Os especialistas da Check Point Software analisaram a perspectiva do cenário cibernético da guerra em Israel desde o seu início até o dia 24 de outubro, abrangendo tendências e tipos de ataques identificados nesse período.
A princípio, foram necessárias atualizações na análise inicial, pois identificaram países afetados por vários grupos hacktivistas em conexão com a guerra em curso e o apoio a Israel. Os países mais visados (além de Israel) são Itália, França e Índia. Já os menos visados, em comparação com dias anteriores, são o Brasil, Estados Unidos, Canadá e Singapura. Embora menos visado, o Brasil é alvo constante e o grupo responsável é o IRoX Team.
Dentre esses cibercriminosos, estão Esteem Restoration Eagle, Mysterious Team Bangladesh, Neo Cyber, TengkorakCyberCrew, AnonGhost Indonesian, Muslims of Bengal, IRoX Team, Moroccan Ghosts, CYBER ERROR SYSTEM, GANOSEC TEAM, 4 EXPLOITATION Channel.
Além disso, os especialistas destacaram os principais tópicos da análise, divididos em quatro temas. O primeiro é referente ao aumento da atividade cibernética: vários grupos hacktivistas, alinhados com diferentes interesses geopolíticos, intensificaram as suas operações cibernéticas com o objetivo de influenciar as narrativas e perturbar entidades online associadas a Israel.
Em segundo, o aumento dos ataques: a Check Point Research (CPR) observou um aumento de 18% nos ataques cibernéticos contra Israel. Especificamente, há um aumento acentuado nos ataques ao setor Governo/Militar – um aumento de 52% em comparação com as semanas que antecederam o dia 7 de outubro, início do conflito.
O terceiro tema faz menção as diversas ameaças cibernéticas, nas quais são multifacetadas, desde ataques de negação de serviço distribuída (DDoS) por grupos hacktivistas até atividades de hacking e vazamento contra sites israelenses.
Por fim, o quarto tema está relacionado nas reocupações com atacantes emergentes: os especialistas destacaram três tendências crescentes que podem intensificar o conflito cibernético: grupos hacktivistas afiliados à Rússia mudando seu foco para Israel, a introdução de grupos hacktivistas apoiados pelo governo iraniano e a participação de cibercriminosos que buscam ganhos financeiros em meio ao conflito. Ademais, grupos cibernéticos sofisticados e com capacidades significativas, podem entrar em cena, aumentando os riscos e as tensões no campo de batalha cibernético.
A guerra que começou na manhã do último dia 7 de outubro entre Israel e o Hamas, conhecida como “Iron Swords” (“Espadas de Ferro”), provocou distúrbios significativos. Dentro de uma hora após o ataque, o grupo afiliado à Rússia, Anonymous Sudan, supostamente assumiu a responsabilidade por potencialmente desativar um aplicativo civil israelense projetado para alertar os cidadãos sobre ataques de mísseis.
A guerra também atraiu a atenção de muitos atores de ameaças no ciberespaço. Tal como na guerra entre Rússia e Ucrânia, há muitos indivíduos e grupos que tentam aproveitar o ciberespaço como um campo de batalha adicional, visando não apenas causar danos, mas muitas vezes de orquestrar campanhas de informação e moldar narrativas globais.
Os dados obtidos pelos sensores das tecnologias e soluções da empresa mostraram que, à medida que a guerra continua, as tentativas de ataques cibernéticos aumentam. Durante os últimos dias, a Check Point Research (CPR) observou um aumento de 18% nos ataques cibernéticos a alvos em Israel, em comparação com os primeiros dias da guerra; além de o setor Governo/Militar ter tido um aumento de 52% no número de ataques cibernéticos em comparação com a média das semanas anteriores a 7 de outubro. A tendência global neste setor específico mostra uma diminuição de 4% no mesmo período.
Esta análise investigou atividades cibernéticas compartilhadas por coletivos autoproclamados em plataformas como Telegram, Dark Web e vários canais de inteligência de código aberto (OSINT).
Até o período indicado, apenas alguns ataques tiveram um impacto tangível. No entanto, três tendências em evolução que poderem mudar a maré da guerra cibernética contra Israel tornam-se evidentes: grupos hacktivistas afiliados à Rússia focados em Israel; grupos hacktivistas apoiados pelo governo iraniano entrando no conflito; cibercriminosos oportunistas explorando a guerra para lançar ataques de ransomware.
