Resumo de notícias sobre segurança cibernética de 2024: as 10 maiores histórias

Este ano não foi tranquilo para o campo da segurança cibernética. Vimos violações de dados recordes, enormes pagamentos de ransomware e estudos esclarecedores sobre o impacto do cenário de ameaças cada vez mais complexo e em constante evolução.

À medida que nos aproximamos do novo ano, a TechRepublic revisita as maiores histórias de segurança cibernética de 2024.

1. Ataque da Midnight Blizzard à Microsoft

Em janeiro, a Microsoft revelou que foi vítima de um ataque apoiado pelo Estado-nação iniciado em novembro de 2023. O grupo russo de ameaças Midnight Blizzard acessou alguns e-mails e documentos corporativos da Microsoft por meio de contas de e-mail comprometidas. Mais tarde, a Microsoft revelou que também acessou alguns repositórios de código-fonte e sistemas internos.

Midnight Blizzard obteve acesso por meio de um ataque bem-sucedido de pulverização de senha em uma conta de locatário de teste herdada sem autorização multifatorial. A pulverização de senhas é um ataque de força bruta em que os agentes da ameaça enviam spam ou “sprayem” senhas comumente usadas contra muitas contas diferentes em uma organização ou aplicativo. A partir daí, eles poderiam usar as permissões dessa conta para acessar um pequeno número de contas de email corporativas da Microsoft – algumas dessas contas eram para membros da equipe de liderança sênior.

Midnight Blizzard esteve particularmente ativo este ano. Em outubro, lançou ataques de spearphishing direcionados a mais de 100 organizações em todo o mundo. Os e-mails de spear-phishing continham arquivos de configuração RDP, permitindo que os invasores se conectassem e potencialmente comprometessem os sistemas visados.

2. Registre pagamentos de ransomware e grupos ativos

Em fevereiro, a Chainalysis anunciou que os pagamentos globais de ransomware ultrapassaram US$ 1 bilhão pela primeira vez em 2023. A “caça de grandes animais”, onde grupos perseguem grandes organizações e exigem resgates de mais de US$ 1 milhão, está aumentando, e as organizações afetadas são frequentemente tentadas para pagar.

Além disso, em outubro, foi anunciado que o segundo trimestre deste ano registou o maior número de grupos de ransomware ativos alguma vez registado. Isto sugere que as remoções por parte das autoridades estão a revelar-se eficazes contra os gangues mais estabelecidos, abrindo novas oportunidades para grupos mais pequenos. Na verdade, a inteligência artificial pode estar a reduzir a barreira à entrada em ataques de ransomware, alargando o número de indivíduos que o podem fazer.

3. O conflito do LockBit com as autoridades policiais

O notório grupo de ransomware LockBit foi alvo de uma remoção policial em fevereiro. A Divisão Cibernética da Agência Nacional de Crimes do Reino Unido, o FBI e parceiros internacionais cortaram seu site, que era usado como uma grande vitrine de ransomware como serviço. O ransomware LockBit foi o tipo mais comum de ransomware implantado globalmente em 2023.

No entanto, alguns dias depois, o grupo retomou as operações em um endereço diferente da Dark Web e assumiu a responsabilidade por ataques de ransomware em todo o mundo. Isso apesar da Agência Nacional do Crime da Grã-Bretanha alegar que a gangue de ransomware estava “completamente comprometida”, segundo a Reuters.

Quer tenha permanecido total ou parcialmente operacional, a remoção teve efeitos positivos. O Grupo NCC observou um declínio ano após ano nos ataques de ransomware em junho e julho deste ano, que os especialistas associaram à interrupção do LockBit.

Um relatório da Cyberint também disse que o terceiro trimestre deste ano viu o menor número de ataques trimestrais do grupo em um ano e meio. A pesquisa da Malwarebytes também descobriu que a proporção de ataques de ransomware pelos quais a LockBit assumiu responsabilidade diminuiu de 26% para 20% no ano passado, apesar de realizar mais ataques individuais.

4. Vazou a maior compilação de senhas do mundo

Em julho, a maior compilação mundial de senhas vazadas, contendo 9.948.575.739 entradas únicas em texto simples, foi publicada em um fórum de hackers. As credenciais foram descobertas em um arquivo chamado “rockyou2024.txt” e muitas das senhas já haviam vazado em violações de dados anteriores.

RockYou é um site de aplicativos sociais extinto. Em 2009, mais de 32 milhões de detalhes de contas de seus usuários foram expostos depois que um hacker acessou o arquivo de texto simples onde estavam armazenados. Em junho de 2021, outro arquivo de texto chamado “rockyou2021.txt” foi postado. Este arquivo de 100 GB continha 8,4 bilhões de senhas, tornando-se o maior despejo de senhas até então.

5. Quase todos os números de telefone da AT&T expostos

Em julho, a AT&T revelou que os dados de “quase todos” os clientes de maio a outubro de 2022 e 2 de janeiro de 2023 foram exfiltrados para uma plataforma de terceiros em abril deste ano. Os atores da ameaça acessaram registros de chamadas telefônicas e mensagens de texto, mas não seu contexto ou qualquer informação de identificação pessoal.

