Na última década, o número e o nível de complexidade de ataques cibernéticos, tanto por grupos de hackers pró-governo quanto por cibercriminosos motivados financeiramente, aumentou significativamente. Pessoas, empresas e organizações governamentais não podem mais confiar na segurança do ciberespaço, assim como na integridade e segurança de seus dados. A Internet se tornou o sistema circulatório de nossa civilização. No entanto, a liberdade de comunicação e as oportunidades globais oferecidas pela Internet estão sendo cada vez mais ameaçadas: ameixas e vazamentos de dados, ataques cibernéticos por estados em guerra - essas são as realidades em que cada um de nós vive hoje.

A tendência principal e mais assustadora de 2019, consideramos o uso de armas cibernéticas
em operações militares abertas. O conflito entre estados assumiu novas formas e a atividade cibernética desempenha um papel de liderança nesse diálogo destrutivo. Ataques a infra-estrutura crítica e desestabilização direcionada da Internet em países individuais inauguram uma nova era de ataques cibernéticos. Estamos confiantes de que uma existência pacífica não é mais possível isoladamente da segurança cibernética: nenhum estado, nenhuma corporação, ninguém pode ignorar esse fator.

Seis anos atrás, lançamos o primeiro relatório de tendências de crimes de alta tecnologia. Depois, foi o único estudo das tendências do crime cibernético na Rússia e um dos primeiros do mundo. Como antes, o relatório anual do Grupo-IB mostra as mudanças que ocorreram ao longo do ano, sendo a fonte única e mais completa de dados estratégicos e táticos sobre as ameaças cibernéticas atuais no mundo. Este estudo descreve o período H2 2018 - H1 2019.

Condução de operações militares abertas usando armas cibernéticas

Nos primeiros 6 meses de 2019, três operações militares abertas foram conhecidas: em março, como resultado do ataque às usinas hidrelétricas venezuelanas, a maior parte do país ficou sem eletricidade por vários dias; em maio, em resposta a um ciberataque, o exército israelense lançou um ataque com mísseis contra hackers do Hamas, e em junho, os EUA usaram armas cibernéticas contra os sistemas de controle de lançamento de mísseis iranianos em resposta a um drone americano abatido.

Nenhuma ferramenta invasora foi instalada e, no último caso, ocorreu um ataque cibernético apenas alguns dias após o incidente do drone. Isso confirma a suposição de que as infraestruturas críticas de muitos países já estão comprometidas e os atacantes passam despercebidos até o momento certo.

Violação da estabilidade da Internet em nível estadual

No mundo moderno, o dano social e econômico máximo pode ser causado pela desconexão de pessoas e negócios da comunicação. Ao mesmo tempo, os países que constroem controle centralizado de acesso à Internet estão se tornando mais vulneráveis ​​e podem se tornar o primeiro alvo.
Nos últimos anos, foram testados ataques em vários níveis da infraestrutura de comunicações e, até 2019, houve casos bem-sucedidos de ataques ao roteamento da Internet e ao seqüestro de BGP, a registradores de nomes de domínio, administradores de servidor DNS raiz, administradores de domínio nacional e seqüestro de DNS, em sistemas de filtragem local. e bloqueio de tráfego.

Novas ameaças associadas à ampla adoção do 5G

Mudar para a tecnologia 5G apenas agravará a situação de ameaça para o setor de telecomunicações. O primeiro motivo são os recursos arquitetônicos que abrem oportunidades para novos tipos de ataques às redes de operadoras. A segunda razão é a competição por um novo mercado, que pode levar à demonstração dos recursos de hackers de fornecedores individuais e ao surgimento de um grande número de estudos anônimos sobre as vulnerabilidades de certas soluções tecnológicas.

Ameaças ocultas de grupos pró-governo

Apesar de um número relativamente grande de estudos sobre novos grupos pró-governo terem sido publicados no período passado, essa área permanece pouco compreendida. Foi notada a atividade de 38 grupos (7 - novos, cujo objetivo é a espionagem), mas isso não significa que outros grupos conhecidos tenham interrompido sua atividade - provavelmente suas campanhas simplesmente permaneceram abaixo do radar dos analistas.

Por exemplo, no setor de energia, apenas duas estruturas são conhecidas - Industroyer e Triton (Trisis) - e ambas foram encontradas como resultado do erro de seus operadores. Provavelmente, há um número significativo de ameaças semelhantes e não detectadas, e essa é uma bomba-relógio.

Também é importante notar que os grupos pró-governo conhecidos no espaço público são principalmente de países em desenvolvimento; no entanto, ainda não são publicadas informações sobre ataques e ferramentas de tais grupos de países desenvolvidos.

