O phishing continua a ser o método preferido de ataque em casos de CaaS, já que os cibercriminosos conseguem rentabilizar o roubo de contas para vender posteriormente o acesso a elas. O ransomware é outra das ferramentas de eleição.
Como forma de combate à expansão do mercado de CaaS, a Unidade de Crimes Digitais (DCU) da Microsoft está a melhorar os seus sistemas de deteção e identificação num ecossistema que abrange internet, deep web, fóruns verificados, websites dedicados, fóruns de discussão online e plataformas de mensagens.
Em colaboração com autoridades policiais de todo o mundo, a DCU aposta também na aniquilação da infraestrutura criminal usada para perpetrar ataques de CaaS, pois a Microsoft está ciente que este tipo de crimes levanta questões complexas a nível jurisdicional. É que os cibercriminosos estão a colaborar cada vez mais entre diferentes regiões geográficas para atingir resultados específicos. Por exemplo, um website de CaaS pode ser administrado por um indivíduo na Ásia que opera na Europa e cria contas maliciosas em África.
Outro ponto curioso observado pelo Relatório de Defesa Digital é o quanto os sites de CaaS são geridos como um negócio legítimo, na perspetiva de que precisam de assegurar a validade dos produtos e serviços para manter uma reputação fidedigna. Isto faz com que criem um acesso automático rotineiro a contas comprometidas para assegurar a validade das credenciais roubadas.
Além disso, deixam de vender o acesso a contas específicas quando detetam que as palavras-passe foram alteradas ou que as vulnerabilidades de segurança foram corrigidas – no fundo, uma espécie de controlo de qualidade do material que comercializam.
A DCU identificou igualmente a tendência crescente dos sites de CaaS para venderem o acesso a contas comprometidas por zonas geográficas específicas e/ou indústrias, profissionais e indivíduos específicos. Um dos alvos preferenciais são os departamentos financeiro e de contabilidade, sendo que as empresas que participam em concursos públicos também são muitas vezes atacadas devido à quantidade de informação que é disponibilizada durante esses processos.
- Os países que fazem os ciberataques mais eficazes
Inevitavelmente, o Relatório de Defesa Digital dá grande foco àquilo que a Microsoft denomina de “guerra híbrida” e que representa ataques físicos e digitais da Rússia contra a Ucrânia. O aumento da eficácia dos ataques de estado-nação é justificado pelos avanços da Rússia na tentativa de destruição das infraestruturas críticas da Ucrânia e respetiva espionagem aos países aliados, incluindo os Estados Unidos (55%), Reino Unido (8%), Canadá (3%), Alemanha (3%) e Suíça (2%). 90% dos ataques detetados no ano passado provenientes da Rússia visaram os Estados-Membros da NATO, sendo que 48% desses ataques comprometeram empresas de TI sediadas em países da NATO, revela a empresa de Redmond.
Além da Rússia, países como o Irão, Coreia do Norte e China foram também os principais atores de ataques cibernéticos. Os objetivos operacionais, além da recolha de informação, centraram-se na interrupção de processos e serviços, roubo de criptomoedas ou destruição de dados e ativos físicos, juntamente com a obtenção de receitas.
Entre julho de 2021 e junho de 2022, de acordo com um comunicado de imprensa, a Microsoft bloqueou 37 mil milhões de ameaças por email e 34,7 mil milhões de ameaças de roubo de identidade. Os principais setores afetados pelos ataques de estado-nação detetados são as TI (22%), ONG e grupos de reflexão (17%), Educação (14%), Governos (10%), Finanças (5%), meios de comunicação (4%), Serviços de saúde (2%), Transportes (2%), Organizações Intergovernamentais (2%) e Comunicações (2%).
Apesar dos temas da covid-19 terem sido menos prevalecentes do que em 2020, a guerra na Ucrânia motivou novas estratégias de phishing, desde o início de março de 2022, com mensagens de correio eletrónico de organizações falsas solicitando doações em criptomoedas, alegadamente para apoiar cidadãos ucranianos.
O estudo da Microsoft teve com base mais de 43 triliões de sinais diários.