que pautaram a

cibersegurança em
2021 e o que esperar de 2022

TLP: WHITE
 TLP: WHITE

Índice 02 Introdução

Ameaças que pautaram 2021

03 O elo mais frágil da Supply Chain

04 Perdas na Infraestrutura Crítica

05 O trauma do ransomware

08 Atendente impostor e golpes pelo WhatsApp

10 O quinto domínio

Tendências e Perspectivas 2022

11 Avanços e turbulências: uma perspectiva para 2022

12 Frutas baixas para quadrilhas de ransomware

13 Você pode ser do tamanho de seus fornecedores

Treinamento, gestão de processos e inteligência

14 são elementos chave no combate à fraude

15 Tratar infraestrutura crítica como crítica

15 Velhas disputas de interesse, novos conflitos

 TLP: WHITE

INTRODUÇÃO
A cibersegurança assumiu um papel determinante para
o destino do mundo nos últimos dois anos. Isto tem
relação com o aumento na quantidade de incidentes; nos
sistemas de infraestrutura crítica, apenas para citar um
exemplo, estes cresceram 3900% desde 20131. Mas esse
novo papel também é consequência da engenhosidade
humana que, de forma rápida e contínua, empurra à
frente a fronteira entre o que é obsoleto e o que é de
ponta, criando mercados bilionários em pouquíssimo
tempo, como o das NFTs2, os quais precisam de proteção.

Testemunhamos em 2021 a massificação de técnicas e

ferramentas ofensivas que permitiram a execução de
ataques com consequências sérias para a sociedade, de
modo que o resultado de um ciberataque deixou de estar
circunscrito aos clientes de uma determinada empresa
que ficaram sem o produto ou serviço, ou ao saldo
bancário de um indivíduo que perdeu suas economias
para um golpista.

O que já era ruim ganhou escala nos últimos anos e no

ano passado causou incidentes sérios, como o que deixou
consumidores sem combustível nos Estados Unidos ou
o que impediu o acesso a dados de vacinação no Brasil.
Mas não se trata de uma batalha perdida. Muitas
estratégias de segurança de vinte anos atrás ainda são
úteis para, ao menos, evitar se manter na condição de
alvo fácil. E hoje é possível combinar estas estratégias
a medidas e tecnologias modernas que não só evitam
ataques, mas se tornam fonte de mensuração da
performance de segurança; afinal, não é possível
melhorar e obter investimentos para o que não
se mede.

Este documento abordará os principais incidentes do

ano passado, destacando o que aprendemos de mais
importante com eles, a fim de indicar tendências
para 2022.

Carlos Cabral
Pesquisador de Segurança

1
Predicts 2022: Cyber-Physical Systems Security — Critical Infrastructure in Focus.
Gartner. 17 November 2021.
2
NFT market OpenSea hits $1.5 billion valuation. TechCrunch. 20 July 2021.
 TLP: WHITE

O elo mais frágil

da Supply Chain

Quando se fala em cadeia de suprimentos é comum

as pessoas imaginarem um fluxo de caixas e contêine-
res sendo transportados pelo mundo, isso está certo;
no entanto, hoje os suprimentos dos quais depen-
demos também são digitais: eles estão presentes na
plataforma de computação em nuvem que sustenta as A estratégia também foi usada em um incidente crítico, ocor-
aplicações da sua empresa, e em diversos trechos de rido em julho, em que os operadores do ransomware REvil
código de terceiros que os desenvolvedores vinculam, atacaram mais de mil empresas pequenas e médias que eram
copiam e colam em seus sistemas. Até uma extensão clientes da Kaseya neste caso, os criminosos demandaram à
do Google Chrome, por exemplo, pode (na verdade Kaseya o pagamento de um resgate de 70 milhões de dólares
deve) ser considerada como parte da cadeia de em criptomoedas para que seus clientes recebessem a chave
suprimentos de uma empresa. para desativar o ransomware7.

