.
com a pandemia evoluindo para uma nova fase amorfa e polarização política em ascensão em todo o mundo, 2022 foi um ano inquieto e muitas vezes desconcertante em segurança digital. E, embora os hackers frequentemente se apoiem em ataques antigos, como ataques de phishing e ransomware, eles ainda encontram novas variações cruéis para subverter as defesas.
Aqui está a retrospectiva da Strong The One sobre as piores violações, vazamentos, ataques de ransomware, campanhas de hacking patrocinadas pelo estado e aquisições digitais do ano. Se os primeiros anos da década de 2020 servem de indicação, o campo da segurança digital em 2023 será mais bizarro e imprevisível do que nunca. Fique alerta e fique seguro lá fora.
Durante anos, a Rússia atacou a Ucrânia com ataques digitais brutais, causando blecautes, roubo e destruição de dados, intromissão em eleições e lançamento de malware destrutivo para devastar as redes do país. Desde a invasão da Ucrânia em fevereiro, porém, os tempos mudaram para alguns dos hackers militares mais proeminentes e perigosos da Rússia. Campanhas perspicazes de longo prazo e hacks terrivelmente engenhosos deram lugar a um clipe mais estrito e controlado de invasões rápidas em instituições ucranianas, reconhecimento e destruição generalizada na rede – e, em seguida, acesso repetido repetidamente, seja por meio de uma nova violação ou mantendo o acesso antigo. O manual russo no campo de batalha físico e no ciberespaço parece ser o mesmo: um bombardeio feroz que projeta poder e causa tanta dor quanto possível ao governo ucraniano e seus cidadãos.
A Ucrânia não foi digitalmente passiva durante a guerra, no entanto. O país formou um “Exército de TI” voluntário após a invasão e, junto com outros atores ao redor do mundo, organizou ataques DDoS, hacks disruptivos e violações de dados contra organizações e serviços russos.
Durante o verão, um grupo de pesquisadores apelidado de 0ktapus (às vezes também conhecido como “Scatter Swine”) entrou em uma enorme onda de phishing, comprometendo quase 10.000 contas em mais de 130 organizações. A maioria das instituições vítimas era sediada nos Estados Unidos, mas também havia dezenas em outros países, segundo os pesquisadores. Os invasores enviaram mensagens de texto principalmente para alvos com links maliciosos que levaram a páginas de autenticação falsas para a plataforma de gerenciamento de identidade Okta, que pode ser usada como uma ferramenta de login único para várias contas digitais. O objetivo dos hackers era roubar as credenciais da Okta e os códigos de autenticação de dois fatores para que pudessem obter acesso a várias contas e serviços de uma só vez.
Uma empresa atingida durante o tumulto foi a empresa de comunicações Twilio. Ela sofreu uma violação no início de agosto que afetou 163 organizações de seus clientes. A Twilio é uma grande empresa, o que representava apenas 0,06% de seus clientes, mas serviços confidenciais como o aplicativo de mensagens seguro Signal, o aplicativo de autenticação de dois fatores Authy e a empresa de autenticação Okta estavam todos nessa fatia e se tornaram vítimas secundárias da violação . Como um dos serviços oferecidos pelo Twilio é uma plataforma para envio automático de mensagens de texto SMS, um dos efeitos indiretos do incidente foi que os invasores conseguiram comprometer os códigos de autenticação de dois fatores e violar as contas de usuário de alguns clientes do Twilio.
Como se isso não bastasse, Twilio acrescentou em um relatório de outubro que também foi violado por 0ktapus em junho e que os hackers roubaram informações de contato do cliente. O incidente destaca o verdadeiro poder e ameaça do phishing quando os invasores escolhem seus alvos estrategicamente para ampliar os efeitos. Twilio escreveu em agosto: “estamos muito desapontados e frustrados com este incidente”.
