"Sem precedentes". Ciberataques automatizados e IA agravam o cenário global de ameaças, alerta Fortinet
O mundo digital enfrenta uma alarmante realidade, conforme revela o Relatório Global sobre o Panorama de Ameaças 2025 da FortiGuard Labs, prestigiada equipa de cibersegurança da Fortinet. O estudo pormenorizado, divulgado terça-feira, aponta para um aumento recorde de ciberataques automatizados, impulsionados de uma forma sem precedentes pela Inteligência Artificial (IA) e pela proliferação do lucrativo modelo Cybercrime-as-a-Service (CaaS) na darknet. Esta evolução está a minar as defesas tradicionais e a forçar as organizações a uma reavaliação urgente das suas estratégias de cibersegurança.
Derek Manky, chief security strategist e vice-presidente global de Threat Intelligence nos FortiGuard Labs, é taxativo ao descrever a gravidade da situação. "Este relatório deixa uma mensagem clara: os cibercriminosos estão a acelerar os seus esforços, utilizando IA e automação para operar a uma escala e velocidade sem precedentes." O especialista adverte que "o modelo tradicional de defesa já não é suficiente", sublinhando a necessidade imperativa de as organizações adotarem "estratégias proativas e potenciadas por Inteligência Artificial, e que estejam assentes em princípios de zero trust, automação e gestão contínua da exposição a ameaças".
A análise aprofundada dos FortiGuard Labs revela que a exploração automatizada atingiu máximos históricos em 2024, com a análise ativa no ciberespaço a crescer 16,7% em todo o mundo, atingindo mil milhões de análises por mês, ou 36.000 scans por segundo. Esta atividade intensificada foca-se no mapeamento de serviços expostos, como SIP e RDP, e protocolos OT/IoT, como Modbus TCP.
Os cibercriminosos estão agora mais focados em identificar precocemente os alvos mais vulneráveis, capitalizando rapidamente as vulnerabilidades recém-descobertas através de scannings automatizados à escala global. A rapidez de ação dos atacantes é evidenciada pelo facto de uma vulnerabilidade em produtos Ivanti (CVE-2024-21887) ter sido explorada apenas seis dias após a sua divulgação. "Ferramentas como SIPVicious e ferramentas de scanning comerciais são transformadas em armas para identificar alvos fáceis antes que os patches possam ser aplicados, sinalizando uma mudança significativa na estratégia dos adversários", salienta o relatório.
A darknet emergiu como um centro nevrálgico para o cybercrime-as-a-service, oferecendo acesso simplificado a kits de exploração. Em 2024, os fóruns de cibercriminosos consolidaram-se como mercados sofisticados para este modelo, onde a oferta de vulnerabilidades disparou. Foram adicionadas mais de 40.000 novas vulnerabilidades à base de dados vulnerabilidades, um aumento de 39% em relação a 2023.
Além das vulnerabilidades zero-day que circulam na darknet, corretores estão a comercializar credenciais corporativas (20%), acesso RDP (19%), páginas de administração (13%) e shells da web (12%). Um dado particularmente preocupante é o aumento de 500% nos registos de sistemas comprometidos por malware infostealer, com 1,7 mil milhões de credenciais roubadas partilhadas nestes fóruns clandestinos. Infostealers como Redline (60%), Vidar (27%) e Racoon (12%) são os mais comuns, sendo o Redline notável pela sua acessibilidade (vendido por apenas 150 dólares) e pela capacidade de roubar credenciais de múltiplos tipos de aplicações.
IA facilita o crime
A IA está a impulsionar a cibercriminalidade a uma velocidade assustadora. Os agentes maliciosos utilizam a IA para aprimorar a autenticidade dos ataques de phishing e contornar os controlos de segurança convencionais, tornando os ciberataques não só mais eficazes como também mais difíceis de detetar. Ferramentas como FraudGPT, BlackmailerV3 e ElevenLabs estão a potenciar campanhas mais escaláveis, credíveis e eficazes, sem as restrições éticas inerentes às ferramentas de IA publicamente disponíveis. A IA é utilizada para gerar malware, vídeos deepfake, websites de phishing e vozes sintéticas.