Enquanto nos despedíamos de 2020, foi descoberto

o maior ataque contra a cadeia de suprimentos até
então, o qual permitiu, pelo menos desde o começo
de 20193, o acesso não autorizado a mais de 250 O SolarWinds Orion e o Kaseya são plataformas de monitora-

agências do governo americano e colocou mais de mento e administração de TI que permitem consolidar o geren-

18 mil outras organizações em risco . No centro do 4 ciamento de tecnologias heterogêneas simplificando a gestão

incidente estava o produto de administração de TI de ambientes que, sem uma solução como esta, dependem do

SolarWinds Orion, o qual foi comprometido pela acesso a múltiplas consoles para administrar sistemas variados.

inteligência russa, sendo usado como uma ponte No entanto, para que um produto como esse funcione, é neces-

para as redes das organizações de interesse . 5 sário que ele tenha acesso privilegiado a todos os sistemas que
administra. Quando esse acesso é comprometido, toda a rede

Mirar a cadeia de suprimentos não era algo novo, fica à mercê do atacante.

mas o incidente com o SolarWinds abriu uma nova

avenida para outros grupos que passaram a incluir
entre seus alvos outras tecnologias semelhantes,
as quais poderiam permitir o acesso às redes de
diversas empresas.
Isso aconteceu no ataque, descoberto em
fevereiro, contra clientes do software de transferência
de arquivos Accellion FTA, conduzido pelos operadores
do ransomware Clop e pelo grupo FIN11 .
Uma das características mais marcantes da globalização é
que empresas e indivíduos podem estabelecer contratos em
qualquer ponto do mundo onde as melhores soluções esti-
verem disponíveis, pois as condições tecnológicas para isso
já estão estabelecidas. No entanto, ter papéis e responsabili-
dades claros a respeito da proteção da tecnologia envolvida
6 nestes negócios ainda é um desafio a ser superado.

3
SolarWinds CEO Says Attackers Gained Entry, Began Recon in January 2019. SDxCentral. 19 May 2021.
4
As Understanding of Russian Hacking Grows, So Does Alarm. New York Times. 2 January 2021.
5
Russian Foreign Intelligence Service Exploiting Five Publicly Known Vulnerabilities to Compromise U.S. and Allied Networks. FBI. 15 April 2021.
6
Cyber Criminals Exploit Accellion FTA for Data Theft and Extortion. Mandiant. 22 February 2021.
7
Updated Kaseya ransomware attack FAQ: What we know now. ZDNet. 23 July 2021.
 TLP: WHITE

Perdas na
Infraestrutura Ainda está em debate o quanto a falta de certas atividades,
por exemplo a do entretenimento ao vivo, nos tem sido
Crítica danosa enquanto as medidas de proteção contra a Covid-19
são necessárias. No entanto, não há discussão sobre a
importância dos setores de infraestrutura crítica, aqueles
cuja ausência pode distinguir uma sociedade entre um
estado de civilização ou de barbárie.

Em 2021, este setor também foi alvo de cibercriminosos. Em

junho, os operadores do ransomware REvil atacaram a JBS,
interrompendo sua operação nos Estados Unidos, Canadá e
Austrália. O incidente ameaçou a cadeia de abastecimento
de alimentos e causou aumento no preço da carne8.

Mas o incidente contra infraestrutura crítica que causou

maior impacto social ocorreu em maio, quando os operado-
res do ransomware Darkside atacaram a Colonial Pipeline, um
oleoduto que transporta 2.5 milhões de barris de combustível
por dia e é responsável pelo abastecimento de 45% do diesel,
gasolina e combustível de aviação consumido na costa leste
dos Estados Unidos.

Segundo os representantes do oleoduto, o ataque teve

efeito em sua infraestrutura de IT mas não de OT. Ou seja, na
rede interna e não nos sistemas industriais. No entanto, toda
a plataforma de OT foi desligada por precaução.

Interromper a produção do oleoduto, por si só, causaria pro-

blemas de abastecimento. No entanto, o problema foi agra-
vado pelos moradores dos estados atendidos pela Colonial
Pipeline, que correram aos postos para estocar combustível9.
O desespero afetou os preços que tiveram a maior elevação
em 6 anos, segundo a American Automobile Association10.

Segundo apuração da imprensa11, em ambos os casos

o resgate foi pago aos criminosos.