A AT&T pagou 5,7 Bitcoin – cerca de US$ 374.000 – a um agente de ameaça para excluir os dados roubados, de acordo com a Wired. O ator da ameaça fazia parte do grupo ShinyHunters, que invadiu a plataforma de armazenamento de dados Snowflake para obter os dados. Uma pessoa foi detida pelas autoridades em conexão com o ataque cibernético, e o ponto de acesso já foi protegido, disse a AT&T.

6. A interrupção do CrowdStrike causou perturbação global

Em julho, cerca de 8,5 milhões de dispositivos Windows foram desativados em todo o mundo, causando enormes perturbações nos serviços de emergência, aeroportos, autoridades policiais e outras organizações críticas. Isso ocorreu porque ocorreu um erro quando a empresa de segurança em nuvem CrowdStrike lançou uma atualização para o Falcon Sensor.

VEJA: O que é CrowdStrike? Tudo o que você precisa saber

As organizações afetadas viram a infame “Tela Azul da Morte”, o alerta de falha do sistema Windows. O incidente fez com que CrowdStrike recebesse o prêmio “Epic Fail” no Black Hat USA 2024 em agosto.

VEJA: A maioria dos ataques de ransomware ocorre quando a equipe de segurança está dormindo, conclui estudo

7. Violação de dados públicos nacionais é uma das maiores da história

Em agosto, foram publicados 2,7 mil milhões de registos de dados, incluindo números da Segurança Social, num fórum da dark web, numa das maiores violações da história. A National Public Data, uma empresa de verificação de antecedentes proprietária dos dados, reconheceu o incidente e culpou um “terceiro malfeitor” que hackeou a empresa em dezembro de 2023.

Troy Hunt, especialista em segurança e criador do serviço de verificação de violações “Have I Been Pwned”, investigou o conjunto de dados vazado e descobriu que continha apenas 134 milhões de endereços de e-mail exclusivos e 70 milhões de linhas de um banco de dados de registros criminais dos EUA. Os endereços de e-mail não estavam associados aos SSNs.

De acordo com uma queixa de acção colectiva, a National Public Data recolhe informações de identificação pessoal de milhares de milhões de indivíduos de fontes não públicas para criar os seus perfis para o seu serviço de verificação de antecedentes. Também se pensava que esses dados seriam armazenados em um arquivo de texto simples em um de seus sites irmãos.

8. CISOs estão passando por esgotamento

Amplas evidências publicadas este ano sugerem que os CISOs e os profissionais de segurança estão passando por esgotamento. Um estudo da BlackFog publicado em Outubro descobriu que quase um quarto deles está a considerar deixar os seus empregos, e 93% deles disseram que foi devido ao stress ou às exigências do trabalho.

Além disso, 66% dos profissionais globais de cibersegurança afirmam que o seu papel é mais stressante agora do que era há cinco anos, com 81% citando o cenário de ameaças mais complexo, de acordo com um inquérito da associação profissional global ISACA. Quarenta e seis por cento dos inquiridos consideraram que os profissionais cibernéticos estavam a abandonar as suas funções devido aos elevados níveis de stress no trabalho, o que representa um aumento de três pontos percentuais em relação ao ano anterior.

VEJA: Profissionais australianos de segurança cibernética confessam estresse crescente no trabalho

Ao mesmo tempo, a investigação deste ano sugeriu questões de recrutamento que, juntamente com o número crescente de ataques cibernéticos, estão a exercer pressão sobre as equipas de segurança existentes. De acordo com o ISC2, 90% das organizações enfrentam escassez de competências em segurança cibernética. O défice global atingirá mais de 85 milhões de profissionais qualificados até 2030.

9. Mais de 31 milhões de contas de usuários do Internet Archive expostas

Em outubro, o Internet Archive, uma biblioteca digital sem fins lucrativos mais conhecida pela sua Wayback Machine, sofreu uma violação significativa de dados e uma série de ataques distribuídos de negação de serviço.

De acordo com o Bleeping Computer, os invasores comprometeram um banco de dados SQL de 6,4 GB contendo informações de autenticação de mais de 31 milhões de membros registrados do Archive, incluindo endereços de e-mail, nomes de tela, carimbos de data e hora de alteração de senha e senhas com hash bcrypt. No entanto, 54% dos dados comprometidos já tinham sido expostos em violações anteriores.

Na mesma época, o site sofreu três ataques DDoS, reivindicados pelo grupo hacktivista BlackMeta.

10. A maior violação de dados de saúde de todos os tempos nos EUA

O Gabinete dos Direitos Civis dos EUA revelou em Outubro que os agentes da ameaça violaram o sistema da Change Healthcare em Fevereiro como parte de um ataque de ransomware, obtendo acesso a informações privadas de saúde de mais de 100 milhões de pessoas. Isto marcou a maior violação de dados de saúde já relatada aos reguladores federais dos EUA.

O grupo ALPHV, às vezes chamado de BlackCat, assumiu a responsabilidade pela violação. Em uma audiência no Senado sobre o assunto em maio, o CEO do UnitedHealth Group, controladora da Change Healthcare, disse que um resgate de US$ 22 milhões em Bitcoin foi pago para liberar os dados roubados. O ataque atrasou as entregas de receitas e levou a um impacto de interrupção dos negócios de US$ 705 milhões.