Tem sido um ano muito ocupado para os hackers.
A pandemia causada pela Covid-19 e as consequentes medidas de isolamento e confinamento social, levaram à generalização do teletrabalho, o que despoletou um aumento dramático do número de violações de dados.
Segundo um relatório da Hiscox, a percentagem de empresas que foram vítimas de ciberataques aumentou de 38% para 43% em 2021, com mais de um quarto a sofrer cinco incidentes ou mais. O cibercrime deverá custar ao mundo 6 triliões de dólares até ao final do ano.
Os cibercriminosos estão a explorar a situação da pandemia para lançar ciberataques altamente sofisticados em todas as indústrias possíveis. Alguns tipos de ataques mais comuns são os de phishing, ransomware, malware, brute force, DDos e port scanning.
Neste artigo, iremos enumerar 7 ciberataques que marcaram o ano de 2021, até agora.
CNA Financial
Março
CNA Financial Corporation (CNA), entidade que detém a seguradora norte-americana que é referência no mercado de linhas comerciais de P&C (património e danos), anunciou o ataque em finais de Março de 2021, afirmando que tinha sido vítima de um sofisticado ciberataque.
Consequências do ciberataque
A entidade terá pagado 40 milhões de dólares (cerca de 32,8 milhões de euros) a um grupo de hackers para recuperar acesso aos seus sistemas informáticos. Segundo a Bloomberg, o pagamento do resgate ocorreu cerca de duas semanas depois do sofisticado ciberataque, que a seguradora afirma ter sido detetado e travado a 21 de março.
O ciberataque terá bloqueado acessos dos colaboradores da CNA à rede da empresa, mas também roubou dados. A seguradora afirmou que o ataque causou a interrupção de operações e afetou certos sistemas da companhia. A 12 maio, a CNA conseguiu que os sistemas fossem restaurados, agradecendo aos clientes pela paciência na espera.
Segundo a imprensa, a CNA adiantou que a investigação ao incidente concluiu que os cibercriminosos responsáveis pelo ataque pertencem a um grupo chamado Phoenix. O malware utilizado (Phoenix Locker) é variante do Hades, um ransomware utilizado por um grupo de hackers russos (Evil Corp).
Acer
Março
Acer, a gigante dos computadores, sofreu um ataque de ransomware levado a cabo pelo grupo REvil. O grupo conseguiu explorar com sucesso a vulnerabilidade do Microsoft Exchange – um serviço de correio eletrónico da Microsoft usado frequentemente por empresas.
Consequências do ciberataque
O grupo que atacou a Acer pediu 50 milhões de dólares, um dos maiores resgates de que há conhecimento. O website Bleeping Computer afirmou que o grupo REvil acedeu a um vasto número de informações confidenciais da fabricante taiwanesa, incluindo documentos financeiros. Os hackers terão partilhado, através do seu site, imagens dos ficheiros roubados como prova do ataque.
A Acer esclareceu que colaborou ativamente com todas as autoridades policiais e de proteção de dados pertinentes em vários países. No entanto, a fabricante explica que os seus mecanismos de segurança interna detetaram este ataque de maneira proativa e imediatamente foram iniciadas medidas de segurança e precaução.
Colonial Pipeline
Maio
A Colonial Pipeline, uma das principais operadoras de oleodutos dos Estados Unidos, que transporta diesel e gasolina por mais de 8800 km no país, teve que suspender todas as suas operações após sofrer um ciberataque.
Consequências do ciberataque
A Colonial Pipeline pagou quase 5 milhões de dólares à DarkSide, a organização que lançou o ciberataque.
A transação terá sido realizada no próprio dia do ataque, a 7 de maio, refere a Bloomberg, citando duas fontes próximas da transação que adiantaram que o pagamento terá sido feito em criptomoedas – um método de pagamento não rastreável.
Apesar de ter pago aos cibercriminosos quase de imediato, o sistema demorou a restaurar e a empresa teve mesmo que recorrer aos seus próprios backups de sistema para retomar o funcionamento pleno.
O presidente-executivo da Colonial Pipeline, Joseph Blount, afirmou num comité do Senado dos EUA que o ataque ocorreu usando um sistema antigo de rede privada virtual (VPN) que não possuía autenticação multifator.
Segundo Katerina Goseva-Popstojanova, especialista em segurança cibernética da West Virginia University, “o ataque do Colonial Pipeline parece dever-se a práticas inadequadas de segurança cibernética, o que tornou bastante fácil invadir os sistemas de computação da empresa e infetá-los com ransomware”.
JBS Foods
Maio
A subsidiária nos Estados Unidos do gigante agroalimentar brasileiro JBS, uma das principais empresas mundiais de carne, foi alvo de ransomware. Vários servidores foram afetados e o incidente obrigou à interrupção de uma grande parte das atividades do grupo na Austrália e nos Estados Unidos.
Consequências do ciberataque
O ransomware gerou temores de escassez de alimentos e interrupções na cadeia de abastecimento de alimentos nos EUA. O ataque também destacou a profunda dependência das empresas em seus sistemas, com relatos de trabalhadores tendo que realizar tarefas de açougue manualmente – algo que não se faz há anos em frigoríficos desse porte.
Incapaz de aceder aos seus sistemas, a JBS USA acabou por pagar o resgate de 11 milhões de dólares (nove milhões de euros). O pagamento foi feito em criptomoeda e de acordo com o Departamento Federal de Investigação (FBI) os responsáveis pelo ciberataque são um grupo de hacking com sede na Rússia conhecido como REvil.