8
Meat giant JBS pays $11m in ransom to resolve cyber-attack. BBC. 10 June 2021.
9
Gas Pipeline Hack Leads to Panic Buying in the Southeast. New York Times. 11 May 2021.
10
Gas hits highest price in 6 years, fuel outages persist despite Colonial Pipeline restart. ABC News. 17 May 2021.
11
Colonial Pipeline Paid Hackers Nearly $5 Million in Ransom. Bloomberg. 13 May 2021.
 TLP: WHITE

O trauma do Não há uma receita padrão para o ataque. Os criminosos se

ransomware adaptam às condições de proteção de cada alvo, de modo

que diversas técnicas e ferramentas são usadas, inclusive
programas do sistema operacional, que quando usado com
finalidade maliciosa, são chamados de LOLBins. Caso uma
tática não funcione, eles partem para a seguinte até que o
alvo sucumba ou que suas contramedidas demandem
tempo e esforço além do tolerado pelo grupo, fazendo
com que eles mudem de alvo.

Dentre os incidentes citados até aqui, não por acaso, a O nome LOLBins, tem origem no termo living off the land,
maioria envolveu o uso de ransomware; dizemos que que significa viver da terra ou viver de subsistência.
não é por acaso porque os ataques com esta ameaça Transpondo o termo para a área de cibersegurança, “viver
tiveram um aumento de 435% nos últimos 18 meses, da terra” significa usar os próprios programas — ou binários
segundo o Fórum Econômico Mundial12. No entanto, — do sistema operacional para conduzir os múltiplos passos
ainda há muita controvérsia em torno da ameaça devi- de um ataque o tornando imperceptível por ferramentas de
do às múltiplas interpretações sobre o modus operandi segurança tradicionais, pois o comportamento acaba sendo
dos criminosos que adotam este tipo de tática e sobre interpretado como algo esperado no sistema operacional.
como se proteger dela.

O ransomware é um tipo de software malicioso que

bloqueia o acesso da vítima aos seus dados, muitas
vezes usando criptografia. No entanto, o que tornou os Muitas empresas tiveram que enfrentar condições difíceis e
ataques dos últimos dois anos tão perigosos não foi o se viram sem alternativas, a não ser pagar o resgate. Isso fez
ransomware propriamente dito, mas sim a forma como com que um volume bastante grande de dinheiro abaste-
as quadrilhas se organizaram, com os cibercriminosos cesse outros serviços no cibercrime, tornando possível às
se dividindo por especialidade, com uns mais focados quadrilhas tecer redes mais complexas de sub-contratação,
em invadir, tomar o controle das redes das empresas e envolvendo pessoal mais experiente e aquecendo o mer-
extrair seus dados e outros em desenvolver e apri- cado de senhas e acessos, inclusive com ofertas de dezenas
morar o ransomware e fazer a gestão financeira dos de milhares de dólares a funcionários das empresas e pres-
ataques e a negociação com as vítimas. tadores de serviço dispostos a vender credenciais de acesso
para garantir a entrada dos criminosos. Isso profissionalizou
Por demandar o pagamento de resgate não só para ainda mais este mercado e fez com que alguns grupos
desbloquear os computadores mas também para passassem a operar como um cartel, focando nas partes do
impedir que os dados das vítimas sejam vazados, esta crime em que possuem mais experiência.
modalidade passou a ser chamada de extorsão dupla,
ou double extortion. Nesta modalidade de ataque, geralmente, o acesso inicial é
feito por meio de contas compradas ou que possuem senha
A estrutura multifacetada e de alta performance das fraca as quais são usadas mecanismos de acesso remoto,
quadrilhas, associada ao fato de que, a fim de diminuir como Remote Desktop, VNC, e acessos VPN. Muito comum
a exposição de funcionários à Covid-19, muitas empre- também é a exploração de vulnerabilidades conhecidas em
sas tiveram que montar ambientes de acesso remoto tecnologias expostas à internet, como sistemas em nuvem,
às pressas (parte delas em situação vulnerável), criou bancos de dados, soluções de VPN e de rede13.
as condições favoráveis para que a primeira onda de
ataque ocorresse.

