Os ataques cibernéticos são uma ameaça crescente à segurança de empresas, governos e cidadãos. O panorama mundial dos últimos anos tem assistido a uma forte intensificação desse tipo de crime, que têm aumentado em sua frequência e alcance.
Obter uma melhor compreensão das fontes de ataques e como eles agem é essencial para todos os usuários, sejam eles pessoas físicas ou jurídicas. Esta análise, de fato, permite-nos pensar nas medidas adequadas a tomar para gerir os riscos relacionados com a segurança digital.
As categorias de invasores cibernéticos
A maioria das estatísticas disponíveis publicamente se concentra nos objetivos dos ataques e em como eles são realizados, enquanto poucas análises são realizadas sobre os perpetradores e suas motivações. Isso porque é mais fácil observar as consequências dos ataques cibernéticos do que levantar hipóteses sobre as fontes de tais eventos e seus incentivos.
A crescente frequência e gravidade dos ataques tornou a compreensão da origem mais importante do que nunca, pois saber quem planejou o ataque torna mais fácil identificar arquivos maliciosos ou estruturar uma resposta apropriada.
As fontes de ataques cibernéticos podem ser divididas em três categorias principais:
- Ativistas;
- Cibercriminosos;
- Governos.
A classificação de um evento de segurança cibernética em uma das categorias depende principalmente dos motivos ligados ao ataque.
Cada invasor e cada modo de ataque possuem características típicas, que podem nos fornecer mais informações sobre o gerenciamento de ameaças. Nos casos em que o ataque é motivado por fatores políticos, os atores envolvidos muitas vezes têm um forte interesse em esconder o real motivo por trás dele e desviar a atenção do público para outra coisa. Quando o motivo do ataque é financeiro e perpetrado por hackers, eles estão menos interessados em disfarçar os motivos do ataque, mas extremamente determinados a esconder seus rastros.
Tipos de ataques cibernéticos e exemplos
Os ataques cibernéticos direcionados a organizações (governamentais ou privadas) e cidadãos individuais se enquadram, portanto, em três categorias principais:
Guerra cibernética: atacar ou desestabilizar estados, nações e instituições. Em muitos casos, esses eventos são verdadeiros atos de guerra, disfarçados de ações mais indiretas, destinadas a espalhar alarme ou descontentamento. Além disso, os ataques cibernéticos realizados por terroristas e destinados a gerar pânico e revolta também se enquadram nessa categoria.
Crime financeiro: roubar dinheiro de pessoas físicas, empresas ou entidades, direta ou indiretamente, usando métodos digitais.
Ativismo: protesto contra ações de governos, empresas ou outras entidades; para encorajar novos ideais e novas mudanças sociais.
Dada a diversidade de ataques, diferentes abordagens precisam ser aplicadas para dar o primeiro passo em direção à defesa e identificar os atores por trás de um evento de segurança cibernética.
Como rastrear a origem dos ataques cibernéticos
Para rastrear a origem de um crime cibernético e classificá-lo corretamente, os ataques cibernéticos devem ser analisados sob diferentes pontos de vista. As análises incluem:
– Motivação:
Investigue qual pode ser o incentivo para o invasor realizar o ataque. Uma vez identificada, é importante validar a hipótese, avaliando se a atividade pode realmente corresponder ao incentivo específico.
– Origem técnica:
Inclui informações como a localização dos dispositivos usados, qualquer endereço IP de comando e controle e endereço de e-mail.
– Informações incluídas em arquivos de dados, códigos binários e scripts:
Aplicável apenas nos casos em que uma exploração de malware específica ou personalizada é usada. Essas informações podem incluir o compilador usado, bibliotecas e outras informações técnicas. Os scripts geralmente fornecem mais dados, pois podem incluir comentários e outras informações sobre a linguagem usada pelo invasor (incluindo dialetos e gírias). A análise do estilo de programação dos scripts pode ajudar a entender se o script foi produzido por um programador conhecido. Além disso, os nomes dos arquivos podem fornecer informações reveladoras (a linguagem naturalmente usada pelo invasor geralmente depende do estilo de escrita do programador).
– Modus operandi:
Horas em que o hacker está ativo, para fazer inferências sobre sua posição; táticas de malware que, se semelhantes às usadas por um ator conhecido, podem indicar que eles estão envolvidos no ataque.
Às vezes, os invasores podem ser identificados analisando cuidadosamente a combinação de táticas, uso de malware e alvos. Além disso, as vulnerabilidades geralmente seguem padrões de ação: um grupo de hackers pode se concentrar em explorar vulnerabilidades de arquivos de fontes; enquanto outro pode preferir explorar as vulnerabilidades de diferentes tecnologias, como o Adobe Flash.
Dito isso, ainda devemos permanecer críticos e considerar que, em muitos casos, informações que podem ser falsificadas pelos Estados ou pelos próprios criminosos, a fim de encobrir seus rastros e transferir a hipótese de culpa para outros atores.
Uma coisa é certa: é imprescindível que pessoas e empresas utilizem de toda a tecnologia possível para se protegerem de qualquer tipo de ameaça digital. Assim como a tecnologia é uma cúmplice dos malfeitores, ela também pode ser uma aliada das prováveis vítimas.
