O que é um ataque cibernético?

Os agentes de ameaças iniciam ataques cibernéticos por todos os tipos de razões, desde pequenos roubos até atos de guerra. Eles utilizam diversas táticas, como ataques de malware, golpes de engenharia social e roubo de senhas para obter acesso não autorizado a seus sistemas-alvo.

Os ataques cibernéticos podem perturbar, danificar e até destruir empresas. O custo médio de uma violação de dados é de US$ 4,88 milhões. Este preço inclui os custos de descoberta e resposta à violação, downtime e perda de receitas, e os danos à reputação a longo prazo de uma empresa e sua marca.

Mas alguns ataques cibernéticos podem ser consideravelmente mais caros do que outros. Os ataques de ransomware resultaram em pagamentos de resgate de até US$ 40 milhões. Os golpes de comprometimento de e-mail corporativo (BEC) já roubaram até US$ 47 milhões das vítimas em um único ataque. Os ataques cibernéticos que comprometem as informações de identificação pessoal (PII) dos clientes podem levar à perda de confiança do cliente, multas regulatórias e até ações legais. Segundo estimativas, o crime cibernético custará à economia mundial US$ 10,5 trilhões por ano até 2025.

As motivações por trás dos ataques cibernéticos podem variar, mas existem três categorias principais:

1. Criminoso
2. Política
3. Pessoal

Invasores com motivação criminosa buscam ganhos financeiros por meio de roubo monetário, roubo de dados ou interrupção de negócios. Os cibercriminosos podem invadir uma conta bancária para roubar dinheiro diretamente ou usar golpes de engenharia social para enganar as pessoas a enviar dinheiro para eles. Os hackers podem roubar dados e usá-los para cometer roubo de identidade ou vendê-los na dark web ou mantê-los como resgate.

A extorsão é outra tática utilizada. Os hackers podem usar ransomware, ataques de DDoS ou outras táticas para manter dados ou dispositivos como reféns até que a empresa pague um resgate. No entanto, de acordo com o mais recente X-Force Threat Intelligence Index, 32% dos incidentes cibernéticos envolveram roubo e venda de dados em vez de criptografia para extorsão.

Agressores pessoalmente motivados , como atuais ou ex-funcionários descontentes, buscam principalmente retribuição por alguma percepção de menosprezo. Eles podem pegar dinheiro, roubar dados confidenciais ou interromper os sistemas de uma empresa.

Os invasores com motivação política são frequentemente associados à guerra cibernética, ao terrorismo cibernético ou ao "hacktivismo." Na guerra cibernética, agentes de estados-nação geralmente têm como alvo as agências governamentais ou a infraestrutura crítica de seus inimigos. Por exemplo, desde o início da Guerra Rússia-Ucrânia, ambos os países experimentaram uma disparada de ataques cibernéticos contra instituições vitais. Os hackers ativistas, chamados de "hacktivistas", podem não causar danos extensos a seus alvos. Em vez disso, eles normalmente buscam atenção para suas causas por meio da divulgação de seus ataques ao público.

Motivações de ataques cibernéticos menos comuns incluem espionagem corporativa, em que hackers roubam a propriedade intelectual para obter uma vantagem injusta sobre os concorrentes, e hackers vigilantes que usam as vulnerabilidades de um sistema para avisar os outros sobre eles. Alguns hackers hackeiam por esporte, saboreando o desafio intelectual.

Organizações criminais, atores estaduais e pessoas privadas podem iniciar ataques cibernéticos. Uma forma de classificar os agentes de ameaças é categorizá-los como ameaças externas ou internas.

Ameaças externas não estão autorizadas a usar uma rede ou um dispositivo, mas entram de qualquer maneira. Os agentes externos de ameaças cibernéticas incluem grupos criminosos organizados, hackers profissionais, agentes patrocinados pelo Estado, hackers amadores e hacktivistas.

Agentes internos são usuários que têm acesso autorizado e legítimo aos ativos de uma empresa e usam indevidamente seus privilégios, de forma deliberada ou acidental. Esta categoria inclui funcionários, parceiros de negócios, clientes, prestadores de serviços e fornecedores com acesso ao sistema.