12
The Global Risks Report 2022. World Economic Forum. January 2022.
13
Táticas, técnicas e indicadores sobre as principais ameaças recentes de Double Extortion. Side Channel. Tempest Security Intelligence. 18 June 2020.
 TLP: WHITE

Vulnerabilidades CVE-2021-44228 (CVSS 10) - Falha apelidada de Log4Shell

que permite a execução remota de código no produto Apache
de destaque Log4j, presente em tecnologias de múltiplos fabricantes.

em 2021
CVE-2021-22005 (CVSS 9.8) - Vulnerabilidade que
permite o upload arbitrário de arquivos no VMware
Vcenter Server, tornando possível a execução de
código em arquivo malicioso.

CVE-2021-26855 (CVSS 9.8) - Vulnerabilidade

apelidada como ProxyLogon que permite que
um atacante burle a autenticação no Microsoft
Exchange Server se passando pelo administrador.

CVE-2021-1675 (CVSS 8.8) - Apelidada de

PrintNightmare, a falha afeta o print spooler do
Windows e permite que um atacante eleve seus
privilégios de acesso no sistema operacional.

CVE-2021-34527 (CVSS 8.8) - Variante da

PrintNightmare que permite a execução remota
de código no Windows.

CVE-2021-27065 (CVSS 7.8) - Falha correlata

à ProxyLogon que permite a execução remota
de código no Microsoft Exchange Server.

Assim que estabelecem algum tipo de controle sobre pelo menos um computador, começam as fases de movimentação
lateral e escalação de privilégios em que os atacantes buscam ter os mesmos acessos que o administrador da rede.
Nesta etapa, os criminosos usam diversas técnicas e ferramentas, com destaque para a adoção de produtos de
mercado - como o Cobalt Strike, o Empire e o Metasploit -, utilitários comuns à atividade de manutenção de
computadores, como o PsExec da Microsoft e a ferramenta open source Mimikatz.
 TLP: WHITE

Cobalt Strike é um software desenvolvido pela HelpSystems

para simular ataques, colaborando com projetos de pentest
e atividades de Red Team. O framework Metasploit tem
funcionalidade conceitualmente semelhante e é mantido
pela Rapid7.

Já o Empire é um agente de pós-exploração baseado em

PowerShell que contempla múltiplos módulos e é mantido
por pesquisadores da indústria de cibersegurança.

O Mimikatz é uma ferramenta desenvolvida e mantida por

Benjamin Delpy que permite manipular elementos-chave
para o processo de autenticação em redes Windows,
possibilitando o sequestro de credenciais importantes
do domínio.

Com o controle da rede, as quadrilhas selecionam e extraem

documentos e dados críticos da vítima e só depois disso ativam
o ransomware. Ou seja, o momento em que a vítima se dá
conta do ataque – o que normalmente ocorre quando o
pedido de resgate surge na tela dos computadores – é, na
verdade, o ato final de uma invasão que durou dias, em alguns
casos semanas, para tomar o controle da rede e roubar os
dados da organização.

Variações do crime de extorsão no espaço cibernético as quais

também renderam incidentes relevantes em 2021 foram as de
DD0S Extortion, em que o atacante usa botnets para tornar
o ambiente da vítima indisponível, demandando um resgate
para que este volte a funcionar e a extorsão simples, em que
o atacante exige um pagamento para não vazar dados
roubados da vítima.

Para além do desafio para o negócio, enfrentar uma situação

como esta, sobretudo em um período tão atípico como o da
pandemia, tem exigido bastante da saúde mental das equipes
envolvidas na resposta, proteção e recuperação dos ambien-
tes. Neste aspecto, equipes da Renner, uma das vítimas de um
ataque de double extortion em 2021, gravaram vídeos de apoio
aos times de tecnologia lembrando que, por mais traumático
um incidente como este possa ser, eles eram vítimas; pessoas
que mereciam acolhimento e apoio14.

14
Funcionários da Renner fazem vídeo apoiando a área de tecnologia após ciberataque. Valor Econômico. 20 August 2021.
 TLP: WHITE

Atendente
No âmbito social, há uma massa de indivíduos sem acesso

impostor e golpes às medidas protetivas e treinamentos comumente aplica-

dos aos funcionários das grandes empresas que têm sido

pelo WhatsApp vítimas de múltiplos golpes.