Hackers reversos: oposição de grupos pró-governo

Em 2019, os casos de aparecimento de informações publicamente disponíveis tornaram-se mais frequentes
sobre atacar ferramentas em nome de supostamente hacktivistas ou ex-membros do grupo. Na maioria das vezes, esses são exemplos de hackers reversos, quando os próprios atacantes se tornam vítimas. Atualmente, as empresas privadas não têm o direito de realizar essas operações e apenas serviços estatais especiais têm oficialmente tais poderes.

Ataques direcionados a bancos estrangeiros por grupos de língua russa

Agora, apenas cinco grupos representam uma ameaça real ao setor financeiro: cobalto, silêncio, MoneyTaker - Rússia, Lazarus - Coréia do Norte, SilentCards - um novo grupo do Quênia.
Na Rússia, os danos causados ​​por ataques direcionados a bancos por grupos com motivação financeira durante o período do estudo diminuíram quase 14 vezes. Isso se deve, entre outras coisas, à mudança do foco de grupos de motivação financeira de língua russa para bancos estrangeiros.

O desaparecimento gradual de trojans para PC e Android

A tendência para o desaparecimento de cavalos de Troia para PCs no cenário de ameaças cibernéticas continua: na Rússia - na "casa" desse tipo de malware - eles pararam de escrevê-los. O Brasil foi o único país a criar trojans ativamente, mas seu uso é exclusivamente local. Somente o Trickbot evoluiu significativamente ao longo do ano passado e agora pode ser usado tanto para ataques direcionados a bancos quanto para espionar agências governamentais, como foi o caso do Trojan Zeus.

Os cavalos de Troia para Android desaparecem mais lentamente do que para os PCs, no entanto, em qualquer caso, o número de novos é várias vezes menor do que obsoleto. Novos programas evoluem da interceptação de SMS à transferência automática de fundos através de aplicativos móveis bancários - preenchimento automático.
O número de cavalos de Troia ativos continuará a diminuir devido à introdução de defesas e a uma redução acentuada dos benefícios econômicos para os atacantes.

A evolução da engenharia social sem código malicioso

No contexto da queda dos cavalos de Tróia, a ameaça da engenharia social sem o uso de código malicioso está crescendo. Os invasores continuam a usar contas falsas nas redes sociais, fazem ligações de números confiáveis ​​usando scripts bem projetados e compram pela confiabilidade
banco de dados de passaporte, etc. Métodos relativamente novos de engenharia social incluem o controle do telefone com a ajuda de programas de acesso remoto que as vítimas instalam em seus dispositivos sob a orientação de fraudadores de telefone.

Crescimento do mercado de cartões através do JS Sniffer

Com uma queda nos retornos financeiros do uso de cavalos de Troia bancários para PC e Android, os atacantes começaram a usar uma maneira mais eficaz de ganhar dinheiro - os farejadores de JS. Seu número já excede o número de trojans, e o número total de cartões comprometidos com a ajuda aumentou em 38%. Os farejadores JS se tornarão a ameaça que mais se desenvolve dinamicamente, especialmente em países onde o 3D Secure não é comum.

Novos ataques a empresas de seguros, consultoria e construção

Em 2019, os especialistas do Grupo-IB registraram ataques de um novo grupo chamado RedCurl. Os principais objetivos do grupo são espionagem e ganho financeiro. Após descarregar documentação significativa, os atacantes instalam mineradores na infraestrutura de uma empresa comprometida.
A peculiaridade desse grupo é a alta qualidade dos ataques de phishing - para cada empresa, os invasores criam uma letra separada. O RedCurl usa um cavalo de Troia proprietário exclusivo que se comunica com o servidor de gerenciamento através de serviços legítimos, o que dificulta a detecção de atividades maliciosas
em infraestrutura.

Por mais de 16 anos, os especialistas do Grupo-IB investigam incidentes cibernéticos analisando as ferramentas e a infraestrutura dos invasores. Todo novo ataque cibernético destinado a
para uma empresa, partido político ou instalação de infraestrutura crítica, nos dá a oportunidade de ver a evolução de táticas e ferramentas para sua implementação. Estamos profundamente convencidos de que organizações públicas e atores privados que combatem o cibercrime devem compartilhar dados e publicar
sua pesquisa.

Graças ao uso de ferramentas exclusivas para monitorar a infra-estrutura de criminosos cibernéticos, bem como a um estudo aprofundado da pesquisa de outras equipes de segurança cibernética em diferentes países, encontramos e confirmamos padrões comuns que formam uma imagem integral do desenvolvimento de ameaças cibernéticas. Nesta base, formulamos previsões que se realizam todos os anos ao longo da vida do relatório.

Faça o download do relatório completo de tendências de crimes de alta tecnologia 2019/2020 aqui .