Para além do horizonte: Crescimento dos ciberataques na década de 2010

Nota: Isto foi originalmente publicado em SmarterMSP.

Como parte da nossa série de 5 artigos sobre a evolução da cibersegurança, consulte o nosso quarto artigo abaixo que aborda dispositivos IoT e vulnerabilidades ao ransomware impulsionado por Bitcoin na década de 2010.

Durante os anos 2000, assistimos à crescente corrida armamentista entre especialistas em segurança e hackers no início do século. Também observámos o impacto do desenvolvimento de smartphones conectados à Internet, serviços baseados em nuvem e o contínuo crescimento do comércio eletrónico, expandindo significativamente a superfície de ameaça.

Na década de 2010, assistimos a um crescimento do cibercrime juntamente com o número de utilizadores da Internet e a uma grande variedade de novos dispositivos conectados.

Várias tendências foram fundamentais para o panorama da cibersegurança: A adoção de software e serviços baseados em nuvem continuou a aumentar para as empresas, aproximadamente duplicando até ao final da década, o aumento do uso de dispositivos móveis e o aumento dos smartwatches, um mercado que se expandiu após a Apple lançar o seu primeiro Apple Watch em 2015. Estas tendências alimentaram o crescimento dos vetores de ataque e dos ataques à cadeia de fornecimento.  

A era dos dispositivos conectados

Entre 2008 e 2009, a Internet das Coisas (IoT) surgiu. Inicialmente, o conceito era que os objetos seriam etiquetados (usando identificação por radiofrequência) para fins de rastreamento. No entanto, isto rapidamente se expandiu para incluir dispositivos que, de outra forma, seriam simples, mas que de repente tinham conectividade com a Internet sem uma interface de utilizador tradicional. Tudo, desde máquinas de venda automática até dispositivos médicos, rapidamente ganhou conectividade. Novos dispositivos (como a campainha Ring, lançada em 2011, e vários sistemas de monitorização de bebés) foram desenvolvidos com conectividade desde o início. Soluções de segurança doméstica baseadas na web também surgiram, dando aos consumidores acesso remoto a câmaras de segurança, fechaduras e portas de garagem. A Amazon introduziu a Alexa em 2014, adicionando ainda mais dispositivos à rede.

Em breve, os escritórios e as casas foram inundados com vários dispositivos a aceder a redes corporativas e pessoais, fornecendo coordenadas GPS, acesso a dados de pagamento e (mais importante) ligações relativamente desprotegidas a redes existentes. Embora as empresas e os utilizadores tivessem investido fortemente em software antivírus para os seus desktops, tal proteção era desconhecida para máquinas de venda automática ou câmaras de segurança.

À medida que estes novos dispositivos conectados chegam ao mercado, transmitindo dados através de ligações celulares públicas e Wi-Fi, não se poderia culpar os especialistas em cibersegurança por levantarem as mãos e gritarem: 'Lá vamos nós outra vez!'

Os cibercriminosos aproveitaram-se dos dispositivos da Internet das Coisas para ajudar a lançar ataques de negação de serviço (DDoS) e aceder a redes corporativas. Houve, claro, hacking tradicional - relatos de intrusos a aceder a monitores de bebé conectados e a assustar pais privados de sono. Mas criminosos ambiciosos elaboraram planos muito mais grandiosos.

Alguns incidentes notáveis incluem o ataque do Botnet Bashlite, que infectou milhões de dispositivos em 2014; vulnerabilidades descobertas em tudo, desde bombas de insulina e semáforos até veículos conectados (incluindo BMWs, Fiats e Teslas) que teriam permitido a terceiros assumir o controlo destes dispositivos com consequências potencialmente mortais; o botnet Mirai aproveitou-se da fraca proteção por palavra-passe em câmaras de circuito fechado e outros dispositivos para um ataque DDoS que derrubou grandes partes da Internet em 2016; o Botnet Reaper, Botnet Amnesia e outros que se seguiram.

Um dos ataques mais significativos a dispositivos IoT foi o ataque Stuxnet. Stuxnet é um potente worm informático que foi concebido pela inteligência dos EUA e de Israel para desativar uma parte crucial do programa nuclear iraniano. Foi direcionado a uma instalação isolada por ar, mas espalhou-se inesperadamente para sistemas informáticos externos.