Um dos mais frequentes é o que chamamos de atendente

impostor. Nele, o golpista cria uma conta nas redes sociais
que abusa de uma determinada marca, e passa a monitorar
o perfil oficial desta marca, em busca de mensagens de con-
sumidores reclamando de seus serviços ou pedindo ajuda.
Neste momento, ele abre uma comunicação com a vítima
se passando por alguém do suporte da marca, coleta dados
pessoais, inclusive o número do seu celular vinculado ao
WhatsApp, abre uma seção do WhatsApp Web com o núme-
ro da vítima e a convence a enviar o código de autenticação
no aplicativo que, por padrão, chega via SMS.

Com o controle do WhatsApp da vítima, o fraudador cessa

a comunicação com ela e bloqueia o seu acesso ao aplicati-
vo. Neste momento começa a segunda fase do golpe que
consiste em fazer contato com parentes e amigos da vítima
pedindo dinheiro15. O mesmo golpe já foi usado no passado
para roubar dados bancários e dados de cartões de crédito.

15
Atendente Impostor: como criminosos abusam de marcas famosas para enganar usuários nas redes sociais. Side Channel. Tempest Security Intelligence. 3 May 2021.
 TLP: WHITE

O aumento na frequência deste tipo de golpe pode ser comprovado pelas estatísticas de nossa equipe de takedown.
De 2019 para 2020 houve um aumento de 768% nas requisições de retirada de perfis falsos nas redes sociais e este
volume subiu 47% em 2021. Ao todo, o volume de solicitações cresceu 1184% nos últimos 3 anos.

Solicitações de Takedown de Perfis Falsos

Esta é uma das formas de obter acesso ao WhatsApp das vítimas.

Há outros caminhos mais complexos, mas que também são
frequentes, como a clonagem do código de autenticação por
atacantes com algum acesso à infraestrutura de disparos de
SMS e também o ataque de SIM Swap, em que um atacante com
acesso aos sistemas da operadora de telefonia celular ativa um
novo chip, redirecionando toda a comunicação da vítima para
outro aparelho16.

16
Um panorama sobre os principais golpes por WhatsApp e os meios de se proteger. Side Channel. Tempest Security Intelligence. 10 Jun 2021.
 TLP: WHITE

O quinto Há um consenso entre especialistas de que os ataques de

2007 contra sistemas importantes do espaço cibernético da

domínio
Estônia – em uma disputa que teve início com a proposta
de retirada de uma estátua que fazia referência à herança
soviética do país – foram um marco inicial da
guerra cibernética17.

De lá para cá, os esforços dos países com o objetivo de fazer

valer seus interesses políticos se intensificaram neste que é
denominado como o quinto domínio de um conflito, depois
de terra, mar, ar e espaço. Ou seja, a ciberguerra existe, está
no cotidiano das organizações, mas nem sempre é tão
cinematográfica quanto muita gente pensa.

As operações dos países hoje ocorrem por meio da espiona-

gem contra organizações e indivíduos, da vigilância massiva
contra grupos ou sociedades inteiras, das atividades de
sabotagem, de medidas ativas de desinformação e do uso de
diversas técnicas e ferramentas de hacking que podem
permear todas estas iniciativas, em países que mantém
equipes próprias para isso, que contratam produtos de
spyware ou que fazem uso de mercenários.

O ataque de maior relevância em 2021, como abordado acima,

ocorreu contra o SolarWinds Orion. No entanto, a máquina
estatal de múltiplos países não parou durante o ano de 2021.

Tivemos a descoberta, em julho, de que um vazamento de

dados contendo os números de telefone de 14 chefes de
Estado, dentre eles o presidente francês Emmanuel Macron,
era formado por informações ligadas a supostos alvos de
operadores do spyware Pegasus. Isso colaborou com a pres-
são diplomática para impor um embargo contra a empresa
nos Estados Unidos, mas não diminuiu a temperatura entre
múltiplos atores no cenário geopolítico que incorporaram o
hacking no dia a dia das atividades segurança e defesa18.

Múltiplas outras campanhas foram identificadas e documen-

tadas ao longo do ano, por exemplo, contra entidades ligadas
à produção de vacinas contra a Covid-1919, bem como outras
diversas operações de espionagem e manipulação da opinião
pública de modo que, ainda que suas atividades não sejam
percebidas publicamente, elas produziram um farto material
de pesquisa por múltiplas organizações detalhando as
operações neste domínio20.

