Durante meses, os líderes ocidentais alertaram sobre o risco de um conflito militar na Ucrânia se espalhar para o resto do mundo. Seus temores podem ainda não ter se concretizado diretamente, mas vários governos da América Latina certamente começaram a sentir o impacto, pelo menos no ambiente virtual. Isso porque os grupos de crimes cibernéticos encorajados pelo momento geopolítico de instabilidade podem estar redefinindo seus alvos, o que tem tido implicações para governos em todos os lugares do planeta, em especial na América Latina.

No primeiro semestre de 2022, Costa Rica, Peru, México, Equador, Brasil e Argentina foram todos alvos de organizações ciber criminosas russas como Conti, ALPHV, LockBit 2.0 e BlackByte. Os alvos escolhidos tem um ponto em comum: todos condenaram publicamente a Rússia por invadir a Ucrânia e inclusive, alguns votaram pela suspensão do país no Conselho de Direitos Humanos da ONU. 

Vinculando ainda mais esses ataques de ransomware à Rússia, nota-se um aumento nos serviços de corretores de acesso inicial nas principais páginas da darkweb russas e em fóruns de acesso especial como XSS e Exploit. Eles têm anunciado métodos de acesso de rede comprometidas e de baixo custo especificamente relacionados a entidades latino americanas. 

Entre as organizações da região visadas por atores de ameaças estavam a Secretaria de Estado de Fazenda do Rio de Janeiro; o município de Quito no Equador; a Controladoria Geral do Peru e da Costa Rica. No caso dos costarriquenhos, uma emergência nacional foi declarada depois que o governo classificou um ataque recente como um ato de “ciberterrorismo”, desencadeando diversas ações no país.

Na prática, isso representa uma escalada significativa na gravidade dos ataques direcionados a entidades governamentais, juntamente com instituições de ensino K-12, ONGs e organizações de saúde. Os governos há muito tempo estão vulneráveis aos anseios de afiliações de ransomware que desejam comprometer dados, serviços e infligir a aplicação da lei como modo de retaliação a ações geopolíticas. 

Entretanto, essa postura parece ter se expandido drasticamente agora, o que pode ter implicações para os órgãos legisladores. Se esses grupos agora se sentirem capazes de atacar qualquer nação que critique à Rússia, poderá haver brevemente um aumento dramático nos incidentes globais.

A maioria das organizações visadas nesta primeira onda de ataques na América Latina parece ter sido atingida depois que os agentes de ameaças se apossaram de pares de credenciais e cookies de sessão comprometidos. Eles geralmente são obtidos por meio de infecções direcionadas de infostealer (uma espécie de malware) que decorrem de ataques phishing. Após adquirirem acesso, esses dados são posteriormente vendidos por corretores de acesso inicial. 

Esses fatores destacam a relativa imaturidade das posturas de cibersegurança na área pública e privada na região. Não obstante, o phishing de credenciais é um problema universal que teoricamente pode afetar qualquer organização, independentemente de sua postura de segurança. Os governos latino americanos – incluindo o Brasil – devem, à longo prazo, buscar programas de educação, treinamento e aprendizado para ajudar a construir habilidades, fechar as lacunas cibernéticas e atrair mais pessoas para o setor. 

Todavia, esse é apenas uma pequena parte da solução deste cenário assombroso. Enquanto isso, essas representações governamentais devem aumentar a resiliência contra ransomware por meio de uma série de etapas de práticas recomendadas. Eles vão desde a verificação de seu plano de resposta a incidentes, a validação de ferramentas como detecção de intrusão (IDS) e detecção e resposta de endpoint (EDR) que operam conforme necessário, por meio da segmentação de rede, da autenticação multifator e da correção aprimorada. 

O monitoramento de atividades de rede suspeitas pode revelar tentativas secretas de movimento lateral. Se esta é a nova realidade geopolítica, os representantes de governos ao redor da América do Sul e Central devem tomá-las como exemplo e aplicar medidas combativas, porque se não o fizerem, as coisas que já foram bastante intensas este ano, podem se ampliar ainda mais.