Agentes de ameaças, também conhecidos como agentes de ameaças cibernéticas ou agentes maliciosos, são indivíduos ou grupos que intencionalmente causam danos a dispositivos ou sistemas digitais. Os agentes de ameaças exploram vulnerabilidades em sistemas de computador, redes e software para perpetuar uma variedade de ataques cibernéticos, incluindo ataques de phishing, ransomware e malware.
Atualmente, existem muitos tipos de agentes de ameaças, todos com atributos, motivações, níveis de habilidade e táticas variados. Alguns dos tipos mais comuns de agentes de ameaças incluem hacktivistas, agentes de estados-nação, cibercriminosos, caçadores de adrenalina, agentes de ameaças internas e ciberterroristas.
À medida que a frequência e a gravidade dos crimes cibernéticos continuam crescendo, entender esses diferentes tipos de agentes de ameaças é cada vez mais crítico para melhorar a segurança cibernética individual e organizacional.
Obtenha insights para gerenciar melhor o risco de uma violação de dados com o mais recente relatório do custo das violações de dados.
Cadastre-se no X-Force Threat Intelligence Index
O termo agente de ameaças é amplo e relativamente abrangente, estendendo-se a qualquer pessoa ou grupo que represente uma ameaça à cibersegurança. Os agentes de ameaças são normalmente classificados em tipos diferentes com base em sua motivação e, em menor medida, em sua sofisticação.
Esses indivíduos ou grupos se comprometem principalmente com o ganho financeiro. Entre os crimes mais comuns que são cometidos por cibercriminosos estão ataques de ransomware e golpes de phishing que induzem as pessoas a fazer transferências de dinheiro ou divulgar informações de cartão de crédito, credenciais de login, propriedade intelectual ou outras informações privadas ou sensíveis.
Nações e governos frequentemente financiam agentes de ameaças com o objetivo de roubar dados, coletar informações confidenciais ou prejudicar a infraestrutura crítica de outro governo. Essas atividades maliciosas frequentemente envolvem espionagem ou guerra cibernética e tendem a ser altamente financiadas, tornando as ameaças complexas e difíceis de detectar.
Esses agentes de ameaças usam técnicas de hacking para promover agendas políticas ou sociais, como disseminar a liberdade de expressão ou revelar violações dos direitos humanos. Os hacktivistas acreditam que estão promovendo mudanças sociais positivas e pensam que isso justifica o fato de suas ações serem direcionadas a indivíduos, organizações ou agências governamentais para expor segredos ou outras informações confidenciais. Um exemplo bem conhecido de um grupo hacktivista é o Anonymous, um grupo de hackers internacional que afirma defender a liberdade de expressão na internet.
Os caçadores de adrenalina são precisamente o que o nome sugere: eles atacam computadores e sistemas de informação principalmente por diversão. Alguns querem ver a quantidade de informações ou dados confidenciais que podem roubar; outros querem usar o hacking para entender melhor como as redes e os sistemas de computador funcionam. Uma classe de caçadores de adrenalina, chamada de script kiddies, não tem habilidades técnicas avançadas, mas usa ferramentas e técnicas pré-existentes para atacar sistemas vulneráveis, principalmente por diversão ou satisfação pessoal. Apesar de não terem a intenção de causar danos, os caçadores de adrenalina ainda podem causar danos involuntários ao comprometer a cibersegurança de uma rede e criar oportunidades para futuros ciberataques.
Diferentemente da maioria dos outros tipos de agentes, a ameaça interna nem sempre têm intenções maliciosas. Alguns prejudicam suas empresas devido a erros humanos, como a instalação acidental de malware ou a perda de um dispositivo fornecido pela empresa, que um cibercriminoso encontra e utiliza para acessar a rede. Mas existem agentes internos maliciosos. Por exemplo, o funcionário descontente que abusa dos privilégios de acesso para roubar dados em busca de ganho monetário, ou causa danos aos dados ou aplicações em retaliação, por não ter sido promovido.
Ciberterroristas começam ciberataques politicamente ou ideologicamente motivados que ameaçam ou resultam em violência. Alguns ciberterroristas são agentes de governos, outros intervêm por conta própria ou em nome de um grupo não governamental.
Os agentes de ameaças frequentemente visam grandes organizações; porque elas têm mais dinheiro e dados mais sensíveis, oferecem o maior potencial de ganho.
