Este foi outro ano monumental na cibersegurança. Cibercriminosos conseguiram prosperar em um cenário de contínua incerteza macroeconômica e geopolítica, usando todas as ferramentas e engenhosidades à sua disposição para romper as defesas corporativas.
De acordo com o Data Breach Investigations Report (DBIR), da Verizon, os agentes externos são responsáveis pela grande maioria (83%) dos vazamentos, e o ganho financeiro é responsável por quase todas (95%). Como resultado, a maioria dos incidentes dessa lista se deve ao roubo de dados por ransomware ou extorsionários que roubam informações. Mas nem sempre é esse o caso. Às vezes, a causa pode ser um erro humano ou um intruso mal-intencionado. E, às vezes, os ataques têm um impacto desproporcional, mesmo que o número de vítimas seja relativamente pequeno.
Portanto, sem nenhuma ordem específica, aqui está nossa seleção dos 10 maiores ataques de 2023.
1. MOVEit
Esse ataque tinha todas as características das campanhas anteriores do grupo de ransomware Lace Tempest (Storm0950) Clop contra o Accellion FTA (2020) e o GoAnywhere MFT (2023). O modus operandi é simples: usar uma vulnerabilidade de dia zero em um produto de software popular para obter acesso a ambientes de clientes e, em seguida, vazar o máximo de dados possível para obter um resgate. Ainda não está claro quantos dados foram roubados e quantas vítimas existem. Mas algumas estimativas apontam para mais de 2.600 organizações e mais de 83 milhões de pessoas. O fato de que muitas dessas organizações eram fornecedoras ou prestadoras de serviços para outras pessoas agravou o impacto.
2. A Comissão Eleitoral do Reino Unido
O órgão regulador independente do Reino Unido para financiamento de partidos e eleições revelou em agosto que cibercriminosos haviam roubado informações pessoais de cerca de 40 milhões de eleitores do registro eleitoral. O órgão alegou que um ataque cibernético "complexo" foi o responsável, mas relatórios sugeriram que sua postura de segurança era ruim, pois a organização não passou em uma auditoria básica de segurança do Cyber Essentials. Um servidor Microsoft Exchange não corrigido pode ter sido o culpado, embora não esteja claro por que a comissão levou 10 meses para notificar o público. A Comissão também alegou que cibercriminosos podem estar sondando sua rede desde agosto de 2021.
3. Serviço de Polícia da Irlanda do Norte (PSNI)
Este é um incidente que se enquadra na categoria de vazamento interno e de incidente com um número relativamente pequeno de vítimas que podem sofrer um impacto desproporcional. A PSNI anunciou em agosto que um funcionário havia publicado acidentalmente dados internos confidenciais no site WhatDoTheyKnow em resposta a uma solicitação de Liberdade de Informação (FOI). As informações incluíam os nomes, o posto e o departamento de cerca de 10 mil oficiais e funcionários civis, inclusive os que trabalhavam com vigilância e inteligência. Embora tenha ficado disponível por apenas duas horas antes de ser retirada, esse foi o tempo suficiente para que as informações circulassem entre os dissidentes republicanos irlandeses, que as divulgaram ainda mais. Dois homens foram libertados sob fiança após serem presos sob acusações de terrorismo.
4. DarkBeam
O maior vazamento de dados do ano foi a exposição de 3,8 bilhões de registros pela plataforma de risco digital DarkBeam após a configuração incorreta de uma interface de visualização de dados do Elasticsearch e do Kibana. Um pesquisador de segurança notou o bug e notificou a empresa, que rapidamente corrigiu o problema. No entanto, não está claro por quanto tempo os dados foram expostos e se alguém os acessou anteriormente com intenção criminosa. Ironicamente, os dados transportados continham e-mails e senhas de vazamentos de dados relatados anteriormente como também de incidentes não relatados. Esse é outro exemplo da necessidade de monitorar de perto e continuamente os sistemas em busca de erros de configuração.
