de longo prazo.
Principais grupos
No cenário digital, destacam-se as operações de dois grupos de ransomware: Black Basta e Qilin. Ambos atuam em um modelo de Ransomware-as-a-Service (RaaS), no qual outros afiliados têm acesso à infraestrutura utilizada nos ataques. A partir daí, esses colaboradores têm acesso ao software malicioso e a outras ferramentas necessárias para personalizar golpes, comprometer redes e extorquir vítimas. Após as ações negativas, eles compartilham uma porcentagem dos resgates exigidos com os administradores dos grupos.
O diferencial do Black Basta está em sua rápida adaptação a novas táticas de ataque e em sua infraestrutura técnica robusta, que torna suas operações difíceis de mitigar e rastrear. Sua abordagem segue um padrão já conhecido: após comprometer a rede da vítima, o grupo exfiltra os dados e implanta o ransomware. Caso o resgate não seja pago, os materiais roubados são publicados em sites de vazamento controlados pelo grupo.
O Qilin, por sua vez, tem como característica principal sua adaptabilidade a diferentes sistemas operacionais, com capacidades de ataques direcionados a ambientes Windows, Linux e até mesmo sistemas ESXi. Em termos de métodos ofensivos, o ransomware obtém acesso inicial por meio de e-mails de phishing e credenciais comprometidas. Uma vez dentro do sistema, ele se movimenta lateralmente pela rede e realiza a exfiltração de dados antes de iniciar a criptografia.
Essa abordagem garante que os operadores possuam informações críticas para aumentar as chances de sucesso na extorsão. Além disso, o Qilin é conhecido por recrutar parceiros, anunciar serviços e manter uma presença ativa na dark web.
Assim como os grupos cibercriminosos, os Atores de Estado-Nação também correspondem as principais ameaças do atual cenário cibernético. O Lazarus Group, também conhecido como APT38, é um grupo avançado de ameaças persistentes (APT) e uma das mais perigosas organizações desse estilo.
Ligado ao governo norte-coreano, ele é conhecido por realizar desde espionagem até ataques financeiros em larga escala. Sua principal meta é desviar grandes somas para financiar o regime local.
Sua adaptabilidade e complexidade operacional fazem dele uma das maiores ameaças cibernéticas globais. Com o passar do tempo, o Lazarus adotou novas técnicas e passou a explorar vulnerabilidades emergentes, por meio de phishing, spyware e movimentações laterais.
Além desses riscos cibernéticos, o setor financeiro também é alvo direto de ataques por trojans bancários. Nesse contexto, os softwares maliciosos são projetados para obter informações monetárias confidenciais, como números de contas de bancos ou de cartões de crédito.
Recomendações
Com as ameaças cibernéticas aprimoradas e, na maioria das vezes, direcionadas ao setor financeiro, a ISH Tecnologia elenca dicas de mitigação para que usuários e instituições da área consigam se prevenir: Autenticação Multifator (MFA); backups regulares e segregados; monitoramento e análise de logs; criptografia de dados sensíveis e threat intelligence; e segmentação de rede e atualizações de patches.
