O cenário de cibersegurança em 2024 apresentou uma escalada preocupante de ataques contra infraestruturas críticas, roubo de credenciais e técnicas sofisticadas como o SIM-swap, que permite a transferência do número telefônico da vítima para chips controlados pelos criminosos. Esses métodos foram amplamente explorados pelo grupo hacker “The Com”, que se destacou como um dos mais ativos no ano.
Segundo o Annual Threat Hunting Report 2024, divulgado pela SentinelOne, líder em cibersegurança com tecnologia de inteligência artificial, esses ataques têm sido orquestrados principalmente por grupos alinhados a interesses governamentais, especialmente da China, que buscam infiltração e espionagem em redes operacionais estratégicas.
Redes residenciais como pontos de infiltração
Os hackers, utilizando servidores em nuvem e roteadores domésticos (SOHO), criaram redes de retransmissão operacional (ORB – Operational Relay Boxes) que dificultam a detecção de invasões ao usar proxies residenciais dentro do país-alvo. Essa técnica permite a alteração dos pontos de saída, burlando mecanismos tradicionais de segurança.
Francisco Camargo, CEO da CLM, distribuidora latino-americana focada em segurança da informação, ressalta:
“Os hackers alinhados com a China estabeleceram uma nova forma de operar. O pior é que conseguem atravessar uma rede de retransmissão praticamente sem serem detectados, a partir de um nó residencial, de reputação neutra, dentro do país-alvo, conduzindo espionagens, testando a reação do país atacado, bem como habilitar objetivos militares para pré-posicionamento em tempos de guerra.”
Grupo The Com e o uso de credenciais roubadas
O grupo The Com (UNC3944) subiu ao topo entre os cibercriminosos ao explorar credenciais roubadas de mercados clandestinos e implementar ataques de SIM-swap e uso de tokens de autenticação na nuvem, extraídos de repositórios públicos como o GitHub. Além disso, empregam ferramentas nativas legítimas da nuvem para manter acesso prolongado, dificultando a detecção por sistemas tradicionais.
O grupo também incorporou o ransomware Qilin e firmou parceria com o RansomHub, ampliando seu arsenal. “Esse grupo estava por trás da campanha de ataque com motivação financeira à Snowflake, afetando quase 200 empresas (clientes dos serviços da Snowflake)”, afirma Francisco Camargo.
Ransomware e vulnerabilidades em alta
O relatório indica que o ransomware Akira liderou o ranking de grupos mais ativos em 2024, seguido pelos grupos Play e BlackSuit, enquanto novas famílias como Orca e RansomHub surgem no cenário. Além disso, foram identificadas vulnerabilidades críticas em softwares amplamente utilizados, como Juniper VPN, JetBrains TeamCity e Ivanti EPM, exploradas para infiltração e ataques de dia zero.
A WatchTower, subsidiária da SentinelOne, detectou múltiplas vezes o uso indevido de softwares legítimos para atividades maliciosas, reforçando a necessidade de monitoramento constante e avaliações de risco em tempo real.
Importância da detecção e resposta contínua
O Annual Threat Hunting Report 2024 reúne informações das subsidiárias PinnacleOne, que analisa riscos geopolíticos, e WatchTower, que oferece serviços de detecção de ameaças personalizados. Juntas, essas unidades evidenciam a complexidade do cenário de ameaças e reforçam a necessidade de estratégias integradas para proteção cibernética 24/7, protegendo desde infraestruturas críticas até a soberania digital dos países.