17
Inside Cyber Warfare: Mapping the Cyber Underworld. Jeffrey Carr. 2009.
18
Embargo dos EUA contra o software espião Pegasus não torna o ambiente cibernético mais seguro. El País. 12 December 2021.
19
ENISA Threat Landscape 2021. ENISA. October 2021.
20
2021 Global Threat Report. Crowdstrike. February 2021.
 TLP: WHITE

Avanços e
turbulências:
uma perspectiva
para 2022

Os riscos relacionados à cibersegurança para a ordem

mundial tem ocupado uma posição cada vez mais central
ao longo dos anos no relatório de riscos global do Fórum
Econômico Mundial. Isto se deve à contínua conversão de
características da vida para o digital e a percepção
do quão prejudiciais os ataques podem ser.

Por outro lado, os incidentes que temos testemunhado

nos últimos anos, fizeram com que os orçamentos em
cibersegurança passassem por um notável crescimento.
Segundo o relatório da PwC “2022 Global Digital Trust
Insights da PwC”, 69% dos executivos responderam
à pesquisa prevendo um aumento em seus gastos
cibernéticos para 2022. Alguns esperam uma evolução
de até 26% no orçamento de cibersegurança21.

21
Cybersecurity spending trends for 2022: Investing in the future. CSO. 20 December 2021.
 TLP: WHITE

Frutas baixas
para quadrilhas
de ransomware

Como falamos acima, os ataques com ransomware inundaram o

cibercrime com muito dinheiro e isso foi um fator-chave para o
aumento nos investimentos das empresas em cibersegurança.

No entanto, não são todas as organizações que possuem disposição

financeira para investir neste tema, de modo que a demanda por
segurança pode ser um fardo para empresas pequenas e médias e algo
muito difícil para organizações governamentais.

A situação acaba impulsionando um movimento que poderemos ver

com frequência em 2022: as empresas que puderam se proteger,
acabaram se tornando alvos que demandam muito esforço para as
quadrilhas, forçando os grupos menos preparados a se contentar com
resgates mais baixos, com origem em empresas menores, as quais se
tornaram as frutas mais baixas na árvore.

O desestímulo não teria origem somente no menor volume de dinheiro, mas também no fato de que os ataques de Double Extor-
tion atraem muita atenção não só para a vítima, mas também para os atacantes e isso tem causado múltiplas complicações para
os criminosos, como as operações policiais contra afiliados do ransomware Netwalker22, Clop23 e, mais recentemente, do REvil25.

Embora não haja sinais de que os ataques com ransomware irão cessar completamente, eles vem caindo25.

Com menos dinheiro em jogo, afiliados de melhor nível técnico que poderão partir para outros tipos de atividade, buscando cortar
intermediários, como o desenvolvedor do ransomware, e executando ataques mais focados (e silenciosos) como o roubo de
informações e a simples extorsão das empresas, usando o ransomware somente em situações específicas.

Um fator que pode determinar o fluxo de novos entrantes nessa modalidade criminosa (bem como a retomada de veteranos)
é a descoberta de vulnerabilidades sérias e que afetam múltiplas tecnologias. Um exemplo disso de 2021 foi a falha crítica,
catalogada como CVE-2021-44228, apelidada como Log4Shell e que afeta o Log4j um popular software da Apache que está
presente em centenas de tecnologias26, de soluções de virtualização VMware, passando por sistemas de storage Dell EMC e até
produtos da Amazon AWS.

As recomendações para evitar se tornar um alvo continuam as mesmas desde que esta onda de ataque começou e podem
ser resumidas em monitorar o ambiente, definir e aplicar padrões de configuração, checar se não há dispositivos expostos na
Internet indevidamente, manter sistemas atualizados, treinar funcionários e prestadores de serviço para reconhecer ataques
e controlar as conexões com empresas que façam parte da cadeia de suprimentos27.
 TLP: WHITE

Você pode ser

do tamanho de
seus fornecedores

Os ataques contra a SolarWinds e a Kaseya foram cruciais para que

muitas pessoas entendessem que a rede das nossas empresas podem
estar a dois graus de separação uma da outra, ou talvez menos. Estes
incidentes chamaram a atenção para uma série de atacantes que não
estavam atentos a isso, de modo que há chances de testemunharmos
outros incidentes semelhantes neste ano.