No entanto, nos últimos anos, pequenas e médias empresas (PMEs) também se tornaram alvos frequentes de agentes de ameaça devido aos seus sistemas de segurança relativamente mais fracos. Na verdade, o FBI recentemente citou a preocupação com as taxas crescentes de crimes cibernéticos cometidos contra pequenas empresas, compartilhando que,somente em 2021, as pequenas empresas perderam US$ 6,9 bilhões com ataques cibernéticos, um aumento de 64% em relação ao ano anterior (link externo ao site ibm.com).
Da mesma forma, os agentes de ameaças visam cada vez mais indivíduos e famílias por quantias menores. Por exemplo, eles podem invadir redes domésticas e sistemas de computador para roubar informações pessoais de identidade, senhas e outros dados potencialmente valiosos e confidenciais. Na verdade, as estimativas atuais sugerem que uma em cada três famílias americanas com computadores estão infectadas por malware (link externo ao site ibm.com).
Os agentes de ameaças não estão discriminando. Embora tendam a buscar os alvos mais gratificantes ou significativos, eles também aproveitarão qualquer vulnerabilidade de segurança cibernética, não importa onde a encontrem, tornando o cenário de ameaça cada vez mais caro e complexo.
Os agentes de ameaças implementam uma mistura de táticas ao executar um ataque cibernético, confiando mais em umas do que em outras, dependendo de sua motivação principal, recursos e alvo pretendido.
Malware é um software malicioso que danifica ou desabilita computadores. O malware costuma ser espalhado por anexos de e-mail, sites infectados ou software comprometido e pode ajudar os agentes de ameaças a roubar dados, assumir o controle de sistemas de computador e atacar outros computadores. Os tipos de malware incluem vírus, worms e cavalos de Troia, que se camuflam como programas legítimos durante o download em computadores.
Ransomware é um tipo de malware que criptografa os dados ou dispositivos da vítima e ameaça mantê-los criptografados, ou pior, a menos que a vítima pague um resgate ao agente mal-intencionado. Hoje, a maioria dos ataques de ransomware são ataques de extorsão dupla que também ameaçam roubar os dados da vítima e vendê-los ou vazá-los na internet. De acordo com o IBM Security X-Force Threat Intelligence Index 2023, os ataques de ransomware representaram 17% de todos os ataques cibernéticos em 2022.
Ataques de grande escala (BGH) são campanhas de ransomware massivas e coordenadas que têm como alvo grandes organizações, incluindo governos, grandes empresas e provedores de infraestrutura crítica que têm muito a perder com uma interrupção, portanto são mais suscetíveis a pagar uma alta quantia de resgate.
Os ataques de phishing usam e-mails, mensagens de texto, mensagens de voz ou sites falsos para enganar os usuários e fazê-los compartilhar dados sensíveis, baixar malware ou se expor ao cibercrime. Os tipos de phishing incluem:
- Spear phishing, um ataque de phishing direcionado a um indivíduo específico ou a um grupo de indivíduos com mensagens que parecem vir de remetentes legítimos que têm alguma relação com o alvo.
- Comprometimento de e-mail empresarial, um ataque de spear phishing que envia à vítima um e-mail fraudulento a partir de uma conta de e-mail de um colega de trabalho que foi clonada ou sequestrada.
- Whale phishing, um ataque de spear phishing voltado especificamente para executivos de alto nível ou executivos corporativos.
O phishing é uma forma de engenharia social, uma classe de ataques e táticas que exploram sentimentos de medo ou urgência para manipular as pessoas em cometer outros erros que comprometem seus ativos pessoais, organizacionais ou sua segurança. A engenharia social pode ser tão simples quanto deixar um pendrive infectado com malware onde alguém o encontrará (porque "ei, um USB grátis!"), ou tão complexa quanto passar meses cultivando um relacionamento romântico à distância com a vítima para extorqui-la por passagens de avião para que possam "finalmente se encontrar".
Como a engenharia social explora a fraqueza humana em vez de vulnerabilidades técnicas, às vezes ela é chamada de "hacking humano".
Esse tipo de ciberataque funciona inundando uma rede ou servidor com tráfego, tornando-o indisponível para os usuários.Um ataque de negação de serviço distribuído (DDoS) utiliza uma rede distribuída de computadores para enviar tráfego malicioso, criando um ataque que pode sobrecarregar o alvo de forma mais rápida e difícil de detectar, prevenir ou mitigar.