5. Conselho Indiano de Pesquisa Médica (ICMR)
Outra mega vazamento, desta vez uma das maiores da Índia, veio à tona em outubro, depois que um criminoso colocou à venda informações pessoais de 815 milhões de residentes. Os dados foram supostamente extraídos do banco de dados de testes de Covid-19 do ICMR e incluíam nome, idade, sexo, endereço, número do passaporte e Aadhaar (número de identificação do governo). Isso é particularmente prejudicial, pois pode dar aos cibercriminosos o que eles precisam para tentar uma série de ataques de fraude de identidade. O Aadhaar pode ser usado na Índia como um documento de identidade digital e para pagamento de contas e verificações do Know Your Customer.
6. 23andMe
Um cibercriminoso alegou ter roubado até 20 milhões de dados da empresa norte-americana de genética e pesquisa. Primeiro, ele supostamente usou técnicas clássicas de preenchimento de credenciais para obter acesso às contas dos usuários, essencialmente usando credenciais previamente violadas que esses usuários haviam reutilizado na 23andMe. No caso dos usuários que optaram pelo serviço DNA Relatives do site, a ameaça conseguiu acessar muito mais dados sobre possíveis membros da família. Entre as informações que apareceram no vazamento de dados estavam a foto do perfil, o gênero, o ano de nascimento, a localização e os resultados de ancestralidade genética.
7. Ataques DDoS de reinicialização rápida
Outro caso incomum é o de uma vulnerabilidade de dia zero no protocolo HTTP/2 divulgada em outubro, que permitiu que cibercriminosos lançassem alguns dos maiores ataques DDoS já vistos. De acordo com o Google, esses ataques atingiram um pico de 398 milhões de solicitações por segundo (rps), acima da taxa mais alta anterior de 46 milhões de rps. A boa notícia é que os gigantes da Internet, como o Google e a Cloudflare, corrigiram a falha, mas as empresas que gerenciam sua própria presença na Internet foram instadas a seguir o exemplo imediatamente.
8. T-Mobile
A empresa de telecomunicações dos EUA sofreu diversos vazamentos de segurança nos últimos anos, mas o que foi divulgado em janeiro é um das maiores até hoje. O incidente afetou 37 milhões de clientes, cujos endereços, números de telefone e datas de nascimento foram roubados. Um segundo incidente divulgado em abril afetou cerca de 800 clientes, mas incluiu muito mais dados, como PINs de contas da T-Mobile, números de previdência social, dados de identificação do governo, datas de nascimento e códigos internos que a empresa usa para atender às contas dos clientes.
9. MGM International/Cesars
Dois dos maiores nomes de Las Vegas foram atacados com poucos dias de diferença pelo mesmo ransomware afiliado ao ALPHV/BlackCat, conhecido como Scattered Spider. No caso da MGM, eles obtiveram acesso à rede simplesmente por meio de uma consulta ao LinkedIn e, em seguida, por um ataque de vishing no qual se fizeram passar pelo departamento de TI e solicitaram suas credenciais. No entanto, o ataque teve um custo financeiro significativo para a empresa. Ela foi forçada a desligar sistemas de TI importantes, interrompendo o funcionamento de máquinas caça-níqueis, sistemas de gerenciamento de restaurantes e até mesmo cartões de acesso a quartos durante dias. A empresa estimou um custo de US$ 100 milhões. O custo para a Cesars não é claro, embora a empresa tenha admitido ter pago US$ 15 milhões aos extorsionários.
10. Vazamentos no Pentágono
O último incidente é uma história de advertência para os militares dos EUA e para qualquer grande organização preocupada com intrusos mal-intencionados. Jack Teixeira, 21 anos, membro da ala de inteligência da Guarda Nacional Aérea de Massachusetts, vazou documentos militares altamente confidenciais para se gabar em sua comunidade do Discord. Esses documentos foram posteriormente compartilhados em outras plataformas e encaminhados por russos após a guerra na Ucrânia. Os documentos forneceram à Rússia um tesouro de inteligência militar para sua guerra na Ucrânia e prejudicaram o relacionamento dos EUA com seus aliados. Incrivelmente, Teixeira conseguiu imprimir e levar para casa documentos ultrassecretos, fotografá-los e depois enviá-los para a Internet.
Esperamos que essas histórias sirvam de lição.
Um brinde a um 2024 mais seguro! :)