Embora usuários negligentes possam colocar suas empresas em risco, só haverá um ataque cibernético se o usuário usar intencionalmente seus privilégios para realizar atividades mal-intencionadas. Um funcionário que armazena informações confidenciais de forma descuidada em uma unidade não segura não está cometendo um ataque cibernético, mas um funcionário insatisfeito que conscientemente faz cópias de dados confidenciais para ganho pessoal está.

Os atores de ameaças normalmente se dividem em redes de computadores porque estão atrás de algo específico. Os alvos comuns incluem:

• Dinheiro
• Dados financeiros das empresas
• Listas de clientes
• Dados do cliente, incluindo informações pessoais identificáveis (PII) ou outros dados pessoais confidenciais
• Endereços de e-mail e credenciais de login
• Propriedade intelectual, como segredos comerciais ou designs de produtos

Em alguns casos, os invasores cibernéticos não querem roubar nada. Em vez disso, eles simplesmente desejam interromper os sistemas de informação ou a infraestrutura de TI para prejudicar uma empresa, uma agência governamental ou outro alvo.

Se bem-sucedidos, os ataques cibernéticos podem prejudicar as empresas. Eles podem causar inatividade, perda de dados e perda de dinheiro. Por exemplo:

• Os hackers podem usar malware ou ataques de denial-of-service para causar falhas no sistema ou servidores. Esse downtime pode levar a grandes interrupções no serviço e perdas financeiras. De acordo com o relatório do custo das violações de dados , a violação média resulta em uma perda de negócios de US$ 2,8 milhões.
  
  
• Os ataques de injeção SQL permitem que hackers alterem, excluam ou roubem dados de um sistema.
  
  
• Os ataques de phishing permitem que hackers enganem as pessoas no envio de dinheiro ou informações confidenciais para elas.
  
  
• Os ataques de ransomware podem desativar um sistema até que a empresa pague ao invasor um resgate. De acordo com um relatório, o pagamento médio de resgate é de US$ 812.360.
  

Além de prejudicar diretamente o alvo, os ataques cibernéticos podem ter uma série de custos e consequências secundários relacionados à detecção, resposta e correção de violações. No entanto, as organizações que aplicaram IA e automação à prevenção de segurança tiveram o maior impacto na redução do custo de uma violação, economizando uma média de US$ 2,22 milhões em relação às organizações que não implementaram essas tecnologias.

Os ataques cibernéticos também podem ter repercussões para vítimas além do alvo imediato. Em 2021, a gangue de ransomware DarkSide atacou o Colonial Pipeline, o maior sistema de dutos de petróleo refinado nos EUA. Os invasores entraram na rede da empresa usando uma senha comprometida. Eles fecharam o duto que transporta 45% do gás, diesel e combustível de aviação fornecidos para a costa leste dos EUA, levando à escassez generalizada de combustível.

Os cibercriminosos exigiram um resgate de quase US$ 5 milhões na criptomoeda Bitcoin, que a Colonial Pipeline pagou. No entanto, com a ajuda do governo dos EUA, a empresa eventualmente recuperou US$ 2,3 milhões do resgate.

Os cibercriminosos usam muitas ferramentas e técnicas sofisticadas para iniciar ataques cibernéticos contra sistemas de TI corporativos, computadores pessoais e outros alvos. Alguns dos tipos mais comuns de ataques cibernéticos incluem:

Malware é um software malicioso que pode tornar os sistemas infectados inoperáveis. O malware pode destruir dados, roubar informações ou até mesmo apagar arquivos essenciais para a execução do sistema operacional. O malware vem em muitas formas, incluindo:

• Os cavalos de Tróia disfarçam-se como programas úteis ou escondem-se dentro de software legítimo para enganar os utilizadores a instalá-los. Um Trojan de acesso remoto (RAT) cria um backdoor secreto no dispositivo da vítima, enquanto um Trojan dropper instala malware adicional assim que consegue uma posição segura.
  
