Estudo IBM: A Identidade Digital está no alvo dos ataques cibernéticos, o que dificulta o tempo de recuperação das empresas após quebras de segurança

Estudo IBM: A Identidade Digital está no alvo dos ataques cibernéticos, o que dificulta o tempo de recuperação das empresas após quebras de segurança

- A nível global, verificou-se um aumento de 71% nos ciberataques destinados a explorar as identidades digitais dos utilizadores

- Estima-se que, quando a IA generativa atingir uma quota de mercado de 50%, irá desencadear mais ciberataques

- Quase 70% dos ataques globais em 2023 visaram infraestruturas críticas

- A Europa foi a região mais atacada em 2023; Portugal foi o 4º país europeu que mais ataques sofreu (11%)

A IBM acaba de lançar o 2024 X-Force Threat Intelligence Index, um estudo que destaca a existência de uma emergente crise global de identidade que ameaça principalmente a identidade digital, à medida que os cibercriminosos duplicam a exploração das identidades dos utilizadores para comprometer a segurança de empresas em todo o mundo. De acordo com o IBM X-Force, uma área de serviços de segurança ofensiva e defensiva da IBM Consulting, em 2023 os cibercriminosos viram mais oportunidades em táticas que implicam "login" do que no acesso malicioso a redes corporativas através de contas válidas, o que converte este método na arma preferida dos cibercriminosos. O relatório concluiu que a Europa foi a região mais atacada em 2023, representando 32% dos incidentes globais e subindo do segundo lugar em 2022, e que Portugal foi o 4º país europeu que mais ataques sofreu (11%).

O X-Force Threat Intelligence Index baseia-se em conhecimento e observações resultantes da monitorização de mais de 150 mil milhões de eventos de segurança por dia, em mais de 130 países. Além disso, os dados são recolhidos e analisados a partir de várias fontes na IBM, incluindo IBM X-Force Threat Intelligence, Incident Response, X-Force Red, IBM Managed Security Services e dados fornecidos pela Red Hat Insights e Intezer, que contribuíram para o estudo de 2024.

Alguns dos principais destaques para a Europa:

- Quase um em cada três ataques observados em todo o mundo teve como alvo o continente europeu, um número recorde de ataques registado pela X-Force na Europa.

- Os países que sofreram mais ataques foram o Reino Unido (27%), Alemanha (15%), Dinamarca (14%), Portugal (11%), Itália (8%) e França (8%).

- Em toda a Europa, a X-Force observou um aumento anual de 66% nos ataques causados pela utilização ilegítima de contas válidas.

- Os elos mais fracos para as organizações europeias foram as identidades e os e-mails, com a utilização ilegítima de contas válidas (30%) e o phishing (30%).

- O malware foi a ação mais observada, representando 44% dos incidentes, e o continente europeu foi a região que registou o maior número de ataques de ransomware a nível mundial (26%).

- Os três principais tipos de incidentes para as organizações com sede na Europa foram o roubo de credenciais (28%), a extorsão (24%) e as fugas de dados (16%).

- Por setor, a indústria transformadora tornou-se o setor mais visado, com 28% dos incidentes, passando do segundo lugar ocupado no relatório de 2022.

- Os serviços profissionais, empresariais e de consumo ficaram em segundo lugar, com 25% dos ataques, seguido do setor dos serviços financeiros e de seguros (16%), com o setor da energia (14%) a ocupar o quarto lugar.

- O continente europeu, no seu conjunto, registou a percentagem mais elevada de incidentes no setor da energia a nível global, com 43%, seguido do setor financeiro e de seguros, com 37%.

- Quase 70% dos ataques a que a X-Force respondeu contra organizações europeias tiveram lugar em Estados-Membros da UE.

“Embora a preocupação com os "ataques criados por IA" seja compreensível, não devemos ignorar as ameaças existentes que continuam a perturbar as empresas ano após ano, como os ataques que exploram a identidade", afirma Ascensio Chazarra, Cyber Threat Management Offering Leader da IBM Consulting para a EMEA. "Este problema só vai piorar à medida que os adversários tirem partido da IA para otimizar as suas táticas e, por isso, as organizações têm de estar bem preparadas para conseguirem responder”.

Uma crise global de identidade que tende a agravar-se

A exploração de uso ilegítimo de contas válidas tornou-se no método habitual dos cibercriminosos, tendo como resultado milhares de milhões de credenciais comprometidas na Dark Web, atualmente. Neste sentido, em 2023, a X-Force observou que os atacantes investiram cada vez mais em operações para obter as identidades dos utilizadores a nível global - com um aumento de 266% no malware de roubo de informação, concebido para obter informações pessoais identificáveis, como e-mails, credenciais de redes sociais e de aplicações de mensagens, detalhes bancários, dados de wallets de criptomoedas, entre outros.

Este método de "fácil acesso" para os atacantes é mais difícil de detetar, provocando uma resposta dispendiosa por parte das empresas. De acordo com a X-Force, os principais incidentes causados por cibercriminosos, que utilizam contas válidas, foram associados a medidas de resposta quase 200% mais complexas por parte das equipas de segurança do que no caso de um incidente médio - com os defensores a necessitarem de distinguir entre atividade legítima e maliciosa dos utilizadores na rede. De facto, o relatório Cost of a Data Breach Report da IBM, de 2023, concluiu que são necessários aproximadamente 11 meses para se detetar e recuperar dos ataques causados por credenciais roubadas ou comprometidas, tendo em conta um ciclo de vida de resposta mais longo do que qualquer outro tipo de ataque.