Ataques DDoS
Desde o início da guerra, os especialistas registraram centenas de reclamações de ataques DDoS por parte de dezenas de grupos hacktivistas. Grupos ativos nesta área incluem grupos pró-islâmicos como “Fantasmas da Palestina”, “Team_insane_Pakistan”, entre outros. O impacto da grande maioria desses ataques foi muito limitado em termos de perturbação, uma vez que foram executados contra websites muito pequenos em Israel ou duraram apenas alguns segundos ou minutos.
As alegações de ataques DDoS incluíram entidades governamentais e grandes empresas, como o Banco de Israel, a empresa de telefonia celular Cellcom, o Parlamento israelense (conhecido como Knesset) e muito mais. No entanto, a maioria dos distúrbios teve apenas efeitos menores, se é que ocorreram.
Um ataque DDoS relativamente bem-sucedido foi contra a versão desktop do site Jerusalem Post e foi reivindicado tanto pelo “Team_insane_Pakistan” quanto pelo Anonymous Sudan. As interrupções no site do Jerusalem Post continuaram por aproximadamente dois dias.
Perspectiva futura e expectativa
Além das três tendências mencionadas anteriormente, foi observado ainda o surgimento de atacantes cibernéticos mais maduros e com capacidades altamente significativas. Entre eles estão vários grupos hacktivistas afiliados à Rússia, grupos afiliados ao Irã e grupos de crimes cibernéticos de ransomware.
Desde as primeiras horas da guerra, os especialistas têm observado uma mudança gradual de atenção dos principais grupos hacktivistas afiliados à Rússia, como o Killnet e o Anonymous Sudan, da sua narrativa regular contra a Ucrânia e os países ocidentais, para uma narrativa extrema contra Israel.
A guerra também atraiu entidades com motivação financeira para o campo de batalha cibernético. Ransomed.vc, um grupo de resgate que iniciou operações recentemente e teve uma dúzia de vítimas importantes no último mês, anunciou que a situação de segurança na região torna as entidades comerciais mais vulneráveis a ataques e solicitou a compra de acesso inicial a entidades em Israel, Palestina e Irã. Posteriormente, o grupo postou o que alegou ser uma dispersão de dados relacionados à saúde de pacientes palestinos como um exemplo do que procuram.
As implicações cibernéticas da incursão russa na Ucrânia e vice-versa foram significativas, sublinhando que as guerras na era digital podem impactar um espectro mais amplo de entidades para além das principais partes envolvidas. Cerca de 20 meses depois, observamos um aumento na atividade de grupos terceiros que estão tomando posição no conflito, alguns dos quais tomaram medidas que afetam a infraestrutura digital civil.
À medida que o atual conflito se desenrola, vários atores, como o Hezbollah e o Irã, avaliam as suas posições estratégicas. Prevê-se que a guerra cibernética seja uma ferramenta utilizada por múltiplas entidades em ambas as frentes, independentemente do seu envolvimento direto no conflito terrestre.
A guerra cibernética desempenhará, um papel fundamental na definição da trajetória deste conflito. As organizações, independentemente da sua localização geográfica, devem atentar em melhorar as suas defesas cibernéticas, priorizar as atualizações de sistemas e refinar os seus protocolos de segurança cibernética.
Cuidados especiais
Estar ciente de qualquer meio e superfície com os quais há interação e permanecer atento ao receber mensagens, seja por e-mail, mensagens de texto ou online. Qualquer mensagem pode ser maliciosa ou conter um link para malware malicioso. Outra recomendação é baixar aplicativos para iOS ou Android apenas de fontes oficiais confiáveis. Muitos agentes de ameaças tentarão enviar seu malware disfarçado de aplicativo legítimo.
Do mesmo modo, evitar cliques em links provenientes de fontes desconhecidas e links com quais não há familiaridade. A atenção nas URLs é importante, pois ao procurar sinais de que um site pode ser fraudulento, é possível identificar rapidamente sua legitimidade. Assim como manter computadores e softwares atualizados e aplicar patches de segurança, especialmente aqueles rotulados como críticos. A ação pode ajudar a limitar a vulnerabilidade de uma organização a ataques, já que esses patches são geralmente ignorados ou adiados por muito tempo para oferecer a proteção necessária.
Por fim, o fortalecimento na autenticação do usuário, através de uma política de senha forte, exigir o uso de autenticação de múltiplos fatores e educar os funcionários sobre vários ataques projetados para roubar credenciais de login, pois são componentes críticos da estratégia de segurança cibernética de uma organização.
