Uma recente análise divulgada pelo Google – e pouco debatida publicamente – revelou que a maioria dos ataques Zero Day não é feita por criminosos cibernéticos que buscam lucro, mas por espiões cibernéticos que visam interesses estratégicos, políticos ou militares.
Segundo o Google, entre fevereiro de 2020 e março de 2021, foram identificados 11 grupos diferentes explorando 22 vulnerabilidades Zero Day em diferentes plataformas e sistemas operacionais. Desse total, ao menos 14 dessas vulnerabilidades foram exploradas por criminosos apoiados por países. Apenas quatro foram atribuídas a grupos independentes, enquanto as restantes não puderam ser classificadas com confiança.
Isso mostra que os espiões cibernéticos têm mais recursos e capacidade para descobrir, comprar ou desenvolver ataques Zero Day do que os criminosos comuns. Além disso, eles usam esses ataques com mais seletividade e discrição, visando alvos de alto valor, como diplomatas, ativistas, militares ou funcionários do governo.
Trajetória Zero Day na América Latina
Os ataques Zero Day também afetam o Brasil e a América Latina, embora em menor escala do que em outras regiões. Um relatório da empresa de segurança cibernética Kaspersky, publicado em 2020, revelou que o Brasil foi o terceiro país mais atacado por exploits (códigos maliciosos que aproveitam vulnerabilidades) no mundo, ficando atrás apenas dos Estados Unidos e da Rússia. O relatório também mostrou que 30% dos usuários brasileiros foram expostos a pelo menos uma tentativa de ataque de exploit em 2019.
A América Latina, como um todo, também sofreu com os ataques de exploit, sendo alvo de campanhas maliciosas que visavam roubar informações confidenciais ou assumir o controle de dispositivos. Em 2019, a Kaspersky detectou mais de 12 milhões de ataques de exploit na região, sendo que a maioria deles usava vulnerabilidades já conhecidas e corrigidas.
No entanto, alguns ataques Zero Day também foram observados, como o caso do grupo Machete, que explorou uma falha de sistema operacional para espionar alvos militares e governamentais na Venezuela, Colômbia, Equador e Nicarágua.
Comportamento distinto
Os grupos apoiados supostamente por governos também tendem a abandonar os ataques Zero Day quando eles são expostos, para evitar a atenção e a reação da comunidade de segurança.
Criminosos comuns, por outro lado, preferem usar ataques mais baratos e eficientes, que explorem vulnerabilidades já conhecidas ou que usem métodos de engenharia social, como phishing ou ransomware. Eles geralmente têm um objetivo financeiro e buscam atingir o maior número possível de vítimas, sem se importar muito com a exposição ou a atribuição.
Essa diferença de comportamento e motivação entre os espiões e os criminosos cibernéticos têm implicações importantes para a segurança da informação das organizações e indivíduos. Por um lado, significa que há uma necessidade constante de monitorar as ameaças emergentes e atualizar os sistemas com as últimas correções e patches de segurança. Por outro, esse cenário aponta que é preciso adotar uma postura de defesa em profundidade, que combine medidas de prevenção, detecção e resposta, para lidar com diferentes tipos de criminosos e cenários.
Mais do que isso, empresas privadas ligadas a serviços de concessão pública, bem como órgãos governamentais e operadores de infraestrutura nacional crítica precisam aumentar sua proteção contra ameaças. No Brasil, em especial, a legislação a respeito da compra de produtos e serviços por entidades públicas leva os órgãos nacionais a adquirirem as soluções mais baratas como prerrogativa básica – o que pode ser bom para as contas públicas, mas ruim quando levamos em conta a complexidade dos ataques atuais, versus a capacidades das soluções de prateleira mais baratas.
Os ataques Zero Day são uma realidade cada vez mais frequente e desafiadora no mundo da cibersegurança. Essa técnica exige que líderes e gestores da área de tecnologia e segurança da informação estejam atentos e preparados para enfrentá-los, tanto do ponto de vista técnico quanto estratégico. Afinal, eles podem representar não apenas uma ameaça aos dados e aos sistemas, mas também aos interesses e à reputação das organizações e dos países.
*Por Ramon Ribeiro, CTO da Solo Iron.
