O que é um agente de ameaças?

Atualmente, existem muitos tipos de agentes de ameaças, todos com atributos, motivações, níveis de habilidade e táticas variados. Alguns dos tipos mais comuns de agentes de ameaças incluem hacktivistas, agentes de estados-nação, cibercriminosos, caçadores de adrenalina, agentes de ameaças internas e ciberterroristas.

À medida que a frequência e a gravidade dos cibercrimes continuam crescendo, entender esses diferentes tipos de agentes de ameaças é cada vez mais crítico para melhorar a cibersegurança individual e organizacional.

O termo agente de ameaças é amplo e relativamente abrangente, estendendo-se a qualquer pessoa ou grupo que represente uma ameaça à cibersegurança. Os agentes de ameaças são normalmente classificados em tipos diferentes com base em sua motivação e, em menor medida, em sua sofisticação.

Esses indivíduos ou grupos se comprometem principalmente com o ganho financeiro. Entre os crimes mais comuns que são cometidos por cibercriminosos estão ataques de ransomware e golpes de phishing que induzem as pessoas a fazer transferências de dinheiro ou divulgar informações de cartões de crédito, credenciais de login, propriedade intelectual ou outras informações privadas ou confidenciais.

Nações e governos frequentemente financiam agentes de ameaças com o objetivo de roubar dados, coletar informações confidenciais ou prejudicar a infraestrutura crítica de outro governo. Essas atividades maliciosas frequentemente envolvem espionagem ou guerra cibernética e tendem a ser altamente financiadas, tornando as ameaças complexas e difíceis de detectar.

Esses agentes de ameaças usam técnicas de hacking para promover agendas políticas ou sociais, como disseminar a liberdade de expressão ou revelar violações dos direitos humanos. Os hacktivistas acreditam que estão promovendo mudanças sociais positivas e pensam que isso justifica o fato de suas ações serem direcionadas a indivíduos, organizações ou agências governamentais para expor segredos ou outras informações confidenciais. Um exemplo bem conhecido de um grupo hacktivista é o Anonymous, um grupo de hackers internacional que afirma defender a liberdade de expressão na internet.

Os caçadores de adrenalina são precisamente o que o nome sugere: eles atacam computadores e sistemas de informação principalmente por diversão. Alguns querem ver a quantidade de informações ou dados confidenciais que podem roubar. Outros querem usar o hacking para entender melhor como as redes e os sistemas de computador funcionam. Uma classe de caçadores de adrenalina, chamada de script kiddies, não tem habilidades técnicas avançadas, mas usa ferramentas e técnicas preexistentes para atacar sistemas vulneráveis, principalmente por diversão ou satisfação pessoal. Apesar de não terem a intenção de causar danos, os caçadores de adrenalina ainda podem causar danos involuntários ao comprometer a cibersegurança de uma rede e criar oportunidades para futuros ciberataques.

Diferentemente da maioria dos outros tipos de agentes, a ameaça interna nem sempre têm intenções maliciosas. Alguns prejudicam suas empresas devido a erros humanos, como a instalação acidental de malware ou a perda de um dispositivo fornecido pela empresa, que um cibercriminoso encontra e utiliza para acessar a rede. Mas existem agentes internos maliciosos. Por exemplo, o funcionário descontente que abusa dos privilégios de acesso para roubar dados em busca de ganho monetário, ou causa danos aos dados ou aplicações em retaliação, por não ter sido promovido.

Ciberterroristas começam ataques cibernéticos motivados política ou ideologicamente que ameaçam ou resultam em violência. Alguns ciberterroristas são agentes de governos, outros intervêm por conta própria ou em nome de um grupo não governamental.

Os agentes de ameaças frequentemente visam grandes organizações; porque elas têm mais dinheiro e dados mais confidenciais, oferecendo o maior potencial de ganho.

No entanto, nos últimos anos, pequenas e médias empresas (PMEs) também se tornaram alvos frequentes de agentes de ameaça devido aos seus sistemas de segurança relativamente mais fracos. Na verdade, o FBI recentemente citou a preocupação com as taxas crescentes de crimes cibernéticos cometidos contra pequenas empresas, compartilhando que, somente em 2021, as pequenas empresas perderam US$ 6,9 bilhões com ataques cibernéticos, um aumento de 64% em relação ao ano anterior.

Da mesma forma, os agentes de ameaças visam cada vez mais indivíduos e famílias por quantias menores. Por exemplo, eles podem invadir redes domésticas e sistemas de computador para roubar informações pessoais de identidade, senhas e outros dados potencialmente valiosos e confidenciais. Na verdade, as estimativas atuais sugerem que uma em cada três famílias americanas com computadores estão infectadas por malware.