Assim, é importante que todos os sistemas de terceiros, de uma plata-

forma de gestão de TI a uma extensão de um navegador, sejam inven-
tariados; que seja removido tudo aquilo que não é necessário ou que
está instalado sem autorização; que sejam definidos papéis e responsa-
bilidades claros entre a empresa que vende e a que compra em termos
de cibersegurança e que o controle de segurança para esses ativos seja
aferido de tempos em tempos.

22
Department of Justice Launches Global Action Against NetWalker Ransomware. The United States Department of Justice. 27 January 2021.
23
Кіберполіція викрила хакерське угруповання у розповсюдженні вірусу-шифрувальника та нанесенні іноземним
компаніяпів мільярда доларів збитків. Polícia Nacional da Ucrânia. 16 June 2021.
24
ПРЕСЕЧЕНА ПРОТИВОПРАВНАЯ ДЕЯТЕЛЬНОСТЬ ЧЛЕНОВ ОРГАНИЗОВАННОГО ПРЕСТУПНОГО
СООБЩЕСТВА. FSB. 14 January 2021.
25
Ransomware attacks decrease, operators started rebranding. Help Net Security. 3 January 2022.
26
CISA Log4j (CVE-2021-44228) Affected Vendor & Software List. CISA. 14 February 2022 (última atualização).
27
Double Extortion: ataques de vazamento de dados combinados com ransomware aumentam nas últimas semanas. Tempest. 08 May 2020.
 TLP: WHITE

Treinamento, gestão de processos

e inteligência são elementos
chave no combate à fraude

Em 2019, o executivo de uma empresa de energia, sediada no Reino Unido,

pensou estar conversando ao telefone com seu chefe, o CEO da matriz
alemã, que lhe pediu para fazer uma transferência urgente no valor de
€220.000, aproximadamente R$1.3 milhão, para um fornecedor húngaro.

Segundo o depoimento do executivo da filial inglesa, a voz na chamada

era a do CEO alemão, contemplando maneirismos e sotaques. No entanto,
ele conversou com um fraudador usando um sistema de deep fake, o qual
“aprendeu” os padrões de fala do CEO a usou em um golpe28. O caso é uma
evolução do golpe de CEO Fraud, que geralmente ocorre por email, e se
tornou uma referência sobre o quanto a fraude ainda tem a evoluir, por
exemplo, no uso de deep fake para abrir contas em bancos ou
estabelecimentos comerciais.

À medida que surgem novas tecnologias se abrem novas oportunidades

para usá-las em novos golpes ou para atualizar táticas antigas. Nesse
sentido, três estratégias são recomendadas para evitar as fraudes de hoje
e criar uma base para se defender no futuro: a primeira é ter um plano de
treinamento para que as pessoas reconheçam ataques comuns e que esta
iniciativa não seja limitada aos funcionários e prestadores de serviços, mas
também aos consumidores de sua marca, pois o ato de fortalecer elos de
confiança com o cliente também tem a ver com protegê-lo.

Outra medida importante tem relação com a forma em que os processos

estão desenhados e sobre o alinhamento entre os processos e os sistemas.
Muitas fraudes podem ser evitadas implementando a dupla checagem para
atividades críticas, como a transferência de centenas de milhares de Euros
para uma conta fora do país, por exemplo. Mas de nada adianta se essa
regra estiver só no papel, os sistemas precisam estar configurados para
seguir os processos, impedindo atividades suspeitas.

Por fim, é essencial que as empresas monitorem as movimentações no

cibercrime de modo a aprender com as ameaças que estão ocorrendo em
outras empresas, bem como detectar a atividade maliciosa contra seu
negócio antes que o problema se torne grande demais. É possível fazer
isso adotando processos de Threat Intelligence com equipes internas ou
adquirindo como serviço.