A JBS não comentou sobre a vulnerabilidade que permitiu que os criminosos tivessem acesso ao sistema interno.
O ataque contra a JBS aconteceu poucos dias depois da DarkSide, ter levado a cabo o ciberataque semelhante contra a Colonial Pipeline.
Kaseya
Julho
Centenas de empresas que utilizavam o software de gestão da companhia norte-americana Kaseya foram alvo de um ataque cibernético movido por potenciais hackers russos. O ataque aproveitou uma falha que permitiu a distribuição de ransomware através do software Administrador de Sistemas Virtuais (VSA) da Kaseya. Normalmente, este software oferece um canal de comunicação confiável que permite aos MSPs acesso privilegiado e ilimitado para ajudar empresas com os seus ambientes de TI.
Consequências do ciberataque
Por fornecer software de tecnologia de informação para outras empresas, o ataque à Kaseya gerou um efeito dominó, afetando cerca de 1.500 organizações em vários países. Os hackers exploraram uma falha num administrador virtual de sistema (VSA na sigla em inglês).
Os criminosos do REvil, grupo de hackers cuja origem os especialistas associam à Rússia, é a entidade a quem é atribuída a autoria do ciberataque. Os cibercriminosos que lançaram o ransomware pediram resgate de 70 milhões de dólares em Bitcoins para aceder à chave (descodificador) que permitiria recuperar os dados roubados (encriptados), mas a empresa decidiu cooperar com o FBI e com a Agência de Infraestrutura e Segurança Cibernética dos Estados Unidos. Quase 20 dias depois, a Kaseya usou uma chave de descriptografia universal para recuperar o acesso aos seus dados.
O ataque à Kaseya mostra como até mesmo empresas de TI podem estar vulneráveis e serem alvo de crimes cibernéticos. Assim, todas empresas podem beneficiar de serviços de segurança de terceiros, mas também precisam de aplicar as suas próprias ferramentas e práticas de segurança de dados internamente.
Brenntag
Maio
A Brenntag é uma empresa de distribuição química sediada na Alemanha com operações em 77 países. No início deste ano, a DarkSide visou a divisão norte-americana da empresa, encriptando dados e dispositivos na rede comprometida e roubando 150 GB de dados.
Consequências do ciberataque
A DarkSide alega que lançou o ataque após ter obtido acesso à rede da Brenntag através de credenciais de utilizador roubadas e adquiridas na Dark Web. Este tipo de ataque está a tornar-se cada vez mais comum, e é incrivelmente difícil de combater utilizando tecnologias tradicionais de cibersegurança.
A Brenntag realizou o pagamento de um resgate de 4,4 milhões de dólares ao sindicato de cibercriminosos DarkSide.
No entanto, a DarkSide não teria sido capaz de roubar 150 GB de dados valiosos se a rede Brenntag não permitisse aos titulares de contas privilegiadas extraírem grandes volumes de dados. Há muito poucas razões legítimas para um administrador querer mover tantos dados sensíveis de uma só vez.
As credenciais de utilizador roubadas muitas vezes não são declaradas e podem mesmo vir com valiosos privilégios administrativos. Os profissionais da cibersegurança precisam de elaborar políticas que exibam um quadro de confiança zero mesmo para os titulares de contas privilegiadas.
FBI
Novembro
Piratas informáticos comprometeram o sistema de correio eletrónico externo do FBI e enviaram milhares de emails de uma conta do serviço de inteligência norte-americano a alertar para um possível ciberataque. O ataque informático foi confirmado pela própria agência e por especialistas de segurança.
Consequências do ciberataque
Num comunicado, citado pela agência Reuters, o FBI esclareceu que os emails falsos terão sido enviados por um endereço eletrónico oficial do FBI, que terminava em @ic.fbi.gov.
Apesar de o sistema afetado pelo incidente “ter sido colocado offline rapidamente, após a descoberta do problema”, o FBI reconheceu que “esta é uma situação recorrente”.
Foram enviados dezenas de milhares de emails a alertar para um possível ataque informático, confirmou a organização Spamhaus Project, onde mostrou também uma cópia da mensagem que está “assinada” pelo Departamento de Segurança Interna dos Estados Unidos.
Não ficou claro, por agora, se os emails foram enviados por alguém com acesso aos servidores do FBI ou se hackers estiveram envolvidos neste incidente.
A sua organização está protegida contra ciberataques?
A mudança global para uma cultura de trabalho à distância alavancou os cibercriminosos para lançar ciberataques altamente sofisticados.
Claramente, o ano de 2021 tem sido bastante desafiante para as organizações em termos de cibersegurança. No entanto, estas recentes violações de dados servem para consciencializar as organizações para que se protejam a si e aos seus clientes de ameaças cibernéticas.
Aqui estão algumas das medidas de segurança essenciais para que a sua empresa se mantenha segura nestes tempos de insegurança:
- Eduque os seus colaboradores para os ajudar a reconhecer e combater as ameaças cibernéticas emergentes.
- Proteja os seus domínios de correio eletrónico contra ataques de phishing.
- Mantenha todo o seu software e aplicações atualizados.
- Utilize uma ligação VPN para uma rede protegida.
- Utilize autenticação multifator.
- Conte com um parceiro experiente para ajudar a sua empresa a salvaguardar dados e ficheiros sensíveis.
Subscreva a nossa newsletter e receba semanalmente todas as atualizações, com bónus de um ebook diferente todos os meses!