Os ataques cibernéticos ao governo e ao setor militar da Ucrânia aumentaram 196% nos primeiros três dias de combate, enquanto contra as organizações russas aumentaram 4% e os e-mails de phishing nos idiomas eslavos orientais aumentaram sete vezes, sendo que um terço desses e-mails maliciosos foram direcionados a destinatários russos enviados de endereços de e-mails ucranianos.
Os dados são de um levantamento feito por pesquisadores da Check Point Research (CPR), divisão de inteligência em ameaças da Check Point Software. A análise observa que o aumento de quase 200% nos ciberataques contra o governo e o setor militar da Ucrânia, nos três primeiros dias de combate, refere-se à comparação com os primeiros dias de fevereiro de 2022. O mesmo setor, tanto no âmbito global como na Rússia, não mostrou aumento semelhante.
Nos dias 24 a 26 de fevereiro, a CPR documentou um acréscimo de 4% nos ataques cibernéticos por organização na Rússia, na comparação com a semana anterior. Na Ucrânia, a quantidade total de ataques cibernéticos por organização aumentou 0,2%. Outras regiões do mundo experimentaram uma diminuição nos ataques cibernéticos por organização, conforme gráfico abaixo.
A CPR verificou ainda um aumento significativo de sete vezes nos e-mails de phishing maliciosos nos idiomas eslavos orientais — cartas da Rússia/Ucrânia. O gráfico a seguir mostra a porcentagem desses e-mails de phishing em relação a todos os e-mails maliciosos enviados semanalmente nas últimas cinco semanas (desde 24 de janeiro até 27 de fevereiro).
Além disso, um terço desses e-mails de phishing direcionados a destinatários russos foram enviados de endereços de e-mails ucranianos, reais ou falsificados.
Fraudes em doações à Ucrânia
A CPR também identificou e-mails por meio dos quais os fraudadores se aproveitam da situação para obter lucro financeiro, atraindo os destinatários a doar dinheiro para fundos de apoio ucranianos falsos (veja exemplo abaixo).
“Em nossa investigação sobre a atividade cibernética que surgiu em torno do conflito Rússia/Ucrânia, observamos aumentos de ciberataques em ambos os lados, com o governo ucraniano e o setor militar do país apresentando um aumento em maior quantidade. É importante entender que a guerra atual também tem uma dimensão cibernética, em que as pessoas que estão online têm escolhido o lado da dark web até as redes sociais”, explica Lotem Finkelstein, chefe de inteligência em ameaças da Check Point Software.
Veja isso
Hackers do bem e do mal guerreiam pela Rússia e Ucrânia
Ucrânia convoca comunidade hacker a defender o país
“O conflito Rússia/Ucrânia está polarizando o espaço cibernético. Hacktivistas, cibercriminosos, pesquisadores white hat ou mesmo empresas de tecnologia estão escolhendo um lado claro, encorajados a agir em nome dessas suas escolhas. E para as pessoas que desejam fazer doações à Ucrânia, emitimos fortes alertas relacionados à proliferação de e-mails fraudulentos que visam capitalizar essa disposição de doações. Por isso, as pessoas devem sempre verificar o endereço de e-mail do remetente; devem ficar atentas a quaisquer erros ortográficos nos e-mails, e verificar se o remetente do e-mail é autêntico”, ressalta Finkelstein.
Atenção à segurança corporativa
Dada a recente incerteza geopolítica, os profissionais de segurança cibernética também precisam se preparar para um aumento contínuo na atividade de ameaças. As instâncias já foram relatadas. As equipes da CPR verificaram, por exemplo, um aumento de ataques distribuídos de negação de serviços (DDoS), alguns deles realizados por botnets de IoT, como o Mirai. Também foram vistas evidências de ferramentas de limpeza de dados (wiper) usadas para derrubar máquinas.
A natureza interconectada dos mercados e sistemas globais introduz a possibilidade de que ataques direcionados possam impactar sistemas em empresas e organizações localizadas fora de países envolvidos direta ou indiretamente no conflito. Em todos os casos, o risco é maior, portanto, é imperativo que as equipes de TI mantenham contato com as autoridades locais e nacionais e sigam os avisos dos serviços de inteligência de ameaças e das equipes de resposta a emergências de computadores (CERTs).
Os pesquisadores da Check Point Software indicam um conjunto de práticas recomendadas, relevantes para vários vetores de ataques em potencial.
Proteção contra ataques DDoS
Os gateways fornecem vários recursos que podem ser usados para mitigar os impactos dos ataques DDoS. Isso inclui assinaturas especializadas de prevenção de intrusões, configurações de sistema operacional e gateway, respostas automatizadas de gerenciamento, bem como comandos para bloquear dinamicamente as fontes de ataque.
Uma série de outras soluções são recomendadas, como aquelas dedicadas à mitigação de DDoS, em que há dispositivos de mitigação de ataques de perímetro que protege as organizações contra ameaças emergentes de rede e aplicativos e outras para proteção da infraestrutura contra o tempo de inatividade da rede e do aplicativo (ou tempo lento), exploração de vulnerabilidade do aplicativo, disseminação de malware, anomalias de rede, roubo de informações e outros tipos de ataques.
Prevenir ransomware e “limpadores”
As soluções devem atender, principalmente, proteção contra ransomware e limpadores de dados (wipers) e outros tipos de software malicioso, por meio das soluções de prevenção de ameaças.
Gateways
Configurar o sistema de prevenção de intrusão (IPS, na sigla em inglês) para prevenir e não apenas detectar ataques usando as políticas recomendadas. Adotar uma abordagem preventiva aumenta significativamente os perfis de defesa e simplifica as atividades de correção futuras. Assim, soluções IPS protegem contra os vetores de ataque mais relevantes conhecidos por espalhar ransomware e limpadores. Revisar as configurações de gateway, gerenciamento e prevenção de ameaças são essenciais para maximizar a proteção e o desempenho. Isso pode incluir otimizar a política de prevenção de ameaças e ativar a inspeção HTTPS no tráfego relevante; e minimizar a exposição com backups de dados contínuos e correções de sistemas.
Desinformação e phishing
A expectativa é de que os hackers empreguem formas tradicionais e inovadoras de engenharia social. Isso pode incluir e-mails e mensagens de texto que atraem as vítimas para sites maliciosos ou para baixar arquivos com ataques incorporados. Portanto, é imprescindível:
. Reiterar a conscientização e educação cibernética para os funcionários.
. Evitar ataques de phishing zero em e-mails, endpoints e dispositivos móveis.
. Ativar as proteções de emulação e extração de ameaças.
. Aproveitar os recursos de phishing zero.
Proteger os funcionários remotos
Em um ambiente de trabalho híbrido atual, é importante fornecer aos funcionários remotos acesso seguro aos recursos corporativos a partir das proteções na borda para bloquear ataques maliciosos.
