Principais Ameaças Cibernéticas para a América Latina e o Caribe

24 de maio de 2021 | by Juan Carlos Garcia Caparros

A atividade de ameaças cibernéticas afeta governos, empresas e sociedades na América Latina e no Caribe. A área de Threat Intelligence da Mandiant observou atores com motivação financeira conduzindo uma variedade de golpes na região, incluindo engenharia social para enganar indivíduos e empresas para que transfiram dinheiro para contas controladas por invasores e recrutamento de insiders em bancos e empresas de telecomunicações para facilitar operações de lavagem de dinheiro e golpes de “SIM swap”. Atores patrocinados por Estados e ligados à China, Rússia e Irã empregam operações de espionagem cibernética e operações de influência para reunir inteligência e persuadir o público a apoiar seus interesses.

Detalhamos a seguir as ameaças e alvos específicos que a Mandiant observou na região.

Ameaças com motivação financeira

Julgamos que a atividade de ameaças cibernéticas com motivação financeira é muito comum e tem um sério impacto sobre indivíduos e organizações na América Latina e no Caribe. Além de campanhas de atores que operam globalmente, como FIN11 e UNC2053, também rastreamos atividades de atores regionais. Durante os últimos anos, observamos que atores brasileiros de crimes cibernéticos expandiram o escopo geográfico de sua segmentação para incluir a América do Norte e a Europa. Também observamos evidências de maior colaboração entre a comunidade do crime cibernético brasileira e de outros países latino-americanos, incluindo México e Peru. Ambas as tendências podem aumentar a ameaça representada pelos atores regionais à medida que ganham acesso a recursos e conhecimentos adicionais.

Ransomware

Desde pelo menos 2017, os incidentes de ransomware têm se tornado cada vez mais frequentes em todo o mundo e essa tendência só acelerou durante a pandemia do Coronavírus. Não somente o ransomware é mais comum mas as inovações dos atores de ameaças nos últimos anos aumentaram significativamente o custo potencial e os danos de uma infecção por essa ameaça. Por exemplo, ao longo de 2020, a área de Threat Intelligence da Mandiant observou que atores de ameaças incorporaram roubo de dados e extorsão em operações de ransomware, anunciando os dados roubados em sites operados por eles próprios.

Observamos que os anúncios de dados roubados de organizações da América Latina e do Caribe durante incidentes de ransomware aumentaram 550% do primeiro trimestre de 2020 para o primeiro trimestre de 2021. Essa atividade afetou muitos países, mais frequentemente Brasil, México e Colômbia (ver Figura 1), e quase todas os setores da indústria, incluindo Manufatura, Varejo, Energia e Serviços públicos. Identificamos sites associados a mais de 15 variedades de ransomware anunciando dados supostamente roubados de organizações da região; PYSA, SODINOKIBI e EGREGOR estavam entre os mais prolíficos. Para mais detalhes, consulte o relatório no Mandiant Advantage.


Figura 1: Porcentagem de Anúncios de Roubo de Dados de Ransomware na América Latina e Caribe, Por País

Operações Patrocinadas por Estados

Embora nossas observações sugiram que as campanhas patrocinadas por Estados na região são menos frequentes do que o crime cibernético, essas operações têm o potencial de causar danos significativos.

Vimos atacantes chineses se envolverem em operações provavelmente destinadas a monitorar desenvolvimentos relevantes para sua iniciativa Belt to Road, que visa expandir as rotas comerciais da China. Observamos várias campanhas que buscam implantar o malware EVILNUGGET contra alvos do governo, por exemplo, antes das cúpulas comerciais regionais, bem como contra entidades de construção e transporte.

Também observamos operações de influência associadas à rede Liberty Front Press expressando apoio aos líderes simpatizantes do Irã na Venezuela e na Bolívia.

Próximos passos para CISOs

A América Latina e o Caribe enfrentam significativas atividades de adversários, e as organizações que operam na região devem tomar medidas para se defender e mitigar os efeitos dessas ameaças. Melhores práticas como a aplicação de autenticação multifator, segmentação de redes, aplicação regular de patches e adesão ao princípio de menor privilégio (least privilege) podem ajudar a reduzir a exposição a muitos tipos comuns de atividades de ameaças. Exercícios Table-top também podem ajudar as equipes a identificar possíveis gaps em sua arquitetura de segurança e planos de emergência.

As organizações também podem concentrar seus esforços e usar os insights acionáveis da área de Threat Intelligence da Mandiant, disponível através do Mandiant Advantage. A inteligência ajuda as organizações a obter visibilidade em todo o cenário de ameaças e priorizar aquelas mais críticas. Coletamos inteligência de Vazamentos, Equipamentos, Operações e Adversários globais para fornecer os mesmos dados e análises de ameaças em tempo real nos quais nossos especialistas globais confiam.