De acordo com a ONU, o dia 24 de fevereiro de 2023 marca um ano desde que a Rússia invadiu a Ucrânia e iniciou um conflito que já matou mais de 8.000 pessoas, feriu mais de 13.300 e deixou mais de 14 milhões de desabrigados. A batalha física entre a Ucrânia e a Rússia alcançou esferas digitais. Este blog post foca particularmente no que pudemos aprender ao longo dos últimos doze meses com essa guerra cibernética entre os dois países.
Observações
Agências governamentais e infraestruturas críticas são o primeiro alvo dos ataques
Boa parte dos ataques russos durante o ano passado visaram agências militares e governamentais e infraestruturas críticas, especialmente fornecedores de telecomunicações e empresas de energia. Outros foram amplamente direcionados a empresas e indivíduos na Ucrânia e seus aliados ao redor do mundo. Do outro lado, a maioria dos ataques ucranianos foi direcionada a instituições governamentais russas, com foco em derrubar websites, interromper serviços financeiros, e interromper campanhas de desinformação.
Phishing é a principal técnica de infiltração utilizada na maioria dos ataques
O phishing, se tornou a técnica de infiltração comumente usada durante a guerra cibernética, com ambos os lados apostando em campanhas de spear phishing acompanhadas por arquivos ou outras cargas maliciosas. Ele se tornou popular nessa guerra porque é simples, de baixo risco, eficaz e versátil. Uma mensagem de phishing bem elaborada e direcionada, entregue via aplicativo de mensagens, SMS, e-mail, mídia social ou outro canal, pode ser usada contra praticamente qualquer tipo de alvo. Após um phish bem-sucedido, os ataques normalmente se concentram na espionagem ou sabotagem.
Espionagem e sabotagem são os objetivos principais
Em uma guerra cibernética, a espionagem e a sabotagem são sempre o objetivo principal. No ano passado, a espionagem se adequou naturalmente ao formato de RATs e infostealers, enquanto a sabotagem adquiriu formato de ataques DDoS, ransomware, e wipers. Ao longo do ano, muitos wipers russos surgiram para atingir a Ucrânia, incluindo WhisperGate, HermeticWiper, IsaacWiper, e outros. Recentemente, um ataque usando Prestige, nova família de ransomware, foi usado para atingir os setores de logística e transporte na Ucrânia e Polônia.
15% dos ataques têm como foco outros países, principalmente aliados
Enquanto o foco de aproximadamente 85% dos ataques tem sido indivíduos ou organizações em ambos os países, os outros 15% são direcionados principalmente a aliados ao redor do mundo. Assim como os ataques que citamos acima, esses também têm como alvo infraestruturas críticas e as agências governamentais.
O ataque mais significativo da guerra russo-ucraniana aconteceu já em 2017 via NotPetya, um wiper russo que acabou infectando sistemas em todo o mundo, incluindo empresas como Maersk e Merck, e causando prejuízos estimados em 10 bilhões de dólares. Um ano após a invasão russa da Ucrânia, ainda não vimos um ataque com essa magnitude. Até agora, os ataques fora desse eixo têm sido aparentemente bem direcionados. Apenas alguns deles, como no caso da Viasat, foram menos precisos. Apesar de ter como objetivo interromper a conectividade de rede na Ucrânia, o ataque à Viasat causou interrupções em toda a Europa.
Lições
- Controles anti-phishing e treinamento são partes essenciais da estratégia de defesa durante uma guerra cibernética. Identificar e interromper tentativas de phishing pode ajudar a deter um ataque cibernético antes que ele cause qualquer dano.
- Agências governamentais e infraestruturas críticas correm os maiores riscos durante uma guerra cibernética, exigem investimentos extras em cibersegurança e o estabelecimento de controles de acesso mais rígidos para reduzir superfícies de ataque.
- Proteções contra ransomware, especialmente backups robustos e bem testados, também podem ser eficazes contra alguns wipers destrutivos tipicamente usados durante uma guerra cibernética.
- Quanto mais próximo um indivíduo ou organização estiver do conflito, seja fisicamente ou por meio de uma aliança, maior é a probabilidade de que ele se torne um alvo. Enquanto boa parte dos ataques forem direcionados a agências governamentais e infraestruturas críticas dos países envolvidos diretamente na guerra, qualquer pessoa dentro deles se tornará um alvo comum, assim como indivíduos e organizações de aliados.
Olhando para o futuro
Enquanto o conflito físico na Ucrânia continuar, o mesmo acontecerá com a guerra cibernética. A intensidade dos ataques físicos da Rússia contra a Ucrânia deve aumentar no próximo ano, e os ataques cibernéticos devem seguir o mesmo ritmo. Quanto mais o conflito se arrastar, maior será a probabilidade de vermos aliados ao redor do mundo se tornarem alvos, e maior será a probabilidade de vermos ataques gerarem interrupções.