A invasão da Ucrânia está a mostrar ao mundo o significado de uma “guerra híbrida”. O termo foi criado por Frank Hoffman, para descrever uma guerra que se desenrola em várias frentes: guerra convencional, métodos irregulares, por exemplo, missões, e ataques cibernéticos. À medida que esta horrível demonstração de agressão se desenrola, os aspectos digitais da guerra moderna terão impacto em muitas empresas de todo o mundo.

À medida que as sirenes tocam na Ucrânia, as organizações também devem fazer soar o alarme de alerta sobre as suas medidas de cibersegurança. Eis o que as organizações enfrentam nesta guerra híbrida.

Uma história maliciosa: “Tem medo e espera o pior”

A Rússia tem um longo historial de utilização de ciberataques como tática para exercer pressão e travar uma guerra por procuração. Os grupos de hackers apoiados pelo Estado russo são conhecidos pelos ataques informáticos maciços contra organizações ocidentais. Um dos maiores dos últimos anos foi o ataque de ransomware de 2021 contra os EUA. Colonial Pipeline do grupo de hackers, REvil.

Mais recentemente, 70 sítios Web do governo ucraniano foram danificados num ataque informático com uma mensagem de aviso no ecrã que dizia “tem medo e espera o pior“. Uma análise do ataque encontrou sinais de que os serviços secretos russos estavam envolvidos; no entanto, a Rússia negou entretanto o seu envolvimento.

A negação e a desinformação são tácticas de guerra típicas que a confusão utiliza para “dividir e conquistar”. No entanto, as provas estão a acumular-se: 74% do dinheiro extorquido de ataques de ransomware em 2021 foi enviado para hackers com associações russas. Em retrospetiva, devemos perguntar-nos: será que este dinheiro foi depois posto de lado como um cofre de guerra?

À medida que a invasão da Ucrânia se foi desenrolando, foram sendo efectuados mais ataques informáticos contra o governo ucraniano. Uma declaração do blogue da Microsoft de28 de fevereiro dá mais informações:

No dia 24 de fevereiro, o Centro de Informações sobre Ameaças da Microsoft (MSTIC) detectou uma nova ronda de ataques informáticos ofensivos e destrutivos dirigidos contra a infraestrutura digital da Ucrânia.O blogue menciona que uma nova variante de malware “FoxBlade” foi encontrada como parte destes ataques.

Uma coisa é muito provável: a invasão da Ucrânia é uma guerra híbrida e os ataques cibernéticos não serão contidos na Ucrânia.

Alerta para novos ataques cibernéticos

Foram publicados avisos e advertências em todo o mundo, alertando as empresas para o aumento da ameaça de ataques informáticos:

No Reino Unido, o Centro Nacional de Cibersegurança (NCSC) publicou um aviso no seu sítio Web em que insta as empresas britânicas a reforçaremasua “resiliência em matéria de cibersegurança em resposta aos incidentes cibernéticos maliciosos ocorridos na Ucrânia e arredores”.

Nos EUA, a CISA (Cyber Security and Infrastructure Security Agency) publicou um aviso no âmbito da sua iniciativaProtege-tesobre um novo grupo de ransomware, Conti, com ligações aos serviços secretos russos:

Os autores do ransomware Conti ameaçam “medidas de retaliação” contra infra-estruturas críticas em resposta a “um ataque cibernético ou quaisquer actividades de guerra contra a Rússia.

Na Austrália, o estado de alerta para um ataque cibernético está definido para HIGH e o governo afirma que as empresas são “encorajadas a adotar urgentemente uma posição de segurança cibernética reforçada“.

Do mesmo modo, em todos os países europeus, os governos estão a avisar as organizações e os cidadãos para se prepararem para um ataque cibernético.

Uma das preocupações quanto à facilidade com que estes ciberataques serão levados a cabo é que os cibercriminosos apoiados pela Rússia passaram anos a desenvolver o seu know-how em matéria de malware e a efetuar o reconhecimento de tácticas de ataque bem sucedidas.