Este amplo acesso à atividade online dos utilizadores ficou evidente no desmantelamento pelo FBI e pelas autoridades policiais europeias, em abril de 2023, de um fórum global de cibercriminalidade que recolhia os dados de acesso de mais de 80 milhões de contas de utilizadores. É provável que as ameaças que têm como objetivo a identidade digital continuem a crescer à medida que os cibercriminosos se aproveitem da IA generativa para otimizar os seus ataques. Já em 2023, a X-Force observou mais de 800.000 publicações sobre IA e GPT em fóruns da Dark Web, o que confirma que que estas inovações chamaram a atenção e o interesse dos cibercriminosos.

Além da crise em torno da identidade digital, alguns dos pontos mais destacados pelo estudo a nível global são:

Os ataques a infraestruturas críticas revelam "passos em falso" por parte da indústria. Em quase 85% dos ataques a setores críticos a nível global, os dados comprometidos poderiam ter sido mitigados com a aplicação de patches, autenticação multifator ou princípios de segurança de informações de privilégios mínimos, o que indica que o que a indústria da segurança descreveu historicamente como "segurança básica" pode ser mais difícil de conseguir do que se imagina.

- Em todo o mundo, uns alarmantes 70% dos ataques a que a X-Force respondeu foram dirigidos contra organizações de infraestruturas críticas (74% na União Europeia), o que comprova que os cibercriminosos estão a tirar partido da necessidade que as empresas têm de que os seus sistemas mantenham um funcionamento contínuo.

- Cerca de 85% dos ataques a que a X-Force respondeu neste setor foram causados pela exploração de aplicações abertas ao público, por e-mails de phishing e pela utilização ilegítima de contas válidas. Este último método representa um risco acrescido para o setor, com a DHS CISA a afirmar que a maioria dos ataques bem-sucedidos a organizações públicas, organizações de infraestruturas críticas e agências governamentais a nível estatal em 2022, implicaram a utilização ilegítima de contas válidas. Isto realça a necessidade de estas organizações realizarem frequentemente testes de stress nos seus ambientes para detetarem potenciais exposições e desenvolverem planos de resposta a incidentes.

Os grupos de ransomware orientam-se para um modelo de negócio mais ágil. Os ataques de ransomware a empresas registaram uma queda de quase 12% no ano passado, uma vez que as grandes organizações optam por não pagar e desencriptar, em favor da reconstrução das suas infraestruturas. É provável que esta crescente resistência afete as expetativas dos atacantes em relação às receitas provenientes da extorsão baseada em encriptação da informação, pelo que se observou que os grupos anteriormente especializados em ransomware passaram a dedicar-se ao roubo de informação.

Os ataques baseados em IA generativa ainda não são rentáveis. A análise da X-Force prevê que, quando uma única tecnologia de IA generativa se aproximar dos 50% de quota de mercado ou quando o mercado se consolidar em três ou menos tecnologias, poderão ser desencadeados ataques em grande escala contra estas plataformas, o que significará um maior investimento em novas ferramentas por parte dos cibercriminosos.

Para que os cibercriminosos tenham rentabilidade nas suas atividades, as tecnologias que são objeto dos seus ataques devem estar omnipresentes na maioria das organizações em todo o mundo. Tal como os avanços tecnológicos do passado fomentaram as atividades cibercriminosas - como se observou com o ransomware e o domínio do mercado dos servidores Windows, os ataques BEC (Business Email Compromise) e o domínio do Microsoft 365 ou o cryptojacking e a consolidação do mercado da infraestrutura como serviço -, é muito provável que este padrão se estenda à IA.

Embora a IA generativa esteja atualmente na sua fase de mercado prévia à comercialização massiva, é fundamental que as empresas protejam os seus modelos de IA antes que os cibercriminosos ampliem a sua atividade. As empresas também devem reconhecer que a sua infraestrutura subjacente existente é uma porta de entrada para os seus modelos de IA que não requer novas táticas por parte dos cibercriminosos para atacar - destacando a necessidade de uma abordagem holística à segurança na era da IA generativa, conforme descrito no IBM Framework for Securing Generative AI.

Outras conclusões relevantes do estudo:

– Para onde foi todo o phishing? Apesar de continuar a ser um dos principais vetores de infeção, o volume de ataques de phishing diminuiu cerca de 44% face a 2022. Mas com a IA capaz de otimizar este ataque e com as conclusões

da X-Force que indicam que a IA pode acelerar os ataques em quase dois dias, este vetor de infeção continuará a ser uma opção preferida por parte dos cibercriminosos.

– Todos estamos vulneráveis - A RedHat Insights revelou que 92% dos clientes têm pelo menos um CVE com exploits conhecidos que não foram endereçados no seu ambiente no momento da análise, enquanto 80% das dez principais vulnerabilidades detetadas nos sistemas em 2023 receberam uma pontuação de gravidade base CVSS "Alta" ou "Crítica".

– O "Kerberoasting" compensa - A X-Force observou um aumento de 100% nos ataques de "kerberoasting", em que os atacantes tentam fazer-se passar por utilizadores para escalar privilégios, abusando dos tickets do Microsoft Active Directory.

– Configurações incorretas de segurança - Os testes de intrusão da X-Force Red (penetration tests) indicam que as configurações incorretas de segurança representaram 30% do total de exposições identificadas, tendo sido observadas mais de 140 formas de os atacantes explorarem as configurações incorretas.