Introdução
Este artigo reflete minhas visões e perspectivas do relatório da CrowdStrike Global Threat Report de 2024.
Nos últimos anos, a região LATAM tem sido alvo de uma onda crescente de ciberataques. A combinação de infraestrutura tecnológica em desenvolvimento, falta de regulamentações robustas e uma adoção lenta de medidas de segurança modernas, como o MFA, cria um ambiente propício para invasores. Segundo o Relatório Global de Ameaças 2024 da CrowdStrike, houve um aumento significativo nas atividades de grupos de cibercriminosos, incluindo Odyssey Spider, Robot Spider e Blind Spider, que são conhecidos por atacar a região LATAM especificamente. Esses grupos têm utilizado malwares, como ransomware e info-stealers, para comprometer dados críticos e extorquir organizações.
Além disso, o relatório aponta que a infraestrutura vulnerável e a falta de práticas de segurança consistentes tornaram a região um alvo atraente para cibercriminosos globais. O uso de ferramentas como WormGPT e outras variantes de IA generativa maliciosa tem permitido que esses grupos personalizem ataques para contornar defesas tradicionais, aumentando a eficácia das campanhas de phishing e exploração de vulnerabilidades. Esse cenário coloca empresas e governos em risco, com dados sensíveis e operações inteiras vulneráveis a ataques devastadores.
Velocidade de Ataque
A segurança cibernática tem se tornado uma prioridade em todos os setores. Uma das proteções mais simples e eficazes contra essas ameaças é a implementação de Autenticação Multifator (MFA). O MFA adiciona uma camada extra de segurança, tornando mais difícil para os atacantes obterem acesso não autorizado, mesmo que credenciais sejam comprometidas. Muitas empresas ainda negligenciam sua implementação, deixando brechas que podem ser exploradas por atacantes.
O mais alarmante é a velocidade com que os atacantes conseguem entrar em um ambiente. No relatório, foi destacado um caso de intrusão que exemplifica isso de forma clara. Em apenas 53 minutos e 46 segundos, um atacante obteve credenciais legítimas por meio de um ataque de força bruta, ganhou acesso ao sistema e iniciou a movimentação lateral na rede.
Detalhes do Um dos Incidentes
O relatório destaca um incidente, mostrando que cada etapa do ataque foi conduzida com uma eficiência impressionante:
Primeiro, o atacante levou 39 minutos para obter acesso inicial através de um ataque de força bruta. Uma vez dentro do sistema, 2 minutos foram necessários para instalar ferramentas de descoberta, como scripts para mapear a rede e identificar recursos valiosos. Em 30 segundos, o atacante começou a executar esses scripts para mapeamento da rede, e nos próximos 1 minuto e 30 segundos, ferramentas como Mimikatz foram usadas para coletar credenciais adicionais.
Após isso, 2 minutos e 30 segundos foram suficientes para que o atacante usasse PsExec e iniciasse a movimentação lateral, ganhando acesso a outras partes da infraestrutura. Por fim, 15 minutos após o início do ataque, a equipe de Overwatch da CrowdStrike notificou o cliente, permitindo a tomada imediata de ações de contenção.
O tempo médio para entrada inicial dos atacantes em 2023 era de 62 minutos, uma redução significativa em relação ao ano anterior, 2022, quando o tempo médio era de 84 minutos. Essa redução mostra que as táticas se tornaram mais eficientes ao longo do tempo. O recorde de velocidade observado foi de apenas 2 minutos e 7 segundos, mostrando o quão ágeis e eficazes esses atacantes podem ser.
Este ataque demonstra o quão rápido os adversários podem comprometer um ambiente, especialmente se não houver uma autenticação multifator robusta.
