O Netskope Threat Labs rastreia os adversários que estão ativamente visando os clientes da Netskope para entender melhor suas motivações, táticas e técnicas. Em seguida, aproveitamos essas informações para ajudar nossos clientes a defender seus sistemas contra esses adversários. Os adversários que o Netskope Threat Labs rastreia geralmente se enquadram em duas categorias, com base em suas motivações.
Criminal
O objetivo principal dos grupos criminosos adversários é o ganho financeiro, e seu conjunto de ferramentas normalmente inclui ladrões de informações e ransomware. A extorsão tem sido um negócio extremamente lucrativo para os cibercriminosos nos últimos anos, com uma estimativa de 457 milhões de dólares em pagamentos de resgate feitos em 2022. A maioria dos criminosos diversificou suas operações para usar tanto ransomware quanto infostealers para aumentar as chances de a vítima pagar. Se criptografar seus sistemas com ransomware não bastasse para convencê-los a pagar, talvez a divulgação pública de informações confidenciais roubadas da organização ajudasse. Embora tentemos rotular cada grupo criminoso adversário de acordo com o país em que operam, muitos grupos trabalham transnacionalmente. Além disso, muitos agora estão operando em um modelo de afiliados, tornando suas operações ainda mais dispersas. Como resultado, normalmente associamos um grupo ao país ou região onde acredita-se que seus principais membros estejam localizados.
Geopolítica
Grupos adversários geopolíticos são motivados por questões geopolíticas. Eles geralmente são estados-nação ou seus representantes, e suas atividades geralmente refletem conflitos políticos, econômicos, militares ou sociais mais amplos. Por exemplo, grupos adversários russos lançaram ataques cibernéticos contra a Ucrânia que coincidiram com a invasão daquele país. Grupos geopolíticos normalmente se envolvem em operações cibernéticas contra outros estados-nação, e essas operações se tornaram um componente crítico das relações internacionais modernas. As linhas entre adversários geopolíticos e criminosos às vezes se confundem, com alguns grupos geopolíticos também se engajando em atividades com motivação financeira. Por exemplo, o atual regime norte-coreano financia o desenvolvimento de seu programa de mísseis por meio de crimes cibernéticos. As operações cibernéticas específicas realizadas por adversários geopolíticos variam, incluindo espionagem cibernética contra organizações governamentais e não governamentais e sabotagem de infraestrutura crítica para desestabilizar um adversário. Os adversários geopolíticos também se envolvem na guerra da informação, espalhando propaganda, manipulando a opinião pública e influenciando as eleições populares.
Atribuir a atividade a um grupo adversário específico pode ser um desafio. Os adversários tentam ocultar suas verdadeiras identidades ou até mesmo lançar intencionalmente operações de bandeira falsa, nas quais tentam fazer com que seus ataques pareçam vir de outro grupo. Vários grupos costumam usar as mesmas táticas e técnicas, alguns chegando ao ponto de usar exatamente as mesmas ferramentas ou até mesmo compartilhar a infraestrutura. Até mesmo a definição de grupos adversários pode ser desafiadora, pois os grupos evoluem ou os membros mudam de grupo. Por esses motivos, as atribuições do adversário são confusas e estão sujeitas a mudanças e evoluções à medida que novas informações são reveladas. No restante deste relatório, apresentamos estatísticas sobre as atividades dos adversários observadas na plataforma Netskope Security Cloud e os grupos mais provavelmente responsáveis por essas atividades.