Todo ano tem sua própria mistura de debacles de segurança digital, desde o absurdo até o sinistro, mas 2024 foi particularmente marcado por ondas de hacking em que cibercriminosos e grupos de espionagem apoiados pelo estado exploraram repetidamente a mesma vulnerabilidade ou tipo de alvo para alimentar sua fúria. Para os atacantes, a abordagem é implacavelmente eficiente, mas para as instituições comprometidas — e os indivíduos que elas atendem — as rampagens maliciosas tiveram consequências muito reais para a privacidade, segurança e proteção das pessoas.
À medida que a turbulência política e a agitação social se intensificam em todo o mundo, 2025 será um ano complicado — e potencialmente explosivo — no ciberespaço. Mas primeiro, aqui está a análise da WIRED sobre as piores violações, vazamentos, campanhas de hacking patrocinadas pelo estado, ataques de ransomware e casos de extorsão digital deste ano. Fique alerta e mantenha-se seguro por aí.
Operações de Espionagem da Salt Typhoon da China
As operações de espionagem são um fato da vida, e as campanhas implacáveis da China têm sido uma constante no ciberespaço há anos. Mas o grupo de espionagem vinculado à China, Salt Typhoon, realizou uma operação particularmente notável este ano, infiltrando uma série de telecomunicações dos EUA, incluindo Verizon e AT&T (além de outras ao redor do mundo) por meses. E os oficiais dos EUA disseram a repórteres no início deste mês que muitas das empresas vítimas ainda estão tentando remover os hackers de suas redes.
Os atacantes monitoraram um pequeno grupo de pessoas — menos de 150 até o momento — mas incluem indivíduos que já estavam sujeitos a ordens de escuta telefônica dos EUA, além de oficiais do departamento de estado e membros das campanhas presidenciais de Trump e Harris. Além disso, mensagens de texto e chamadas de outras pessoas que interagiram com os alvos do Salt Typhoon também foram, por sua natureza, capturadas no esquema de espionagem.
Violações de Clientes da Snowflake
Durante o verão, os atacantes estavam em uma onda, violando empresas e organizações proeminentes que eram todas clientes da empresa de armazenamento de dados em nuvem Snowflake. A onda mal se qualifica como hacking, uma vez que os cibercriminosos estavam simplesmente usando senhas roubadas para fazer login em contas da Snowflake que não tinham autenticação de dois fatores ativada. O resultado final, no entanto, foi uma quantidade extraordinária de dados roubados de vítimas, incluindo Ticketmaster, Santander Bank e Neiman Marcus. Outra vítima proeminente, a gigante de telecomunicações AT&T, disse em julho que “quase todos” os registros relacionados às chamadas e mensagens de texto de seus clientes de um período de sete meses em 2022 foram roubados em uma intrusão relacionada à Snowflake. A empresa de segurança Mandiant, que é de propriedade do Google, disse em junho que a onda impactou aproximadamente 165 vítimas.
Em julho, a Snowflake adicionou um recurso para que os administradores de contas pudessem tornar a autenticação de dois fatores obrigatória para todos os seus usuários. Em novembro, o suspeito Alexander “Connor” Moucka foi preso pela polícia canadense por supostamente liderar a onda de hacking. Ele foi indiciado pelo Departamento de Justiça dos EUA pela onda da Snowflake e enfrenta extradição para os EUA. John Erin Binns, que foi preso na Turquia por uma acusação relacionada a uma violação de 2021 da telecomunicação T-Mobile, também foi indiciado por acusações relacionadas às violações de clientes da Snowflake.
Ataque de Ransomware à Change Healthcare
No final de fevereiro, a empresa de faturamento médico e processamento de seguros Change Healthcare foi atingida por um ataque de ransomware que causou interrupções em hospitais, consultórios médicos, farmácias e outras instalações de saúde em todo os EUA. O ataque é uma das maiores violações de dados médicos de todos os tempos, impactando mais de 100 milhões de pessoas. A empresa, que é de propriedade da UnitedHealth, é um processador de faturamento médico dominante nos EUA. Ela disse dias após o início do ataque que acreditava que o ALPHV/BlackCat, uma notória gangue de ransomware de língua russa, estava por trás do ataque.
