Quase metade destes ataques visaram Estados-membros da NATO e mais de 40% foram dirigidos a organizações governamentais ou do sector privado envolvidas na construção e manutenção de infraestruturas críticas. Apesar dos ataques que estiveram em destaque no ano passado estivessem frequentemente associados à destruição ou ao ganho financeiro com ransomware, os dados mostram que a motivação predominante voltou a ser a vontade de roubar informações, monitorizar secretamente as comunicações ou manipular o que as pessoas leem:
- Os serviços secretos russos reorientaram os seus ciberataques para atividades de espionagem de apoio à guerra contra a Ucrânia, e continuam simultaneamente a efetuar ciberataques destrutivos na Ucrânia, mas a desenvolver esforços de espionagem mais vastos;
- Os esforços iranianos, outrora centrados em derrubar as redes dos seus alvos, tendem também hoje a amplificar mensagens manipuladoras para promover objetivos geopolíticos ou aceder a dados que circulam em redes sensíveis;
- A China alargou o recurso a campanhas de espionagem para obter informações destinadas a impulsionar a sua iniciativa “Uma Faixa, Uma Rota” ou a política regional, para espiar os EUA, incluindo as principais instalações para as forças armadas norte-americanas, e para estabelecer o acesso às redes de entidades de infraestruturas críticas;
- Os atores norte-coreanos têm tentado roubar secretamente informações confidenciais; visaram uma empresa envolvida na tecnologia de submarinos e, por outro lado, utilizaram os ciberataques para roubar centenas de milhões em criptomoeda.
Embora os EUA, a Ucrânia e Israel continuem a ser os países mais atacados, no último ano assistiu-se a um aumento dos ataques a nível global. É o caso, em particular, do Sul Global, nomeadamente da América Latina e da África Subsariana. O Irão aumentou as suas operações no Médio Oriente. As organizações envolvidas na elaboração e execução de políticas estão entre as mais visadas, em consonância com a mudança de foco para a espionagem.
Tanto a Rússia, como a China, estão a aumentar as suas operações de influência contra uma série de comunidades da diáspora. A Rússia pretende intimidar as comunidades ucranianas a nível mundial e semear a desconfiança entre os refugiados de guerra e as comunidades de acolhimento numa série de países, especialmente na Polónia e nos Estados Bálticos.
Em contrapartida, a China utiliza uma vasta rede de contas coordenadas em dezenas de plataformas para difundir propaganda dissimulada. Estas contas visam diretamente as comunidades globais de língua chinesa e outras, denegrindo as instituições dos EUA e promovendo uma imagem positiva da China.
Os atores Estados-Nação estão a utilizar mais frequentemente as operações de influência juntamente com as ciber operações para difundir narrativas de propaganda favoráveis. Estas têm como objetivo manipular a opinião pública nacional e mundial para enfraquecer as instituições democráticas das nações adversárias, o que é mais perigoso no contexto de conflitos armados e de eleições nacionais.
Por exemplo, na sequência da invasão da Ucrânia, a Rússia programou consistentemente as suas operações de influência com ataques militares e cibernéticos. Do mesmo modo, em julho e setembro de 2022, o Irão avançou com ciberataques destrutivos contra o governo albanês com uma campanha de influência coordenada que ainda está em curso.
Embora tenha havido um aumento geral das ameaças, foram observadas tendências nos atores mais ativos dos Estados-Nação.