  
• O ransomware é um malware sofisticado que usa criptografia forte para manter dados ou sistemas como reféns. Os cibercriminosos exigem o pagamento em troca da liberação do sistema e da restauração da funcionalidade. De acordo com o X-Force Threat Intelligence Index da IBM, o ransomware é o segundo tipo mais comum de ataque cibernético, representando 17% dos ataques.
  
  
• O scareware usa mensagens falsas para assustar as vítimas e fazê-las baixar malware ou passar informações confidenciais para um fraudador.
  
  
• Spyware é um tipo de malware que coleta informações confidenciais secretamente, como nomes de usuário, senhas e números de cartão de crédito. Em seguida, ele envia essas informações de volta ao hacker.
  
  
• Rootkits são pacotes de malware que permitem aos hackers obter acesso no nível do administrador ao sistema operacional de um computador ou a outros ativos.
  
  
• Worms são códigos maliciosos autorreplicantes que podem se espalhar automaticamente entre aplicativos e dispositivos.

Os ataques de engenharia social manipulam as pessoas para fazerem coisas que não deveriam fazer, como compartilhar informações que não deveriam compartilhar, baixar software que não deveriam baixar ou enviar dinheiro para criminosos.

Phishing é um dos ataques de engenharia social mais difundidos. De acordo com o relatório do custo das violações de dados, é a segunda causa mais comum de violações. Os golpes de phishing mais básicos utilizam e-mails ou mensagens de texto falsos para roubar as credenciais dos usuários, exfiltrar dados confidenciais ou espalhar malware. As mensagens de phishing geralmente são projetadas para parecer que vêm de uma fonte legítima. Elas geralmente direcionam a vítima para clicar em um hiperlink que a leva a um site malicioso ou a abrir um anexo de e-mail que acaba sendo malware.

Os cibercriminosos também desenvolveram métodos mais sofisticados de phishing. O spear phishing é um ataque altamente direcionado que visa manipular um indivíduo específico, muitas vezes usando detalhes dos perfis públicos da vítima nas redes sociais para tornar o estratagema mais convincente. O whale phishing é um tipo de spear phishing que tem como alvo específico os executivos corporativos de alto nível. Em um golpe de comprometimento de e-mail corporativo (BEC), os cibercriminosos se fazem passar por executivos, fornecedores ou outros associados de negócios para enganar as vítimas para transferir dinheiro ou compartilhar de dados confidenciais.

Os ataques de denial-of-service (DoS) e distributed denial-of-service (DDoS) inundam os recursos de um sistema com tráfego fraudulento. Esse tráfego sobrecarrega o sistema, impedindo respostas a solicitações legítimas e reduzindo a capacidade de desempenho do sistema. Um ataque de denial-of-service pode ser um fim em si mesmo ou uma preparação para outro ataque.

A diferença entre ataques DoS e ataques DDoS é simplesmente que os ataques DoS usam uma única fonte para gerar tráfego fraudulento, enquanto os ataques DDoS usam várias fontes. Os ataques DDoS geralmente são realizados com uma botnet, uma rede de dispositivos conectados à internet e infectados por malware sob o controle de um hacker. Os botnets podem incluir laptops, smartphones e dispositivos de Internet of Things (IoT). As vítimas geralmente não sabem quando um botnet invadiu seus dispositivos.

Comprometimento da conta é qualquer ataque em que hackers invadem a conta de um usuário legítimo para realizar atividades maliciosas. Os cibercriminosos podem invadir a conta de um usuário de várias maneiras. Eles podem roubar credenciais por meio de ataques de phishing ou comprar bancos de dados de senhas roubadas na dark web. Eles podem usar ferramentas de ataque de senha como Hashcat e John the Ripper para quebrar criptografias de senha ou realizar ataques de força bruta, nos quais executam scripts automatizados ou bots para gerar e testar senhas em potencial até que uma funcione.

Em um ataque man-in-the-middle (MiTM) , também chamado de “ataque de espionagem”, um hacker intercepta secretamente as comunicações entre duas pessoas ou entre um usuário e um servidor. Os ataques MitM são comumente realizados por meio de redes Wi-Fi públicas inseguras, onde é relativamente fácil para os agentes de ameaças espionar o tráfego.