O Stuxnet explorou múltiplas vulnerabilidades zero-day desconhecidas anteriormente no Windows. Foi concebido para atacar controladores lógicos programáveis (PLCs), computadores digitais industriais utilizados para fins de fabricação. Neste caso, havia um alvo específico de PLC: os computadores que controlavam o programa nuclear do Irão. O objetivo do Stuxnet era interromper os PLCs responsáveis por gerir as centrífugas de enriquecimento de urânio e fazê-las girar fora de controlo até ao ponto de destruição.

O Stuxnet arruinou, segundo consta, quase um quinto das centrífugas nucleares do Irão. Direcionado para sistemas de controlo industrial, o worm infetou mais de 200.000 computadores e causou a degradação física de 1.000 máquinas. Foi altamente eficaz e atrasou significativamente o programa nuclear do Irão. A avaliação mais otimista do Stuxnet é que atrasou e abrandou o desenvolvimento de urânio do Irão o suficiente para dissuadir Israel de atacar unilateralmente o país, e proporcionou tempo para esforços de inteligência e diplomacia.

Este ataque destacou o potencial para dispositivos IoT serem explorados em ciberataques em larga escala e sublinhou a importância de medidas robustas de cibersegurança para dispositivos IoT.

Ransomware: O aumento impulsionado pelo Bitcoin

Mas outra tecnologia, raramente usada por consumidores ou empresas na altura, provou ser a ferramenta mais valiosa para os cibercriminosos. A blockchain e a criptomoeda Bitcoin surgiram em 2008, com a primeira transação a ocorrer no ano seguinte. Esta moeda digital anónima deu aos criminosos uma ferramenta pela qual esperavam há muito – uma forma de extrair digitalmente um resgate de uma vítima de malware ou esquema fraudulento sem o risco de a transação ser rastreada até uma conta bancária ou localização física. Ataques em larga escala poderiam agora ser monetizados de forma muito mais eficaz.

À medida que o valor do Bitcoin crescia, os ataques de ransomware também aumentaram. O número de ataques de ransomware cresceu exponencialmente entre 2015 e 2020, mapeando aproximadamente o crescimento da valorização do Bitcoin durante o mesmo período.

Em 2017, as coisas chegaram a um ponto crítico com o ataque de ransomware WannaCry, que explorou o exploit EternalBlue para Windows, acabando por afetar 300.000 computadores antes de o investigador Marcus Hutchins descobrir um interruptor de desativação para evitar uma maior propagação. O worm criptográfico exigia pagamentos de resgate em Bitcoin. O ataque afetou até 70.000 dispositivos nos hospitais do Serviço Nacional de Saúde no Reino Unido, incluindo scanners de ressonância magnética e frigoríficos de armazenamento de sangue.

Os especialistas em segurança reconheceram a necessidade de ir além do antivírus e entrar no que viria a ser a deteção e resposta de endpoint (EDR), um termo cunhado pela Gartner em 2013. A análise tradicional tornou-se insuficiente porque os atacantes podiam implantar código malicioso sem instalar software (usando executáveis). Os cibercriminosos também podiam mover-se lateralmente através de uma rede uma vez que estavam dentro. As empresas precisavam de visibilidade da rede para identificar atividades suspeitas a acontecer dentro das aplicações nestes endpoints. Os ataques podiam ser identificados pelo comportamento – aplicações a serem modificadas ou ficheiros a serem eliminados.

No entanto, estas soluções exigiam muitos recursos (tanto técnicos como humanos) para monitorizar e analisar os dados apresentados dentro do EDR. Assim, nasceu a deteção e resposta gerida (MDR), proporcionando uma forma de externalizar esta função enquanto se mantém a visibilidade.

Devido à rápida evolução e complexidade dos ciberataques, EDR e MDR provaram ser insuficientes. Em 2018, o termo Extended Detection & Response (XDR) foi criado para proporcionar uma visão mais holística que oferecia visibilidade em todo o património digital, incluindo endpoints, redes, recursos na nuvem, hardware e aplicações, inaugurando uma nova era de cibersegurança – uma que iremos examinar na próxima entrada de esta série.

Isso é tudo para a parte quatro da nossa série sobre a evolução da cibersegurança. Não perca a parte três caso a tenha perdido e fique atento à parte cinco em breve!