Novo malware, tácticas bem sucedidas

Já foram identificadas várias novas variantes de malware associadas a grupos de hackers russos. Estas parecem ser baseadas na eliminação de dados e/ou ransomware e são extremamente prejudiciais. Exemplos HermeticWiper, e O malware WhisperGate, que corrompe e/ou apaga completamente os dados. Outro, o HermeticRansom, utiliza técnicas de extorsão para aumentar o impacto prejudicial do malware.

Outras investigações também descobriram que estão a ser utilizados “worms” de malware. Os worms são particularmente perigosos, pois uma vez que entram num sistema, auto-replicam-se e propagam-se através de uma rede, infectando máquinas e causando destruição em toda a rede. Uma das últimas descobertas chama-se HermeticWizard, um worm usado para distribuir o malware HermeticWiper.

Os worms entram numa rede através de uma variedade de métodos, incluindo correio eletrónico, pens USB, ligações maliciosas em publicações nas redes sociais, dispositivos IoT inseguros, etc.

É provável que outras variantes de malware entrem no cenário de ameaças à medida que a guerra continua.

A CISA e o FBI publicaram um aviso conjunto que explica os perigos de algumas das mais recentes variantes de malware. O aviso insta as organizações a:

“... aumenta a vigilância e avalia as suas capacidades, abrangendo o planeamento, a preparação, a deteção e a resposta a um evento deste tipo“.

Estas novas variantes de malware continuarão a depender de tácticas de sucesso estabelecidas, como o phishing e a engenharia social, para entrar numa rede. Então, como é que uma empresa se prepara para esta guerra híbrida?

Acções para proteger a tua empresa e os teus empregados

Os cibercriminosos que estão por detrás desta vaga de malware de guerra cibernética utilizarão métodos testados e comprovados para transmitir a infeção de forma rápida e eficaz. As organizações devem utilizar os conhecimentos do sector da segurança para se precaverem. As acções de mitigação devem incluir o seguinte:

  • Certifica-te de que tens visibilidade de todos os teus activos de TI, incluindo todos os pontos terminais, armazenamento e fluxos de dados, servidores e outros dispositivos.

  • Assegura que a tua rede alargada tem medidas de segurança robustas associadas a dispositivos, pessoas e localizações. Por exemplo, impõe uma autenticação robusta e utiliza os princípios de privilégios mínimos aplicados através da gestão de acesso privilegiado (PAM) para controlar o acesso.

  • Testa os teus sistemas de gestão de patches para te certificares de que estão a chegar a todos os pontos terminais e servidores.

  • Configura ou testa um sistema de cópia de segurança seguro existente.

  • Coloca a tua empresa em alerta máximo e apoia-a com formação de sensibilização para a segurança centrada na ameaça: aumenta a tua formação com a avaliação contínua da situação e utiliza simulações de phishing para educar o teu pessoal sobre as prováveis campanhas de phishing associadas à invasão.

  • Monitoriza a atividade da tua rede e dos pontos de acesso e verifica o acesso às portas para detetar possíveis vulnerabilidades.

  • Remove ou desactiva as aplicações não utilizadas.

  • Verifica, actualiza e melhora o teu planeamento e estratégia de recuperação de desastres

Estas são algumas das áreas-chave que precisam de ser reforçadas durante este período de ameaça acrescida.

Prepara-te para ataques de retaliação

Existe agora também um aviso de que um ataque cibernético a um Estado membro da NATO resultaria na ativação do artigo 5º da sua cláusula de defesa colectiva. A guerra digital e a guerra convencional podem muito bem acabar por convergir à medida que a escalada começa. Os ataques de retaliação são altamente prováveis, e a melhor defesa é a consciencialização e a preparação.

Formação de sensibilização para a segurança para fornecedores terceiros