Os agentes de ameaças não estão discriminando. Embora tendam a buscar os alvos mais gratificantes ou significativos, eles também aproveitarão qualquer vulnerabilidade de segurança cibernética, não importa onde a encontrem, tornando o cenário de ameaça cada vez mais caro e complexo.

Os agentes de ameaças implementam uma mistura de táticas ao executar um ataque cibernético, confiando mais em umas do que em outras, dependendo de sua motivação principal, recursos e alvo pretendido.

Malware é um software malicioso que danifica ou desabilita computadores. O malware costuma ser espalhado por anexos de e-mail, sites infectados ou software comprometido e pode ajudar os agentes de ameaças a roubar dados, assumir o controle de sistemas de computador e atacar outros computadores. Os tipos de malware incluem vírus, worms e cavalos de troia, que se camuflam como programas legítimos durante o download em computadores.

Ransomware é um tipo de malware que criptografa os dados ou dispositivos da vítima e ameaça mantê-los criptografados, ou pior, a menos que a vítima pague um resgate ao invasor. Hoje, a maioria dos ataques de ransomware são ataques de extorsão dupla, que também ameaçam roubar os dados da vítima e vendê-los ou vazá-los online. De acordo com o IBM® X-Force Threat Intelligence Index, os ataques de ransomware representam 20% de todos os ataques de malware.

Ataques de grande escala (BGH) são campanhas de ransomware maciças e coordenadas que têm como alvo grandes organizações, incluindo governos, grandes empresas e provedores de infraestrutura crítica, que têm muito a perder com uma interrupção, sendo, portanto, são mais suscetíveis a pagar uma alta quantia de resgate.

Os ataques de phishing usam e-mails, mensagens de texto, mensagens de voz ou sites falsos para enganar os usuários e fazê-los compartilhar dados sensíveis, baixar malware ou se expor ao cibercrime. Os tipos de phishing incluem:

• Spear phishing, um ataque de phishing direcionado a um indivíduo específico ou a um grupo de indivíduos com mensagens que parecem vir de remetentes legítimos que têm alguma relação com o alvo.

• Comprometimento de e-mail empresarial, um ataque de spear phishing que envia à vítima um e-mail fraudulento a partir de uma conta de e-mail de um colega de trabalho que foi clonada ou sequestrada.
  
  
• Whale phishing, um ataque de spear phishing voltado especificamente para executivos de alto nível ou executivos corporativos.

O phishing é uma forma de engenharia social, uma classe de ataques e táticas que exploram sentimentos de medo ou urgência para manipular as pessoas para cometer outros erros que comprometem seus ativos pessoais, organizacionais ou sua segurança. A engenharia social pode ser tão simples quanto deixar um pendrive infectado com malware onde alguém o encontrará (porque "ei, um USB grátis!"), ou tão complexa quanto passar meses cultivando um relacionamento romântico à distância com a vítima para extorqui-la por passagens de avião para que possam "finalmente se encontrar".

Como a engenharia social explora a fraqueza humana em vez de vulnerabilidades técnicas, às vezes ela é chamada de "hacking humano".

Esse tipo de ataque cibernético funciona inundando uma rede ou servidor com tráfego, tornando-o indisponível para os usuários. Um ataque de distributed denial-of-service (DDoS) utiliza uma rede distribuída de computadores para enviar tráfego malicioso, criando um ataque que pode sobrecarregar o alvo de forma mais rápida e difícil de detectar, prevenir ou mitigar.

Ameaças persistentes avançadas (APTs) são ataques cibernéticos sofisticados que se desenrolam ao longo de meses ou anos, em vez de horas ou dias. As APTs permitem que os agentes de ameaças operem de forma não detectada na rede da vítima, infiltrando sistemas de computador, realizando espionagem e reconhecimento, aumentando privilégios e permissões (chamados de movimento lateral) e roubando dados confidenciais. Como podem ser incrivelmente difíceis de detectar e relativamente caras de executar, as APTs são normalmente iniciadas por agentes de estados-nação ou outros agentes de ameaças bem financiados.

Um ataque de backdoor explora uma abertura em um sistema operacional, aplicação ou sistema de computador que não é protegida pelas medidas de cibersegurança de uma organização. Às vezes, a backdoor é criada pelo desenvolvedor de software ou fabricante de hardware para permitir atualizações, correções de bugs ou (ironicamente) correções de segurança, outras vezes, os agentes de ameaças criam suas próprias backdoors usando malware ou hackeando o sistema. As backdoors permitem que os agentes de ameaças entrem e saiam dos sistemas de computador sem serem detectados.

