Protegendo o verde e o amarelo: ameaças cibernéticas e insights para o Dia da Independência do Brasil

Categoria: Inteligência adversária

Região: Brasil

TOPO: VERDE

‍

Sumário executivo

Este relatório de inteligência de ameaças analisa mais de 300 ataques cibernéticos que ocorreram no Brasil nos últimos três meses, antes do Dia da Independência do Brasil. Os ataques de desfiguração foram o vetor de ameaça mais predominante, visando sites governamentais e infraestruturas críticas.

Os setores mais afetados por esses ataques foram Finanças, Governo e Jogos de Azar e Apostas.

Isso indica um risco elevado para essas indústrias, especialmente em tempos de importância nacional. A equipe R70 emergiu como o grupo de agentes de ameaças mais ativo, lançando um número significativo de ataques.

Seu foco nas metas do governo sugere um potencial motivo político por trás de suas ações. Compreender essas tendências é crucial para que as organizações no Brasil fortaleçam suas defesas de segurança cibernética e mitiguem os riscos associados a ataques direcionados durante os feriados nacionais.

‍

Cenário de ameaças cibernéticas no Brasil: visão específica do setor

O Brasil tem enfrentado uma gama diversificada de ataques cibernéticos direcionados a vários setores. Nos últimos três meses, o país testemunhou um aumento nos incidentes cibernéticos em diferentes setores.

Finanças, governo e jogos de azar emergiram como os setores mais vulneráveis, enfrentando um número significativamente maior de ataques cibernéticos. Isso sugere que esses setores são particularmente atraentes para os agentes de ameaças devido ao valor dos dados que eles mantêm.

Saúde, telecomunicações, varejo, educação e transporte também foram afetados, mas em menor grau. Embora esses setores possam não ser tão direcionados, eles ainda exigem medidas robustas de segurança cibernética para se proteger contra possíveis ameaças.

‍

Principais grupos hacktivistas visando o Brasil

• ‍Equipe R70: Um grupo de hackers com orientação política é responsável por 19,70% de todos os ataques, com foco em desfigurar sites do governo brasileiro para promover sua agenda

‍

• ‍Grupos indonésios: Tengkorak Cyber Crews, Ethersec Team Cyber e JATIM RedStorm Xploit (JRX) também estão muito ativos, indicando que entidades afiliadas à Indonésia têm como alvo o Brasil

‍

• ‍Diversos grupos de ameaças: Vários grupos hacktivistas como Team 1945, MUNDO HACKER VPN, CRYPTO Corp, HelandMerahGroup e FED_UP também estão envolvidos, sugerindo um cenário diversificado de ameaças com várias motivações e capacidades

‍

• ‍Outros grupos: Vários outros grupos, como Ghosts of Palestine, WE ARE PALESTINE & GAZA, Z-BL4CK-H4T, RADNET 64 e Moroccan Soldiers respondem por porcentagens relativamente pequenas dos ataques, mas seu envolvimento ainda representa uma ameaça à segurança cibernética do Brasil

‍

‍

Cenário de ameaças cibernéticas no Brasil: visão do tipo ataque

• ‍Desfiguração: A desfiguração é um tipo comum de ataque cibernético em que os atacantes alteram a aparência visual de um site, geralmente para espalhar mensagens políticas ou sociais. No Brasil, esse tipo de ataque tem uma frequência notavelmente alta, indicando um problema significativo com a segurança do site e a necessidade de medidas de proteção robustas

‍

• ‍Violação de dados: As violações de dados envolvem acesso não autorizado a informações confidenciais, o que pode causar danos financeiros e de reputação significativos para as organizações. A porcentagem relativamente alta destaca a necessidade crítica de estratégias aprimoradas de proteção de dados e auditorias regulares de segurança

‍

• ‍DDoS: Os ataques distribuídos de negação de serviço (DDoS) visam sobrecarregar os serviços on-line de um alvo, causando interrupções e tempo de inatividade. Embora menos frequentes do que desfigurações ou violações de dados, os ataques de DDoS ainda representam uma séria ameaça, enfatizando a importância de ter estratégias de mitigação em vigor

‍

• ‍Ransomware: Os ataques de ransomware envolvem a criptografia dos dados da vítima e a exigência de pagamento pela chave de decodificação. Embora a porcentagem seja menor, o impacto do ransomware pode ser severo, tornando essencial que as organizações implementem planos robustos de backup e recuperação

‍

• ‍Phishing: Os ataques de phishing enganam as pessoas para que divulguem informações confidenciais fingindo ser uma entidade legítima. A baixa porcentagem sugere que pode não ser tão comum quanto outros ataques, mas seu potencial de causar danos ressalta a importância da educação do usuário e da vigilância contra comunicações fraudulentas.