- Rússia tem como alvo os aliados da Ucrânia na NATO – Os atores estatais russos expandiram as suas atividades relacionadas com a Ucrânia para visar os aliados de Kiev, principalmente os membros da NATO. Em abril e maio de 2023, a Microsoft observou um aumento de atividade contra organizações ocidentais, 46% das quais em Estados-membros da NATO, em particular os Estados Unidos, o Reino Unido e a Polónia. Vários atores estatais russos fizeram-se passar por diplomatas ocidentais e funcionários ucranianos, tentando aceder às contas para obter informações sobre a política externa ocidental em relação à Ucrânia, planos e intenções de defesa e investigações de crimes de guerra;
- China tem como alvo a defesa dos EUA, os países do Mar do Sul da China e os parceiros da Iniciativa Uma Faixa, Uma Rota – As atividades alargadas e sofisticadas da China refletem a sua dupla procura de influência global e de recolha de informações. Os seus alvos são mais frequentemente as infraestruturas críticas e de defesa dos EUA, as nações que fazem fronteira com o Mar do Sul da China (especialmente Taiwan) e até os próprios parceiros estratégicos da China. Para além dos múltiplos ataques sofisticados às infraestruturas dos EUA descritos no relatório, a Microsoft também identificou atores baseados na China atacarem os parceiros da Iniciativa Uma Faixa, Uma Rota, como a Malásia, a Indonésia e o Cazaquistão;
- Irão lança novos ataques em África, na América Latina e na Ásia – No ano passado, alguns atores estatais iranianos aumentaram a complexidade dos seus ataques. O Irão não só visou países ocidentais que considera estarem a fomentar a agitação no Irão, como também expandiu o seu alcance geográfico para incluir mais países asiáticos, africanos e latino-americanos. Na frente IO, o Irão tem promovido narrativas que procuram reforçar a resistência palestiniana, semear o pânico entre os cidadãos israelitas, fomentar a agitação xiita nos países do Golfo Árabe e contrariar a normalização dos laços israelitas e árabes. O Irão também tem feito esforços para aumentar a coordenação das suas atividades com a Rússia;
- Coreia do Norte tem como alvo as organizações russas, entre outras – A Coreia do Norte aumentou a sofisticação das suas ciberoperações no último ano, especialmente no que respeita ao roubo de criptomoedas e aos ataques à cadeia de abastecimento. Além disso, a Coreia do Norte está a utilizar emails de spearphishing e perfis do LinkedIn para visar especialistas da península coreana em todo o mundo para recolher informações. Apesar do recente encontro entre Putin e Kim Jong-Un, a Coreia do Norte tem como alvo a Rússia, especialmente para a recolha de informações sobre energia nuclear, defesa e política governamental.
Os atacantes já estão a utilizar a Inteligência Artificial (IA) como uma arma para aperfeiçoar mensagens de phishing e melhorar as operações de influência com imagens sintéticas. Mas a IA também será crucial para uma defesa bem-sucedida, automatizando e aumentando aspetos da cibersegurança, como a deteção, resposta, análise e previsão de ameaças. A IA também pode permitir que os modelos de linguagem de grande dimensão (LLM) gerem informações e recomendações em linguagem natural a partir de dados complexos, ajudando a que os analistas sejam mais eficazes e reativos.
Neste período de análise, foi possível assistir a uma ciberdefesa impulsionada por IA a inverter a maré de ciberataques; na Ucrânia, por exemplo, a IA ajudou a defender a Rússia.
À medida que a IA transformadora reformula muitos aspetos da sociedade, é necessário apostar em práticas de IA responsáveis, cruciais para manter a confiança e a privacidade dos utilizadores e para criar benefícios a longo prazo. Os modelos de IA generativa exigem uma evolução das práticas de cibersegurança e os modelos de ameaças para fazer face a novos desafios, como a criação de conteúdos realistas – incluindo texto, imagens, vídeo e áudio – que podem ser utilizados por atores de ameaças para espalhar desinformação ou criar código malicioso.
A telemetria da Microsoft indica que as organizações viram os ataques de ransomware executados por humanos aumentarem 200% desde setembro de 2022. Esses ataques são geralmente um tipo de ataque do tipo “mãos no teclado”, normalmente visando uma organização inteira com pedidos de resgate personalizados.
Os atacantes também estão a desenvolver ataques para minimizar a sua pegada, com 60% a utilizar encriptação remota, tornando assim ineficaz a correção baseada em processos. Estes ataques são também notáveis pela forma como tentam obter acesso a dispositivos não geridos – mais de 80% de todos os comprometimentos observados têm origem nesses dispositivos não geridos.
A MFA é o método de autenticação cada vez mais comum que exige que os utilizadores forneçam dois ou mais fatores de identificação para obterem acesso a um site ou aplicação. Embora a implementação da MFA seja uma das defesas mais fáceis e eficazes que as organizações podem implementar contra-ataques, reduzindo o risco de comprometimento em 99,2%, os atores de ameaças estão cada vez mais a tirar partido da “fadiga de MFA” para bombardear os utilizadores com notificações MFA, na esperança de que estes acabem por aceitar e fornecer acesso.
A Microsoft observou aproximadamente seis mil tentativas de fadiga da MFA por dia no último ano. Além disso, o primeiro trimestre de 2023 registou um aumento dramático de dez vezes nos ataques a passwords contra identidades na cloud, especialmente no sector da educação, de cerca de três mil milhões por mês para mais de 30 mil milhões – uma média de quatro mil ataques a passwords por segundo direcionados para identidades na cloud da Microsoft este ano.