Os hackers podem ler os e-mails de um usuário ou até mesmo alterar secretamente os e-mails antes de chegarem ao destinatário. Em um ataque de sequestro de sessão, o hacker interrompe a conexão entre um usuário e um servidor que hospeda ativos importantes, como um banco de dados confidencial da empresa. O hacker troca seu endereço IP com o do usuário, fazendo com que o servidor pense que é um usuário legítimo conectado a uma sessão legítima. Isso dá ao hacker liberdade para roubar dados ou causar estragos.

Ataques à cadeia de abastecimento são ataques cibernéticos nos quais hackers violam uma empresa visando seus fornecedores de software, fornecedores de materiais e outros prestadores de serviços. Como os fornecedores geralmente estão conectados de alguma forma às redes de seus clientes, os hackers podem usar a rede do fornecedor como um vetor de ataque para acessar vários alvos ao mesmo tempo.

Por exemplo, em 2020, a fornecedora de software SolarWinds foi hackeada, e agentes mal-intencionados distribuíram malware para seus clientes sob o disfarce de uma atualização de software. O malware permitiu o acesso a dados confidenciais de várias agências do Governo dos EUA usando os serviços da SolarWinds, incluindo os Departamentos do Tesouro, Justiça e Estado.

Os ataques de scripts entre sites (XSS) inserem códigos maliciosos em uma página da Web ou aplicativo da Web legítimo. Quando um usuário visita o site ou aplicativo, o código é executado automaticamente no navegador do usuário, geralmente roubando informações confidenciais ou redirecionando o usuário para um site malicioso e falsificado. Os invasores frequentemente usam JavaScript para ataques XSS.

Os ataques de injeção SQL usam a linguagem de consulta estruturada (SQL) para enviar comandos maliciosos para o banco de dados back-end de um site ou aplicativo. Os hackers inserem os comandos através de campos voltados para o usuário, como barras de pesquisa e janelas de login. Os comandos são então passados para o banco de dados, solicitando que ele retorne dados privados, como números de cartão de crédito ou detalhes do cliente.

O tunelamento de DNS oculta o tráfego mal-intencionado dentro dos pacotes de DNS, permitindo que ele contorne firewalls e outras medidas de segurança. Os criminosos cibernéticos usam o tunelamento de DNS para criar canais de comunicação secretos, que podem usar para extrair dados silenciosamente ou estabelecer conexões entre malware e um servidor de comando e controle (C&C).

As explorações de dia zero aproveitam as vulnerabilidades de dia zero, que são vulnerabilidades desconhecidas pela comunidade de segurança ou identificadas, mas ainda não corrigidas. Essas vulnerabilidades podem existir por dias, meses ou anos antes que os desenvolvedores aprendam sobre as falhas, tornando-as os principais alvos dos hackers.

Ataques sem arquivos usam vulnerabilidades em programas de software legítimos para injetar códigos maliciosos diretamente na memória de um computador. Os criminosos cibernéticos geralmente usam o PowerShell, uma ferramenta de script incorporada aos sistemas operacionais Microsoft Windows, para executar scripts maliciosos que alteram configurações ou roubam senhas.

Os ataques de falsificação de DNS, também chamados de “envenenamento de DNS”, editam secretamente os registros DNS para substituir o endereço IP real de um site por um falso. Quando as vítimas tentam acessar o site real, elas são inconscientemente direcionadas para uma cópia maliciosa que rouba seus dados ou dissemina malware.

As organizações podem reduzir os ataques cibernéticos implementando sistemas e estratégias de cibersegurança. A cibersegurança é a prática de proteger sistemas críticos e informações confidenciais contra ataques digitais, combinando tecnologia, pessoas e processos.