‍

‍

Violações de dados

Esta seção descreve as principais violações de dados recentes que afetam o Brasil, com foco nos bancos de dados comprometidos das principais instituições e entidades governamentais, juntamente com a venda de informações pessoais confidenciais.

Essas violações enfatizam os graves riscos decorrentes do acesso não autorizado a dados pessoais e financeiros, incluindo o potencial de roubo de identidade, fraude financeira e interrupções operacionais significativas.

• O agente de ameaças conhecido como “dk0m” vende acesso a dados, contas e painéis confidenciais do governo brasileiro em um fórum clandestino. Os dados incluíam registros de acesso à intranet e VPN, dados criminais, informações sobre tráfego, gás e eletricidade.

‍

‍

• O ator ameaçador “injectioninferno” alega possuir o banco de dados do FGTS (Fundo de Garantia por Tempo de Serviço) e se oferece para vendê-lo usando um fórum clandestino. O ator publicou uma amostra do banco de dados mostrando os diferentes campos de dados presentes no banco de dados.

‍

‍

‍

• Um usuário de um mercado clandestino e ator de ameaças “Midia22” está vendendo acesso a vários bancos de dados governamentais pertencentes ao Brasil. O ator está se oferecendo para vender o acesso usando seu canal de telegramas.

‍

‍

• Um agente de ameaças conhecido como '0x0xbase' postou no fórum clandestino 'breachforums_v2', alegando possuir um conjunto completo de dados da Câmara Municipal de Rio dos Índios, Brasil. Diz-se que o dump tem 35 GB de tamanho e inclui arquivos PDF, PNG e documentos. O ator está oferecendo os dados gratuitamente para a comunidade.

‍

‍

• Um ator de ameaças conhecido como “ZeroSevenGroup” postou no fórum clandestino, alegando possuir dados confidenciais pertencentes à Companhia Nuclear Brasileira NUCLEP. Os dados incluem detalhes de funcionários e arquivos confidenciais sobre fabricação de defesa, fabricação e mineração nucleares, submarinos nucleares militares e informações proprietárias, como esquemas da Autocad.

‍

‍

Desfiguração

O Brasil é fortemente impactado pelos ataques de desfiguração distribuída, que representam 58,4% de todos os ataques cibernéticos. Isso destaca a desfiguração como uma grande ameaça, interrompendo gravemente os sistemas e serviços on-line no país.

‍

Análise de tendências

• ‍16 de agosto a 6 de setembro: Durante esse período, houve um aumento notável nos ataques de desfiguração. Esse aumento pode indicar um aumento recente na atividade ou uma reação a eventos ou vulnerabilidades específicos que foram explorados durante esse período.

‍

• ‍1º de agosto a 15 de agosto: A primeira quinzena de agosto viu 8 ataques de desfiguração, mantendo um alto nível de atividade. Isso sugere que a tendência de aumento dos ataques, que começou no início de agosto, continuou na segunda metade do mês

‍

• ‍16 de julho a 31 de julho: Na segunda quinzena de julho, houve um número menor de ataques de desfiguração. Embora seja menor em comparação com agosto, ainda representa um número significativo de incidentes, refletindo ameaças e vulnerabilidades contínuas no cenário de segurança na web

‍

• ‍1º de julho a 15 de julho: A primeira quinzena de julho teve um pico. Esse período mostra um aumento substancial na atividade, que pode ser atribuído a fatores específicos, como campanhas direcionadas ou vulnerabilidades recém-descobertas que foram exploradas agressivamente.

‍

• ‍16 de junho a 30 de junho: No final de junho, o número de ataques caiu. Isso pode indicar uma relativa pausa na atividade de desfiguração ou possivelmente esforços de mitigação bem-sucedidos durante esse período. ● 1º de junho a 15 de junho: A primeira quinzena de junho teve a contagem mais baixa. Isso sugere que houve atividade mínima ou que menos ataques foram detectados durante esse período.

‍

Principais ataques de desfiguração

• O grupo de atores de ameaças “Cyber Fattah Team” postou em seu canal de telegramas sobre a desfiguração de todos os sites em um servidor web contendo um grande número de sites brasileiros

‍

‍

• O ator de ameaças “Dimax66” postou em um canal de telegramas sobre a desfiguração de sites pertencentes a diferentes empresas brasileiras

‍

‍

• O grupo de agentes de ameaças “HelangMerahGroup” teve como alvo vários sites brasileiros

‍

‍

Conclusão

O relatório de inteligência de ameaças sobre ataques cibernéticos no Brasil antes do Dia da Independência destaca uma tendência preocupante de aumento das ameaças cibernéticas contra instituições governamentais e infraestruturas críticas. Os ataques de desfiguração foram o vetor de ameaça mais predominante, enfatizando a necessidade de medidas robustas de segurança do site.

