10 maiores ataques web de 2020
Um ano com foco na pandemia tornou os eventos de 2020 sem precedentes de várias maneiras, e os ataques cibernéticos não foram diferentes.
À medida que o mundo fazia a transição para o virtual – trabalho, escola, reuniões e encontros familiares – os invasores perceberam. Os invasores adotaram novas técnicas e uma mudança apressada para o acesso remoto aumentou as ameaças cibernéticas em toda as linhas. Por exemplo, escolas de ensino fundamental e médio sofreram o maior impacto, e novos pontos baixos foram alcançados, como a extração de dados de alunos. A lista dos principais ataques cibernéticos de 2020 inclui ransomware, phishing, vazamento de dados, violações e um ataque devastador à cadeia de suprimentos com um escopo como nenhum outro.
O ano dominado virtualmente levantou novas preocupações em torno das posturas e práticas de segurança, que continuarão em 2021.
Embora houvesse muitos incidentes para escolher, aqui está uma lista dos 10 maiores ataques cibernéticos de 2020, em ordem cronológica.
Toll Group
O Toll Group está no topo da lista dos piores ataques cibernéticos do ano, porque foi atingido por um ransomware duas vezes em três meses. No entanto, um porta-voz do Toll Group disse ao SearchSecurity que os dois incidentes não estavam conectados e eram “baseados em diferentes formas de ransomware”. Em 3 de fevereiro, a empresa de logística com sede na Austrália anunciou no Twitter que havia sofrido um ataque cibernético. “Como medida de precaução, o Toll tomou a decisão de desligar vários sistemas em resposta a um incidente de segurança cibernética. Vários aplicativos do Toll voltados para o cliente foram afetados como resultado. Nossa prioridade imediata é retomar os serviços aos clientes assim que possível”, escreveu o Toll Group no Twitter. O ataque mais recente ocorreu em maio e envolveu uma variante de ransomware relativamente nova: o Nefilim.
Marriott International
Pela segunda vez em dois anos, a popular rede de hotéis sofreu uma violação de dados. Em 31 de março, a Marriott divulgou um comunicado divulgando que as informações de 5,2 milhões de hóspedes foram acessadas usando as credenciais de login de dois funcionários em uma propriedade franqueada. De acordo com o aviso, a violação afetou um aplicativo usado pela Marriott para fornecer serviços aos hóspedes. “Acreditamos que essa atividade tenha começado em meados de janeiro de 2020”, disse o comunicado. “Após a descoberta, confirmamos que as credenciais de login foram desativadas, iniciamos imediatamente uma investigação, implementamos monitoramento intensificado e organizamos recursos para informar e auxiliar os hóspedes.” Enquanto a investigação estiver em andamento, a Marriott disse não ter nenhuma razão para acreditar que as informações incluíram as senhas ou PINs da conta Marriott Bonvoy, informações de cartão de pagamento, informações de passaporte, IDs nacionais ou números de carteira de motorista. No entanto, as informações comprometidas podem ter envolvido detalhes de contato e informações relacionadas às contas de fidelidade do cliente, mas não as senhas.
Magellan
Em 12 de maio, o gigante dos seguros de saúde emitiu uma carta às vítimas afirmando que havia sofrido um ataque de ransomware. Os atores da ameaça exfiltraram logins, informações pessoais e informações fiscais com sucesso. O escopo do ataque incluiu oito entidades do Magellan Health e aproximadamente 365.000 pacientes podem ter sido afetados. “Em 11 de abril de 2020, Magellan descobriu que era alvo de um ataque de ransomware. O ator não autorizado obteve acesso aos sistemas da Magellan depois de enviar um e-mail de phishing em 6 de abril que se fazia passar por um cliente Magellan”, disse a carta. A empresa, que tem mais de 10.000 funcionários, disse no momento da carta que não tinha conhecimento de qualquer fraude ou uso indevido de qualquer uma das informações pessoais. Phishing, um vetor de ataque comum, intensificou-se ao longo do ano à medida que os agentes de ameaças refinavam as suas habilidades de representação.
A popular empresa de mídia social foi violada em julho por três indivíduos em um incidente embaraçoso que viu várias contas importantes do Twitter serem sequestradas. Por meio de um ataque de engenharia social, posteriormente confirmado pelo Twitter como phishing de telefone, os invasores roubaram as credenciais dos funcionários e obtiveram acesso aos sistemas de gerenciamento interno da empresa. Dezenas de contas de alto perfil, incluindo as do ex-presidente Barack Obama, CEO da Amazon, Jeff Bezos, e Tesla e CEO da SpaceX, Elon Musk, foram hackeadas. Os atores da ameaça então usaram as contas para twittar fraudes de bitcoin que lhes renderam mais de $100.000. Duas semanas após a violação, o Departamento de Justiça (DoJ) indiciou os três suspeitos e indiciou Graham Ivan Clark, de 17 anos, como adulto, pelo ataque que ele supostamente “planejou”, segundo as autoridades.
Garmin
O fornecedor de tecnologia de navegação sofreu um ataque cibernético que criptografou alguns dos seus sistemas e forçou os serviços a ficarem offline. Embora a Garmin tenha relatado pela primeira vez como uma interrupção, a empresa revelou em 27 de julho que foi vítima de um ataque cibernético que resultou na interrupção de “funções do site, suporte ao cliente, aplicativos voltados para o cliente e comunicações da empresa”. O comunicado de imprensa também afirmou que não havia nenhuma indicação de que os dados do cliente foram acessados, perdidos ou roubados. Aumentaram as especulações de que o incidente foi um ataque de ransomware, embora a Garmin nunca tenha confirmado. Além disso, vários meios de comunicação relataram que cederam às exigências dos agressores e que um resgate foi pago. Alguns meios de comunicação informaram que chega a $10 milhões.