O relatório destaca que "o crescente mercado de cibercrime está a prosperar com vitórias baratas e acessíveis", e que "a IA já está a baixar a barreira de entrada para aspirantes a cibercriminosos, aumentando o acesso às táticas e inteligência necessárias para executar ataques, independentemente do conhecimento técnico do adversário".
Setores críticos como a indústria transformadora (17%), os serviços às empresas (11%), a construção (9%) e o retalho (9%) foram os mais visados em 2024, sofrendo um aumento de ciberataques personalizados. Tanto atores de Estados-nação como operadores de ransomware-as-a-service (RaaS) concentraram os seus esforços nestas verticais, com os Estados Unidos (61%) a suportar o maior volume de ataques, seguidos pelo Reino Unido (6%) e Canadá (5%).
Os ambientes cloud e os dispositivos IoT (Internet of Things) continuam a ser alvos preferenciais. Vulnerabilidades persistentes, como buckets de armazenamento abertos, identidades com permissões excessivas e serviços mal configurados, são amplamente exploradas. Em 70% dos incidentes observados, os atacantes obtiveram acesso através de logins de geografias desconhecidas, destacando a importância crítica da monitorização de identidade na defesa da cloud.
Dispositivos IoT, como routers e câmaras, representaram mais de 20% de todas as tentativas de exploração registadas, sendo frequentemente utilizados para botnets e acesso persistente. Os routers da Netcore, TP-Link e D-Link são os mais visados, e as câmaras de vigilância permanecem alvos atrativos para espionagem ou recrutamento de botnets, de acordo com o relatório. "As configurações incorretas da cloud continuam a ser o calcanhar de Aquiles", refere o estudo da Fortinet, acrescentando que "os buckets de armazenamento abertos e as identidades com permissões excessivas continuam a ser os principais vetores de ataque".
Moeda de troca: credenciais
As credenciais tornaram-se a moeda de troca do cibercrime. Em 2024, mais de 100 mil milhões de registos comprometidos foram partilhados em fóruns clandestinos, um aumento de 42% em relação ao ano anterior, impulsionado, em grande parte, pelo crescimento de "listas combinadas" que contêm nomes de utilizador, palavras-passe e endereços de e-mail roubados. Mais de metade das publicações na darknet envolviam bases de dados com fugas de informação, permitindo aos cibercriminosos automatizar ataques de roubo de credenciais em grande escala.
Grupos como BestCombo (20%), Bloddy Mery (12%) e Valid Mail (12%), ao empacotarem e validarem estas credenciais, estão a facilitar a entrada de criminosos menos experientes, fomentando um aumento nas aquisições de contas, fraudes financeiras e espionagem empresarial.
Para combater esta realidade, o relatório da Fortinet fornece um "CISO Playbook for Adversary Defense", que insta as organizações a transitarem de uma deteção tradicional de ameaças para uma gestão contínua da exposição a ameaças (CTEM). Esta abordagem proativa prioriza a gestão contínua da superfície de ataque, a emulação de comportamentos de adversários, a priorização da remediação baseada no risco e a automação das respostas de deteção e defesa.
O grupo especializado em cibersegurança recomenda a realização de exercícios de emulação de adversários, testes com equipas red e purple teaming e a utilização do MITRE ATT&CK para testar defesas contra ameaças como ransomware e espionagem. É crucial a implementação de ferramentas de gestão da superfície de ataque (ASM) para detetar ativos expostos e credenciais comprometidas, bem como a monitorização contínua de fóruns da darknet para identificar ameaças emergentes. A priorização das vulnerabilidades de alto risco, focando-se naquelas ativamente discutidas por grupos de cibercrime e utilizando frameworks como EPSS e CVSS, é fundamental para uma gestão eficaz de patches. Por fim, o aproveitamento de informações retiradas da darkweb para monitorizar mercados clandestinos e atividades de hacktivismo permite mitigar proativamente ameaças como ataques DDoS e defacement de websites.
A Fortinet é uma empresa líder global em cibersegurança, com um portefólio com mais de 50 produtos de nível empresarial. Tem mais de meio milhão de clientes em todo o mundo.