Riscos do Uso de Inteligência Artificial Generativa em Ataques
A sofisticação crescente dos ataques cibernéticos inclui o uso de Inteligência Artificial Generativa (Generative AI), que tem potencializado a criação de vetores de ataque mais convincentes e difíceis de detectar. Segundo o Relatório Global de Ameaças 2024 da CrowdStrike, adversários estão utilizando a IA generativa para criar e-mails de phishing altamente personalizados, além de scripts maliciosos que ajudam a contornar defesas tradicionais de forma mais eficaz.
Por exemplo, a Generative AI está sendo usada para gerar conteúdos convincentes para vítimas, especialmente quando o idioma não é o inglês, aumentando a eficácia dos ataques de phishing. Além disso, esses modelos são usados para criar scripts que automatizam o reconhecimento de ambientes de nuvem e exploram vulnerabilidades, elevando a capacidade dos invasores de comprometer sistemas corporativos.
Além disso, conforme mencionado por Mikko Hyppönen no Nordic Business Forum, as capacidades da IA generativa foram amplamente impulsionadas por três grandes revoluções: a revolução da Internet, a capacidade massiva de armazenamento de dados na nuvem e o poder de processamento dos computadores modernos. Com essas tecnologias, os atacantes agora têm a possibilidade de gerar conteúdo extremamente convincente, desde imagens a textos, que podem ser utilizados de forma maliciosa, como criar deepfakes para fraudar a identidade de executivos e persuadir vítimas a realizar ações perigosas.
Mikko também destacou que já existem versões maliciosas de modelos de linguagem generativa, como WormGPT e BlackGPT, desenvolvidos especificamente para remover as restrições de segurança e serem usados para fins criminosos, como a criação de e-mails de phishing altamente convincentes e até mesmo malware. Essas ferramentas permitem que cibercriminosos de diferentes níveis de habilidade possam realizar ataques complexos com uma facilidade nunca antes vista.
Por isso, a aplicação do MFA, combinada com uma abordagem proativa de monitoramento de identidade, torna-se ainda mais essencial. Ao dificultar o acesso inicial e a progressão dos atacantes, o MFA pode mitigar os riscos impostos pelo uso crescente de ferramentas de IA generativa.
A Importância do MFA para a Proteção do Vetor de Identidade
O gerenciamento de identidades é um dos principais vetores explorados por atacantes em ambientes corporativos. Segundo o Relatório Global de Ameaças 2024 da CrowdStrike, ataques que comprometem identidades através de credenciais roubadas representam uma grande parcela dos incidentes cibernéticos. A adoção do MFA é fundamental para proteger esse vetor, criando uma barreira adicional que dificulta significativamente o uso indevido de credenciais, mesmo quando estas são comprometidas. Ao implementar o MFA, as organizações reduzem drasticamente as chances de invasores progredirem no ambiente após um acesso inicial.
A implementação de MFA torna significativamente mais difícil para os invasores obterem acesso a sistemas críticos. Mesmo que credenciais legítimas sejam roubadas, sem o fator adicional de autenticação, como um código enviado por SMS ou um aplicativo autenticador, o atacante não consegue passar da porta de entrada.
Na LATAM, onde muitas organizações ainda confiam apenas em senhas, o MFA deve ser tratado como uma prioridade. Não se trata apenas de proteger dados internos, mas também de garantir a continuidade das operações de negócios em um cenário de crescente sofisticação de ataques.
E agora?
Com o aumento contínuo das ameaças e a capacidade cada vez maior dos invasores de comprometer ambientes em tempos recordes, o MFA se destaca como uma defesa simples, mas incrivelmente eficaz. Empresas na LATAM precisam adotar essa prática para reduzir o risco de serem vítimas do próximo grande ataque cibernético.
Se você ou sua organização ainda não implementaram o MFA, agora é o momento certo. Reavalie suas políticas de segurança e garanta que, no mínimo, todas as contas críticas estejam protegidas com MFA.
Fernando Serto
Líder Visionário em Segurança e Infraestrutura de TI | CISO/CTO | Especialista em Segurança Ofensiva e Defensiva e Redução de Riscos | Evangelista | Keynote Speaker