Os setores financeiro, governamental e de jogos de azar e apostas emergiram como particularmente vulneráveis, ressaltando a importância das estratégias de segurança cibernética específicas do setor. A atividade significativa da Equipe R70 ressalta a crescente sofisticação e persistência dos agentes de ameaças que visam o Brasil.

Enquanto o Brasil celebra o Dia da Independência, este relatório ressalta a urgência de as organizações, particularmente em setores de alto risco, fortalecerem suas estruturas de segurança cibernética. Medidas proativas, incluindo avaliações regulares de segurança e maior vigilância, são essenciais para mitigar os riscos representados por essas ameaças em evolução.

Ao lidar com essas vulnerabilidades e se preparar para possíveis ataques futuros, as instituições brasileiras podem proteger melhor seus ativos digitais e manter a resiliência contra ameaças cibernéticas persistentes.

‍

Recomendações e sugestões

1. Melhore a segurança do site: Dado o alto volume de ataques de desfiguração, é crucial implementar medidas robustas de segurança de sites. Isso inclui atualizações regulares de software e plug-ins, o uso de firewalls de aplicativos da web (WAFs) e auditorias regulares de segurança para identificar e mitigar vulnerabilidades.

‍

2. Fortalecer as defesas específicas do setor: Os setores financeiro, governamental e de jogos de azar, que têm sido fortemente alvos, devem adotar estratégias personalizadas de segurança cibernética. Isso inclui a implantação de sistemas avançados de detecção de ameaças, a realização de testes de penetração frequentes e a garantia da conformidade com os padrões de segurança específicos do setor.

‍

3. Implemente a autenticação multifator (MFA): aplique a MFA em todos os sistemas essenciais e contas de usuário para aprimorar os controles de acesso e reduzir o risco de acesso não autorizado. Isso é particularmente importante para contas administrativas e de alto privilégio.

‍

4. Aumente o treinamento e a conscientização: realize treinamentos regulares de segurança cibernética para reconhecer e responder a tentativas de phishing e outras táticas de engenharia social. Os programas de conscientização devem ser atualizados com frequência para abordar as últimas tendências de ameaças.

‍

5. Monitore e responda à inteligência de ameaças: Estabeleça ou aprimore os recursos de inteligência contra ameaças para monitorar e analisar ameaças emergentes. Colabore com organizações de segurança cibernética e compartilhe informações sobre ataques para se manter informado sobre as táticas mais recentes usadas por agentes de ameaças, como o Team R70.

‍

6. Fortalecer os planos de resposta a incidentes: Desenvolva e atualize regularmente os planos de resposta a incidentes para garantir uma resposta rápida e coordenada aos incidentes cibernéticos. Realize exercícios e simulações regulares para testar a eficácia desses planos.

‍

7. Invista em soluções avançadas de segurança: considere a adoção de soluções avançadas de segurança, como análise comportamental, detecção de ameaças baseada em IA e sistemas de resposta automatizados para melhorar a capacidade de detectar e responder a ataques sofisticados.

‍

8. Revise e aprimore os controles de acesso: revise e atualize regularmente os controles de acesso para garantir que somente pessoal autorizado tenha acesso a sistemas e dados confidenciais. Implemente os princípios do menor privilégio para minimizar a exposição.

‍

9. Backup e recuperação: garanta que procedimentos abrangentes de backup e recuperação estejam em vigor. Teste regularmente os backups para verificar sua integridade e garantir que eles possam ser restaurados rapidamente no caso de uma violação de dados ou ataque de ransomware.

‍

10. Interaja com especialistas em segurança cibernética: colabore com consultores de segurança cibernética ou provedores de serviços gerenciados de segurança (MSSPs) para obter informações e suporte especializados para fortalecer as defesas contra ataques direcionados.

‍

Referências

A principal plataforma digital de monitoramento de risco da CloudSEK, xVigil, contém um módulo chamado “Underground Intelligence”, que fornece informações sobre as mais recentes Inteligências de Adversários, Malwares e Vulnerabilidades, coletadas de uma ampla variedade de fontes, na Surface Web, Deep Web e Dark Web.

● *Fonte de inteligência e confiabilidade da informação - Wikipedia 

●^#Protocolo de semáforo - Wikipedia 

‍