Cada ano tem a sua própria mistura de desastres de segurança digital, do absurdo ao sinistro, mas 2024 foi particularmente marcado por ondas de hackers em que cibercriminosos e grupos de espionagem apoiados pelo Estado exploraram repetidamente a mesma fraqueza ou tipo de alvo para alimentar o seu frenesim. Para os atacantes, a abordagem é implacavelmente eficiente, mas para as instituições comprometidas – e para os indivíduos que servem – os ataques maliciosos tiveram consequências muito reais para a privacidade, segurança e proteção das pessoas.
À medida que a turbulência política e a agitação social se intensificam em todo o mundo, 2025 será um ano complicado – e potencialmente explosivo – no ciberespaço. Mas primeiro, aqui está a retrospectiva da WIRED sobre as piores violações, vazamentos, campanhas de hackers patrocinadas pelo estado, ataques de ransomware e casos de extorsão digital deste ano. Fique alerta e seguro lá fora.
As operações de espionagem são uma realidade e as incansáveis campanhas chinesas têm sido uma constante no ciberespaço há anos. Mas o grupo de espionagem Salt Typhoon, ligado à China, realizou uma operação particularmente notável este ano, infiltrando-se durante meses numa série de empresas de telecomunicações dos EUA, incluindo a Verizon e a AT&T (além de outras em todo o mundo). E autoridades dos EUA disseram aos repórteres no início deste mês que muitas empresas vítimas ainda estão ativamente tentando remover os hackers de suas redes.
Os agressores vigiaram um pequeno grupo de pessoas – menos de 150 segundo a contagem actual – mas incluem indivíduos que já estavam sujeitos a ordens de escuta telefónica dos EUA, bem como funcionários do Departamento de Estado e membros das campanhas presidenciais de Trump e Harris. Além disso, mensagens de texto e ligações de outras pessoas que interagiram com os alvos do Salt Typhoon também foram inerentemente apanhadas no esquema de espionagem.
Durante todo o verão, os invasores estavam em alta, violando empresas e organizações proeminentes que eram clientes da empresa de armazenamento de dados em nuvem Snowflake. A onda mal se qualifica como hacking, já que os cibercriminosos estavam simplesmente usando senhas roubadas para fazer login em contas Snowflake que não tinham a autenticação de dois fatores ativada. O resultado final, porém, foi uma quantidade extraordinária de dados roubados de vítimas, incluindo Ticketmaster, Banco Santander e Neiman Marcus. Outra vítima proeminente, a gigante das telecomunicações AT&T, disse em julho que “quase todos” os registros relativos às chamadas e mensagens de texto de seus clientes durante um período de sete meses em 2022 foram roubados em uma intrusão relacionada ao Snowflake. A empresa de segurança Mandiant, de propriedade do Google, disse em junho que a violência impactou cerca de 165 vítimas.
Em julho, Snowflake adicionou um recurso para que os administradores de contas pudessem tornar a autenticação de dois fatores obrigatória para todos os seus usuários. Em novembro, o suspeito Alexander “Connor” Moucka foi preso pelas autoridades canadenses por supostamente liderar a onda de hackers. Ele foi indiciado pelo Departamento de Justiça dos EUA pela lágrima do floco de neve e enfrenta extradição para os EUA. John Erin Binns, que foi preso na Turquia por uma acusação relacionada a uma violação da empresa de telecomunicações T-Mobile em 2021, também foi indiciado por acusações relacionadas às violações de clientes Snowflake.
No final de fevereiro, a empresa de processamento de cobranças e seguros médicos Change Healthcare foi atingida por um ataque de ransomware que causou interrupções em hospitais, consultórios médicos, farmácias e outras instalações de saúde nos EUA. O ataque é uma das maiores violações de dados médicos de todos os tempos, afetando mais de 100 milhões de pessoas. A empresa, de propriedade da UnitedHealth, é uma processadora de faturamento médico dominante nos EUA. A empresa disse, dias após o início do ataque, que acreditava que ALPHV/BlackCat, uma notória gangue de ransomware de língua russa, estava por trás do ataque.