Nos últimos anos, países ao redor do mundo e o setor de segurança cibernética têm se concentrado cada vez mais em combater ataques de ransomware. Embora tenha havido algum progresso na dissuasão, as gangues de ransomware ainda estavam furiosas em 2022 e continuaram a visar instituições sociais vulneráveis e vitais, incluindo prestadores de serviços de saúde e escolas. O grupo de língua russa Vice Society, por exemplo, há muito se especializou em atingir ambas as categorias e concentrou seus ataques no setor educacional este ano. O grupo teve um confronto particularmente memorável com o Distrito Escolar Unificado de Los Angeles no início de setembro, no qual a escola finalmente se posicionou e se recusou a pagar os invasores, mesmo quando suas redes digitais caíram. O LAUSD era um alvo de alto perfil, e a Vice Society pode ter abocanhado mais do que poderia mastigar, já que o sistema inclui mais de 1.000 escolas que atendem a cerca de 600.000 alunos.
Enquanto isso, em novembro, a Agência de Segurança Cibernética e Infraestrutura dos EUA, o FBI e o Departamento de Saúde e Serviços Humanos divulgaram um alerta conjunto sobre o grupo de ransomware e fabricante de malware vinculado à Rússia conhecido como HIVE. As agências disseram que o ransomware do grupo foi usado para atingir mais de 1.300 organizações em todo o mundo, resultando em cerca de US$ 100 milhões em pagamentos de resgate das vítimas. “De junho de 2021 até pelo menos novembro de 2022, os agentes de ameaças usaram o ransomware Hive para atingir uma ampla gama de empresas e setores de infraestrutura crítica”, escreveram as agências, “incluindo instalações governamentais, comunicações, manufatura crítica, tecnologia da informação e especialmente saúde e Saúde pública.”
A gangue de extorsão digital Lapsus $ estava em uma intensa onda de hackers no início de 2022, roubando código-fonte e outras informações confidenciais de empresas como Nvidia, Samsung, Ubisoft e Microsoft e, em seguida, vazando amostras como parte de aparentes tentativas de extorsão. Lapsus$ tem um talento sinistro para phishing e, em março, comprometeu um contratado com acesso ao onipresente serviço de autenticação Okta. Os agressores pareciam residir principalmente no Reino Unido e, no final de março, a polícia britânica prendeu sete pessoas associadas ao grupo e indiciou duas no início de abril. Em setembro, porém, o grupo voltou à vida, invadindo impiedosamente a plataforma de carona Uber e aparentemente o Grand Theft Auto desenvolvedor Rockstar também. Em 23 de setembro, a polícia do Reino Unido disseram que prenderam um jovem de 17 anos não identificado em Oxfordshire que parece ser um dos indivíduos anteriormente presos em março em conexão com Lapsus$.
A sitiada gigante do gerenciador de senhas LastPass, que lidou repetidamente com violações de dados e incidentes de segurança ao longo dos anos, disse no final de dezembro que uma violação de seu armazenamento em nuvem em agosto levou a um novo incidente no qual hackers visaram um funcionário do LastPass para comprometer credenciais e chaves de armazenamento em nuvem. Os invasores usaram esse acesso para roubar os cofres de senhas criptografadas de alguns usuários – os arquivos que contêm as senhas dos clientes – e outros dados confidenciais. Além disso, a empresa diz que “alguns códigos-fonte e informações técnicas foram roubados de nosso ambiente de desenvolvimento” durante o incidente de agosto.
O CEO do LastPass, Karim Toubba, disse em um post de blog que nos ataques posteriores, os hackers comprometeram uma cópia de um backup que continha cofres de senhas de clientes. Não está claro quando o backup foi feito. Os dados são armazenados em um “formato binário proprietário” e contêm dados não criptografados, como URLs de sites, e dados criptografados, como nomes de usuário e senhas. A empresa não forneceu detalhes técnicos sobre o formato proprietário. Mesmo que a criptografia do cofre do LastPass seja forte, os hackers tentarão forçar a entrada nos tesouros de senhas tentando adivinhar as “senhas mestras” que os usuários definem para proteger seus dados. Com uma senha mestra forte, isso pode não ser possível, mas senhas mestras fracas podem estar em risco de ser derrotado. E como os cofres já foram roubados, os usuários do LastPass não podem impedir esses ataques de força bruta alterando sua senha mestra. Os usuários devem, em vez disso, confirmar que implantaram a autenticação de dois fatores em tantas contas quanto pode, portanto, mesmo que suas senhas sejam comprometidas, os invasores ainda não podem invadir. E os clientes LastPass devem considerar alterar as senhas em suas contas mais valiosas e confidenciais.
.