Distrito Escolar De Clark County
O ataque ao distrito escolar de Clark County (CCSD) em Nevada revelou um novo risco de segurança: a exposição de dados de alunos. O CCSD revelou que foi atingido por um ataque de ransomware em 27 de agosto, que pode ter resultado no roubo de dados de alunos. Depois que o distrito se recusou a pagar o resgate, uma atualização foi postada dizendo que estava ciente de reportagens da mídia alegando que os dados dos alunos haviam sido expostos na internet como retribuição. Embora não esteja claro quais são as informações, a ameaça de expor dados roubados de alunos foi um novo ponto baixo para os agentes de ameaças e representou uma mudança para o roubo de identidade em ataques a escolas.
Software AG
A gigante alemã de software foi vítima de um duplo ataque de extorsão que começou em 3 de outubro, que resultou no desligamento forçado dos sistemas internos e, por fim, em um grande vazamento de dados. Os arquivos foram criptografados e roubados pelos operadores por trás do ransomware Clop. De acordo com várias agências de notícias, um resgate de $20 milhões foi exigido, e a Software AG se recusou a pagar. Como resultado, a gangue de ransomware cumpriu a sua promessa e publicou dados confidenciais em um site de vazamento de dados, incluindo detalhes do passaporte dos funcionários, e-mails internos e informações financeiras. Os operadores por trás do ransomware Clop não foram o único grupo a utilizar um duplo ataque de extorsão. A tática do nome e da vergonha se tornou cada vez mais comum ao longo de 2020 e agora é a prática padrão para várias gangues de ransomware.
Centro de Psicoterapia Vastaamo
O maior provedor privado de psicoterapia da Finlândia confirmou que foi vítima de uma violação de dados em 21 de outubro, quando os atores da ameaça roubaram registros confidenciais de pacientes. O ataque abriu um novo precedente; em vez de fazer exigências à organização, os pacientes eram chantageados diretamente. No mês passado, 25.000 relatórios criminais foram enviados à polícia da Finlândia. Além disso, a resposta geral do governo ao incidente foi significativa, tanto em urgência quanto em sensibilidade. O ministro do interior da Finlândia convocou uma reunião de emergência com os principais membros do gabinete e forneceu serviços de aconselhamento de emergência para vítimas potenciais do esquema de extorsão.
Vítimas de ataque à cadeia de suprimentos da FireEye e SolarWinds
A FireEye deu início a uma cadeia de eventos em 8 de dezembro, quando revelou que suspeitos de hackers do estado-nação haviam violado o fornecedor de segurança e obtido as ferramentas da equipe vermelha da FireEye. Em 13 de dezembro, a empresa divulgou que o ataque do Estado-nação foi o resultado de um ataque massivo à cadeia de suprimentos da SolarWinds. A FireEye apelidou a campanha de backdoor de “UNC2452” e disse que ela permitiu que os agentes da ameaça obtivessem acesso a várias redes governamentais e empresariais em todo o mundo. De acordo com uma declaração conjunta em 17 de dezembro do Federal Bureau of Investigation, da Cybersecurity and Infrastructure Security Agency e do Gabinete do Diretor de Inteligência Nacional, os ataques estão em andamento. Além disso, o comunicado revelou que o ataque à cadeia de suprimentos afetou mais do que apenas a plataforma Orion. A CISA disse ter “evidências de que o comprometimento da cadeia de suprimentos da Orion não é o único vetor de infecção inicial alavancado pelo ator APT”. Desde a declaração, grandes empresas de tecnologia como Intel, Nvidia e Cisco divulgaram que receberam as atualizações maliciosas do SolarWinds, embora as empresas tenham afirmado não ter encontrado evidências de que os agentes da ameaça exploraram backdoors e violaram suas redes.
No entanto, a Microsoft revelou em 31 de dezembro que os agentes da ameaça se infiltraram na sua rede e viram – mas não alteraram ou obtiveram – o código-fonte da empresa. A Microsoft também disse que não há evidências de que a violação afetou os dados dos clientes ou os produtos e serviços da empresa.
SolarWinds
O escopo do ataque, a sofisticação dos atores da ameaça e das vítimas afetadas fazem deste não apenas o maior ataque de 2020, mas possivelmente da década. O incidente também destaca os perigos de ataques à cadeia de suprimentos e questiona a postura de segurança de uma empresa tão grande. Os atores da ameaça, que realizavam o reconhecimento desde março, plantaram uma backdoor na plataforma Orion da SolarWinds, que foi ativada quando os clientes atualizaram o software. A SolarWinds emitiu um comunicado de segurança sobre a backdoor que, segundo o fornecedor, afetou as versões 2019.4 HF5 até 2020.2.1 da plataforma Orion, lançadas entre março de 2020 e junho de 2020. “Fomos informados de que este ataque foi provavelmente conduzido por um estado-nação externo e pretendia ser um ataque estreito, extremamente direcionado e executado manualmente, em oposição a um ataque amplo em todo o sistema”, disse a empresa. Na investigação de três semanas desde então, toda a extensão do ataque cresceu imensamente, mas ainda não foi totalmente compreendida.
Referencia: https://searchsecurity.techtarget.com/news/252494362/10-of-the-biggest-cyber-attacks