28
Fraudsters Used AI to Mimic CEO’s Voice in Unusual Cybercrime Case. Wall Street Journal. 30 August 2019.
 TLP: WHITE

Tratar infraestrutura
crítica como crítica

Sistemas industriais possuem uma natureza

distinta dos ambientes corporativos. Eles são menos
tolerantes a paradas de manutenção, demandam
níveis de segregação de rede e planos de contingência
em nível de detalhe que é difícil de se ver em um
ambiente empresarial tradicional e os ataques
contra eles ocorrem por meio de uma cadeia de
eventos específica29.
Velhas disputas de
No entanto, o ataque contra a Colonial Pipeline,
embora tenha afetado somente a rede corporativa
interesse, novos
do oleoduto, demandou a desativação dos sistemas
industriais por precaução, causando desabastecimen- conflitos
to e demonstrando que, quando se trata de ataques
cibernéticos, é difícil ter segurança para garantir que
o incidente que comprometeu uma rede, não
afetou a outra.

No momento em que este relatório é redigido, o mundo

Muitas atenções estarão voltadas para estes
vive sob a possibilidade de forças russas e bielorrussas in-
ambientes em 2022 à medida que tensões
vadirem a Ucrânia, um país chave tanto para a manutenção
geopolíticas se acirram pelo mundo. De modo
das zonas de influência da Rússia, quanto para os interesses
geral, as recomendações para estes ambientes são
dos países da OTAN.
semelhantes às já mencionadas acima, porém com
uma atenção especial à segregação entre as redes
Em meio às tensões, uma série de ataques destrutivos
usadas por sistemas industriais de outros ativos de
foi lançada contra a Ucrânia30 e entidades como Centro
tecnologia e a manutenção de um controle rígido
Nacional de Segurança Cibernética do Reino Unido (NCSC)
no acesso físico e lógico a estes sistemas, garantindo
alertaram para a possibilidade de uma situação na qual
que os sistemas estejam configurados para que
múltiplos ciberataques desencadeados por um conflito
atividades críticas somente sejam realizadas
militar possam afetar organizações pelo mundo31.
sob supervisão.

A entidade britânica sugere uma série de medidas para que

as organizações se mantenham resilientes. A maioria delas
já foram abordadas neste relatório, entretanto, destacamos
a necessidade de executar testes de intrusão (pentests)
para avaliar suas defesas, revisar os backups e ter um plano
de resposta a incidentes que oriente as pessoas sobre o que
fazer caso um ataque aconteça.

29
The Industrial Control System Cyber Kill Chain. Michael J. Assante and Robert M. Lee. 5 October 2015.
30
Фрагмент дослідження кібератак 14.01.2022. CERT-UA. 26 January 2022.
31
Actions to take when the cyber threat is heightened. National Cyber Security Centre. 28 January 2022.

São 5 relatórios de
Threat Intelligence, contendo os
principais acontecimentos sobre
ameaças e ataques cibernéticos
com objetivo de manter nossos
clientes atualizados sobre os
temas mais relevantes
de cibersegurança.
Clique aqui
Confira mais detalhes sobre cada relatório aqui
TLP: WHITE
Se antecipar às
ameaças é a melhor
maneira de trazer mais
segurança ao seu negócio.
5 em 1
Relatórios disponíveis: No Radar, Situation
Report e TCA (Tempest Cyber Alert), Weekly
Landscape e Threat Landscape.
CURADORIA TEMPEST
Curadoria dos conteúdos sob a responsabilidade do
time especializado em Threat Intelligence da Tempest.
LEITURA EM UM ÚNICO LUGAR
Acesso à plataforma Prospero da Tempest para leitura
dos conteúdos, disponíveis até 50 usuários.
LINHA EDITORIAL DE FÁCIL ENTENDIMENTO
Linha editorial facilmente entendida pelo C-Level
de modo que não é necessário traduzir o conteúdo
técnico para o gerencial.
Entre em contato para saber mais
sobre o CTI Strategic Reports.
 TLP: WHITE

A Tempest Security Intelligence é a maior

empresa brasileira especializada em
cibersegurança e prevenção a fraudes digitais.

Hoje contamos com um time de mais de 450

profissionais e escritórios em Recife, São Paulo
e Londres; nos últimos anos a Tempest ajudou
a proteger mais de 500 empresas de todos os
portes de setores como serviços financeiros,
varejo e e-commerce.

Pesquisando e criando novas soluções de

proteção digital, a Tempest alia expertise técnica,
sólida metodologia e alta tecnologia para
entregar um portfólio com mais de 70 soluções,
envolvendo Consultorias, Digital Identity,
Managed Security Services e Integração.