Muitas organizações implementam uma estratégia de gerenciamento de ameaças para identificar e proteger seus ativos e recursos mais importantes. O gerenciamento de ameaças pode incluir políticas e soluções de segurança como:

• Plataformas e políticas de gerenciamento de acesso e identidade (IAM), incluindo acesso com privilégios mínimos, autenticação multifatorial e políticas de senhas fortes, podem ajudar a garantir que apenas as pessoas certas tenham acesso aos recursos certos. As empresas também podem exigir que os funcionários remotos usem redes privadas virtuais (VPNs) ao acessar recursos confidenciais por meio de Wi-Fi não seguro.

• Uma plataforma abrangente de segurança de dados e ferramentas de prevenção contra perda de dados (DLP) podem criptografar dados confidenciais, monitorar seu acesso e uso e aumentar os alertas quando atividades suspeitas são detectadas. As organizações também podem fazer backups de dados regulares para minimizar os danos se houver uma violação.
  
  
• Firewalls podem ajudar a impedir que agentes de ameaças entrem na rede. Firewalls também podem bloquear o tráfego mal-intencionado que sai da rede, como um malware que tenta se comunicar com um servidor de comando e controle.
  
  
• O treinamento de conscientização sobre segurança pode ajudar os usuários a identificar e evitar alguns dos vetores mais comuns de ataques cibernéticos, como phishing e outros ataques de engenharia social.
  
  
• As políticas de gerenciamento de vulnerabilidades, incluindo agendamentos de gerenciamento de patches e testes de penetração regulares, podem ajudar a detectar e bloquear vulnerabilidades antes que hackers possam explorá-las.
  
  
• As ferramentas de gerenciamento de superfície de ataque (ASM) podem identificar, catalogar e remediar ativos potencialmente vulneráveis antes que os invasores cibernéticos os encontrem.
  
  
• As ferramentas de unified endpoint management (UEM) podem impor políticas e controles de segurança em todos os endpoints da rede corporativa, incluindo notebooks, desktops e dispositivos móveis.

É impossível evitar totalmente as tentativas de ataques cibernéticos, portanto, as organizações também podem usar o monitoramento contínuo de segurança e os processos de detecção precoce para identificar e sinalizar ataques cibernéticos em andamento. Confira alguns exemplos:

• Os sistemas de gerenciamento de eventos e informações de segurança (SIEM) centralizam e rastreiam alertas de várias ferramentas internas de cibersegurança, incluindo sistemas de detecção de intrusão (IDSs), sistemas de detecção e resposta de endpoint (EDRs) e outras soluções de segurança.
  
  
• As plataformas de inteligência de ameaças enriquecem os alertas de segurança para ajudar as equipes de segurança a entender os tipos de ameaças à cibersegurança que podem enfrentar.
  
  
• O software antivírus pode verificar regularmente os sistemas de computador em busca de programas maliciosos e erradicar automaticamente o malware identificado.
  
  
• Os processos proativos de caça a ameaças podem rastrear ameaças cibernéticas secretamente ocultas na rede, como as ameaças avançadas persistentes (APTs).

As organizações também podem tomar medidas para garantir uma resposta adequada a ataques cibernéticos contínuos e outros eventos de segurança cibernética. Confira alguns exemplos:

• Os planos de resposta a incidentes podem ajudar a conter e erradicar vários tipos de ataques cibernéticos, restaurar os sistemas afetados e analisar as causas raiz para evitar ataques futuros. Os planos de resposta a incidentes demonstram reduzir os custos gerais de ataques cibernéticos. De acordo com o relatório do custo das violações de dados, organizações com equipes e planos formais de resposta a incidentes têm, em média, custos das violações 58% menores.
  
  
• As soluções de orquestração, automação e resposta de segurança (SOAR) podem permitir que as equipes de segurança coordenem ferramentas de segurança díspares em playbooks semi ou totalmente automáticos para responder a ataques cibernéticos em tempo real.
  
  
• As soluções de detecção e resposta estendidas (XDR) integram ferramentas e operações de segurança em todas as camadas de segurança, usuários, endpoints, e-mail, aplicações, redes, cargas de trabalho na nuvem e dados. As XDRs podem ajudar a automatizar processos complexos de prevenção, detecção, investigação e resposta de ataques cibernéticos, incluindo caça a ameaças proativa.