Os dados pessoais roubados no ataque incluíam números de telefone de pacientes, endereços, informações bancárias e outras informações financeiras, além de registros de saúde, incluindo diagnósticos, prescrições e detalhes de tratamento. A empresa pagou um resgate de US$ 22 milhões à ALPHV/BlackCat no início de março, na tentativa de conter a situação. O pagamento aparentemente encorajou os atacantes a atingir alvos de cuidados de saúde a uma taxa ainda maior do que o habitual. Com notificações contínuas e contínuas para mais de 100 milhões de vítimas – e mais ainda sendo descobertas – os processos judiciais e outras reações adversas têm aumentado. Este mês, por exemplo, o estado de Nebraska processou a Change Healthcarealegando que “falhas na implementação de proteções básicas de segurança” tornaram o ataque muito pior do que deveria ter sido.
Microsoft disse em janeiro, que havia sido violado pelos hackers russos “Midnight Blizzard” em um incidente que comprometeu as contas de e-mail dos executivos da empresa. O grupo está ligado à agência de inteligência estrangeira SVR do Kremlin e está especificamente ligado ao APT 29 do SVR, também conhecido como Cosy Bear. Após uma intrusão inicial em novembro de 2023, os invasores visaram e comprometeram contas históricas de teste de sistema da Microsoft que lhes permitiram acessar o que a empresa disse ser “uma porcentagem muito pequena de contas de e-mail corporativas da Microsoft, incluindo membros de nossa equipe de liderança sênior e funcionários em nossas funções de segurança cibernética, jurídica e outras.” A partir daí, o grupo exfiltrou “alguns e-mails e documentos anexados”. A Microsoft disse que os invasores pareciam estar procurando informações sobre o que a empresa sabia sobre eles – em outras palavras, a Midnight Blizzard fazia um reconhecimento da pesquisa da Microsoft sobre o grupo. A Hewlett-Packard Enterprise (HPE) também disse em janeiro que sofreu uma violação de e-mail corporativo atribuída à Midnight Blizzard.
A empresa de verificação de antecedentes National Public Data sofreu uma violação em dezembro de 2023, e os dados do incidente começaram a aparecer à venda em fóruns cibercriminosos em abril de 2024. Diferentes configurações de dados surgiram repetidamente durante o verão, culminando na confirmação pública de a violação da empresa em agosto. Os dados roubados incluíam nomes, números de Seguro Social, números de telefone, endereços e datas de nascimento. Como os Dados Públicos Nacionais não confirmaram a violação até agosto, as especulações sobre a situação cresceram durante meses e incluíram teorias de que os dados incluíam dezenas ou mesmo centenas de milhões de números da Segurança Social. Embora a violação tenha sido significativa, o verdadeiro número de indivíduos afetados parece ser, felizmente, muito menor. A empresa relatado em um arquivo às autoridades do Maine que a violação afetou 1,3 milhão de pessoas. Em outubro a controladora da National Public Data a Jerico Pictures entrou com pedido de falência, Capítulo 11 reorganização no Distrito Sul da Flórida, citando investigações estaduais e federais sobre a violação, bem como uma série de ações judiciais que a empresa enfrenta por causa do incidente.
Menção Honrosa: Roubo de Criptomoedas na Coreia do Norte
Muitas pessoas roubam muitas criptomoedas todos os anos, incluindo cibercriminosos norte-coreanos que têm o mandato de ajudar a financiar o reino eremita. UM relatório da empresa de rastreamento de criptomoedas Chainalysis, divulgado este mês, ressalta o quão agressivos os hackers apoiados por Pyongyang se tornaram. Os pesquisadores descobriram que, em 2023, hackers afiliados à Coreia do Norte roubaram mais de US$ 660 milhões em 20 ataques. Este ano, eles roubaram cerca de US$ 1,34 bilhão em 47 incidentes. Os números de 2024 representam 20% do total de incidentes rastreados pela Chainalysis durante o ano e impressionantes 61% do total de fundos roubados por todos os atores.
O domínio absoluto impressiona, mas os pesquisadores enfatizam a gravidade dos crimes. “Autoridades dos EUA e internacionais avaliaram que Pyongyang usa a criptografia que rouba para financiar seus programas de armas de destruição em massa e mísseis balísticos, colocando em risco a segurança internacional”, escreveu Chainalysis.