Os termos " gente de ameaças", "hacker" e "criminoso cibernético" são frequentemente usados de forma intercambiável, especialmente em Hollywood e na cultura popular. Mas há diferenças sutis nos significados de cada um e na relação entre eles.

• Nem todos os agentes de ameaças ou cibercriminosos são hackers. Por definição, um hacker é alguém com habilidades técnicas para comprometer uma rede ou sistema de computador. No entanto, alguns agentes de ameaças ou cibercriminosos não realizam nada mais técnico do que deixar uma unidade USB infectada para alguém encontrar e usar, ou enviar um e-mail com malware anexado.

• Nem todos os hackers são agentes de ameaças ou cibercriminosos. Por exemplo, alguns hackers, chamados hackers éticos, basicamente incorporam o papel de cibercriminosos para ajudar organizações e agências governamentais a testar seus sistemas de computador em busca de vulnerabilidades a ameaças cibernéticas.

• Certos tipos de agentes de ameaças não são cibercriminosos por definição ou intenção, mas sim na prática. Por exemplo, um caçador de adrenalina que está "só se divertindo" pode desligar a rede elétrica de uma cidade por alguns minutos. Da mesma forma, um hacktivista que exfiltra e publica informações confidenciais do governo em nome de uma causa nobre ainda pode estar cometendo um crime cibernético, independentemente de suas intenções ou crenças.

À medida que a tecnologia se torna mais avançada, o cenário de ameaças cibernéticas também se desenvolve. Para se manter um passo à frente dos agentes de ameaças, as organizações estão continuamente aprimorando suas medidas de cibersegurança e se tornando mais hábeis em relação à inteligência de ameaças. Algumas medidas que as organizações adotam para mitigar o impacto dos agentes de ameaças, ou até mesmo evitá-los completamente, incluem:

• Treinamento de conscientização de segurança. Como os agentes de ameaças geralmente exploram o erro humano, o treinamento de funcionários é uma importante linha de defesa. O treinamento de conscientização de segurança pode abranger desde a não utilização de dispositivos não autorizados pela empresa até o armazenamento adequado de senhas e técnicas para reconhecer e lidar com e-mails de phishing.
  

• Autenticação multifator e adaptativa. A implementação da autenticação multifator exige que os usuários forneçam uma ou mais credenciais além de um nome de usuário e senha. Da mesma forma, a autenticação adaptativa solicita credenciais extras aos usuários ao fazer login de diferentes dispositivos ou locais, impedindo que hackers acessem uma conta de e-mail, mesmo que consigam roubar a senha do usuário.

• Soluções de segurança de endpoint. Variam desde softwares antivírus, que detectam e bloqueiam malwares e vírus conhecidos, a ferramentas como soluções de detecção e resposta de endpoint (EDR), que usam inteligência artificial (IA) e análise de dados para ajudar as equipes de segurança a detectar e responder a ameaças que passam pelo software de segurança de endpoint tradicional.
  
  
• Tecnologias de segurança de rede. A tecnologia fundamental de segurança de rede é o firewall, que impede que o tráfego suspeito entre ou saia de uma rede e permite a passagem do tráfego legítimo. Outras tecnologias incluem sistemas de prevenção de intrusão (IPSs), que monitoram a rede em busca de possíveis ameaças e tomam medidas para interrompê-las, e detecção e resposta de rede (NDR), que usa IA, aprendizado de máquina e análise de dados comportamentais para ajudar os profissionais de segurança a detectar e automatizar respostas a ameaças cibernéticas.

• Software de segurança empresarial. Essas soluções podem ajudar as equipes de segurança e os centros de operações de segurança (SOCs) a detectar e interceptar atividades incomuns ou maliciosas em todos os domínios da infraestrutura de TI — endpoints, e-mails, aplicações, redes e cargas de trabalho na nuvem. Elas incluem (entre outras) orquestração, automação e resposta de segurança (SOAR), gerenciamento de eventos e incidentes de segurança (SIEM) e detecção e respostas estendidas (XDR).

As organizações também podem realizar avaliações regulares de segurança para identificar vulnerabilidades no sistema. A equipe de TI interna é capaz de conduzir essas auditorias, mas algumas empresas as terceirizam para especialistas ou prestadores de serviços externos. Executar atualizações regulares de software também ajuda empresas e indivíduos a detectar e reforçar possíveis vulnerabilidades em seus computadores e sistemas de informação.