Separamos cinco acontecimento que podem nos dar um panorama de como foi o ano de 2022 no mundo da cibersegurança. Entre eles, destacamos os ataques cibernéticos no contexto do conflito geopolítico entre a Rússia e a Ucrânia, as atividades criminosas realizadas pelo grupo Lapsus$ que afetou grandes empresas, o ataque a Ronin que resultou no roubo de mais de US$ 600 milhões, ataques de ransomware a orgãos governamentais e a descoberta do ProxyNotShell, uma série de vulnerabilidades no Microsoft Exchange Server que gerou preocupações. Veja o nosso resumo:
Ataques de malware com intenção destrutiva
Com o início da guerra entre a Rússia e a Ucrânia vieram os primeiros ciberataques destrutivos direcionados a infraestruturas críticas em várias ocasiões. Três semanas depois que a Rússia invadiu o território ucraniano, três tipos diferentes de malware do tipo wiper já haviam sido detectados, usados em ataques contra a infraestrutura ucraniana com a intenção de destruir os dados e afetar suas operações. Primeiro o HermeticWiper, depois um novo wiper e um worm chamado IsaacWiper e o HermeticWizard, e algumas semanas mais tarde um terceiro wiper chamado CaddyWiper também foi detectado. Em abril, foi descoberta uma versão atualizada do Industroyer, conhecida como Industroyer 2, que é um malware que visa sistemas de controle industrial e no contexto geopolítico foi utilizado em ataques contra empresas de energia. A atividade maliciosa entre esses países tem sido contínua ao longo do ano e gerou preocupações em todo o mundo sobre o alcance e as implicações do conflito em termos de cibersegurança.
Ataques do grupo Lapsus$ a grandes empresas de tecnologia
A atividade do grupo Lapsus$ teve um grande impacto em 2022. O grupo ficou conhecido pela primeira vez no ataque ao Ministério da Saúde no Brasil, mas especialmente pelos ataques que ocorreram em seguida e que afetaram grandes empresas de tecnologia como NVIDIA, Samsung, Microsoft, Okta, Globant e T-Mobile. Estes ataques resultaram no vazamento de grandes volumes de dados internos sensíveis, como o código-fonte de diferentes desenvolvimentos, entre outras informações internas.
A atividade Lapsus$ em 2022 mostrou mais uma vez que mesmo as grandes empresas são vulneráveis, apesar dos esforços e investimentos. Especialmente porque na maioria dos casos o acesso aos sistemas é obtido através de engenharia social para enganar os funcionários das empresas afetadas. Embora a atividade do grupo tenha diminuído desde abril de 2022, a empresa Uber, que foi vítima de um acesso indevido a seus sistemas em setembro de 2022, responsabilizou o grupo Lapsus$ pelo incidente.
Aumento dos ataques direcionados a criptoativos
Nos últimos anos, temos visto vários casos de ataques a diferentes plataformas de criptomoedas, especialmente projetos financeiros descentralizados (DeFi). Mas em 2022 houve um incidente muito impactante: o ataque a Ronin, a rede blockchain usada pelo jogo Axie Infinity. Os cibercriminosos roubaram mais de 620 milhões, o que tornou o incidente como um dos ataques mais impactante contra o ecossistema cripto do ano e um dos maiores ataques da história junto com o ataque a Poly Network em 2021. O curioso é que o ataque foi realizado por um grupo APT chamado Lazarus, que está ligado a atividades de espionagem e tem uma longa história de ataque a infraestrutura crítica e pública na Coréia do Sul desde 2011. Os cibercriminosos ganharam acesso aos sistemas através de uma falsa oferta de emprego via LinkedIn, uma prática comum que o grupo utilizou em outros ataques. Eles enganaram um engenheiro da empresa desenvolvedora do Axie Infinity para que fizesse o download de um malware e ganharam acesso aos sistemas.
Ataques a órgãos governamentais na América Latina
Em 2022 ocorram vários casos de ataques de ransomware e vazamentos de dados contra órgãos públicos em vários países da América Latina. A situação mais complexa ocorreu na Costa Rica após uma onda de ataques de ransomware realizados por grupos como o Conti e o Hive. No total, mais de 25 órgãos públicos foram afetados e vários serviços foram afetados, tais como a cobrança de impostos e salários, a alfândega ou o serviço público de saúde, impedindo, entre outras coisas, a emissão de receitas médicas on-line. As consequências dos ataques duraram semanas e geraram grande preocupação entre a população, levando o governo a declarar uma emergência nacional.
ProxyNotShell: novas vulnerabilidades zero‑day no Microsoft Exchange
Apesar de haverem várias vulnerabilidades zero-day importantes que se tornaram conhecidas em 2022, como a Follina, por exemplo, não podemos deixar de mencionar o ProxyNotShell, que são as duas novas vulnerabilidades no Microsoft Exchange Server que foram ativamente exploradas por cibercriminosos em ataques que tentaram acessar servidores e executar códigos de forma remota. O nome ProxyNotShell veio em função da semelhança dessas vulnerabilidades com o ProxyShell, uma série de vulnerabilidades que foram descobertas em 2021 e que estavam entre as mais exploradas pelos cibercriminosos no ano passado em ataques realizados por vários grupos de cibercriminosos. O aparecimento destas novas vulnerabilidades críticas no Microsoft Exchange Server levantou preocupações já em setembro, mas levou quase dois meses até que a Microsoft liberasse um patch em novembro para proteger os sistemas contra o ProxyNotShell.
Como podemos ver, 2022 foi um ano muito movido em relação ao mundo da cibersegurança, e é provável o mesmo ocorra em 2023. Portanto, para concluir, confira as tendências para 2023 apontadas pelos especialistas da ESET.