Os dados pessoais roubados no ataque incluíam números de telefone de pacientes, endereços, informações bancárias e financeiras, e registros de saúde, incluindo diagnósticos, prescrições e detalhes de tratamento. A empresa pagou um resgate de 22 milhões de dólares ao ALPHV/BlackCat no início de março na tentativa de conter a situação. O pagamento aparentemente encorajou os atacantes a atingir alvos de saúde em uma taxa ainda maior do que o habitual. Com notificações contínuas e em andamento para mais de 100 milhões de vítimas — com mais ainda sendo descobertas — processos judiciais e outras repercussões têm se acumulado. Este mês, por exemplo, o estado de Nebraska processou a Change Healthcare, alegando que “falhas em implementar proteções de segurança básicas” tornaram o ataque muito pior do que deveria ter sido.
O Ataque da Blizzard da Meia-Noite da Rússia à Microsoft
A Microsoft disse em janeiro que havia sido violada pelos hackers da “Blizzard da Meia-Noite” da Rússia em um incidente que comprometeu as contas de e-mail de executivos da empresa. O grupo está ligado à agência de inteligência estrangeira SVR do Kremlin e está especificamente vinculado ao APT 29 da SVR, também conhecido como Cozy Bear. Após uma intrusão inicial em novembro de 2023, os atacantes visaram e comprometeram contas de teste de sistema histórico da Microsoft, o que lhes permitiu acessar o que a empresa disse ser “uma porcentagem muito pequena das contas de e-mail corporativas da Microsoft, incluindo membros de nossa equipe de liderança sênior e funcionários em nossas funções de cibersegurança, jurídica e outras”. A partir daí, o grupo exfiltrou “alguns e-mails e documentos anexados”. A Microsoft disse que os atacantes pareciam estar procurando informações sobre o que a empresa sabia sobre eles — em outras palavras, a Blizzard da Meia-Noite fazendo reconhecimento sobre a pesquisa da Microsoft sobre o grupo. A Hewlett-Packard Enterprise (HPE) também disse em janeiro que havia sofrido uma violação de e-mail corporativo atribuída à Blizzard da Meia-Noite.
Dados Públicos Nacionais
A empresa de verificação de antecedentes National Public Data sofreu uma violação em dezembro de 2023, e os dados do incidente começaram a aparecer à venda em fóruns de cibercriminosos em abril de 2024. Diferentes configurações dos dados surgiram repetidamente ao longo do verão, culminando na confirmação pública da violação pela empresa em agosto. Os dados roubados incluíam nomes, números de Seguro Social, números de telefone, endereços e datas de nascimento. Como a National Public Data não confirmou a violação até agosto, a especulação sobre a situação cresceu por meses e incluiu teorias de que os dados incluíam dezenas ou até centenas de milhões de números de Seguro Social. Embora a violação tenha sido significativa, o verdadeiro número de indivíduos impactados parece ser, felizmente, muito menor. A empresa relatou em um arquivo para autoridades em Maine que a violação afetou 1,3 milhão de pessoas. Em outubro, a empresa-mãe da National Public Data, Jerico Pictures, entrou com pedido de reorganização de falência sob o Capítulo 11 no Distrito Sul da Flórida, citando investigações estaduais e federais sobre a violação, bem como uma série de processos judiciais que a empresa está enfrentando devido ao incidente.
Menção Honrosa: Roubo de Criptomoeda da Coreia do Norte
Muitas pessoas roubam muita criptomoeda a cada ano, incluindo cibercriminosos da Coreia do Norte que têm o mandato de ajudar a financiar o reino isolado. Um relatório da empresa de rastreamento de criptomoedas Chainalysis divulgado este mês, no entanto, destaca o quão agressivos os hackers apoiados por Pyongyang se tornaram. Os pesquisadores descobriram que em 2023, hackers afiliados à Coreia do Norte roubaram mais de 660 milhões de dólares em 20 ataques. Este ano, eles roubaram aproximadamente 1,34 bilhão de dólares em 47 incidentes. Os números de 2024 representam 20% do total de incidentes rastreados pela Chainalysis para o ano e impressionantes 61% dos fundos totais roubados por todos os atores.
A pura dominação é impressionante, mas os pesquisadores enfatizam a seriedade dos crimes. “Funcionários dos EUA e internacionais avaliaram que Pyongyang usa a criptomoeda que rouba para financiar seus programas de armas de destruição em massa e mísseis balísticos, colocando em risco a segurança internacional”, escreveu a Chainalysis.