Ameaças persistentes avançadas (APTs) são ataques cibernéticos sofisticados que se desenrolam ao longo de meses ou anos, em vez de horas ou dias. As APTs permitem que os agentes de ameaças operem de forma não detectada na rede da vítima, infiltrando sistemas de computador, realizando espionagem e reconhecimento, aumentando privilégios e permissões (chamados de movimento lateral) e roubando dados confidenciais. Como podem ser incrivelmente difíceis de detectar e relativamente caras de executar, as APTs são normalmente iniciadas por agentes de estados-nação ou outros agentes de ameaças bem financiados.
Um ataque de backdoor explora uma abertura em um sistema operacional, aplicação ou sistema de computador que não é protegida pelas medidas de cibersegurança de uma organização. Às vezes, a backdoor é criada pelo desenvolvedor de software ou fabricante de hardware para permitir atualizações, correções de bugs ou (ironicamente) correções de segurança, outras vezes, os agentes de ameaças criam suas próprias backdoors usando malware ou hackeando o sistema. As backdoors permitem que os agentes de ameaças entrem e saiam dos sistemas de computador sem serem detectados.
Os termos " agente de ameaças", " hacker " e " criminoso cibernético " são frequentemente usados de forma intercambiável, especialmente em Hollywood e na cultura popular. Mas há diferenças sutis nos significados de cada um e na relação entre eles.
Nem todos os agentes de ameaças ou cibercriminosos são hackers.Por definição, um hacker é alguém com habilidades técnicas para comprometer uma rede ou sistema de computador. No entanto, alguns agentes de ameaças ou cibercriminosos não realizam nada mais técnico do que deixar uma unidade USB infectada para alguém encontrar e usar, ou enviar um e-mail com malware anexado.
Nem todos os hackers são agentes de ameaças ou cibercriminosos. Por exemplo, alguns hackers, chamados hackers éticos, basicamente se disfarçam de cibercriminosos para ajudar organizações e agências governamentais a testar seus sistemas de computador em busca de vulnerabilidades a ameaças cibernéticas.
Certos tipos de agentes de ameaças não são cibercriminosos por definição ou intenção, mas sim na prática. Por exemplo, um aventureiro em busca de adrenalina que "se diverte" ao desligar a rede elétrica de uma cidade por alguns minutos, ou um hacktivista que extrai e divulga informações confidenciais do governo em nome de uma causa nobre, podem estar cometendo um crime cibernético, independentemente de sua intenção ou crença.
À medida que a tecnologia se torna mais avançada, o cenário de ameaças cibernéticas também se desenvolve. Para se manter um passo à frente dos agentes de ameaças, as organizações estão continuamente aprimorando suas medidas de cibersegurança e se tornando mais hábeis em relação à inteligência de ameaças. Algumas medidas que as organizações adotam para mitigar o impacto dos agentes de ameaças, se não detê-los completamente, incluem:
Treinamento de conscientização de segurança. Como os agentes de ameaças geralmente exploram o erro humano, o treinamento de funcionários é uma importante linha de defesa. O treinamento de conscientização de segurança pode abranger desde a não utilização de dispositivos não autorizados pela empresa até o armazenamento adequado de senhas e técnicas para reconhecer e lidar com e-mails de phishing.
Autenticação multi-fator e adaptativa. Implementar a autenticação de vários fatores (exigindo uma ou mais credenciais além de um nome de usuário e senha) e/ou autenticação adaptativa (exigindo credenciais adicionais quando os usuários fazem login em diferentes dispositivos ou locais) pode impedir que hackers obtenham acesso à conta de e-mail de um usuário, mesmo que eles possam roubar a senha de e-mail do usuário.
- Soluções de segurança de endpoint. Variam desde softwares antivírus, que detectam e bloqueiam malwares e vírus conhecidos, a ferramentas como soluções de detecção e resposta de endpoint (EDR), que usam inteligência artificial (IA) e análise de dados para ajudar as equipes de segurança a detectar e responder a ameaças que passam pelo software de segurança de endpoint tradicional.
- Tecnologias de segurança de rede. A tecnologia fundamental da segurança de rede é o firewall, que impede que o tráfego suspeito entre ou saia de uma rede e permite a passagem do tráfego legítimo. Outras tecnologias incluem sistemas de prevenção de intrusão (IPSs), que monitoram a rede em busca de possíveis ameaças e tomam medidas para interrompê-las, e detecção e resposta de rede (NDR), que usa IA, aprendizado de máquina e análise de dados comportamentais para ajudar os profissionais de segurança a detectar e automatizar respostas a ameaças cibernéticas.
Software de segurança empresarial. Essas soluções podem ajudar as equipes de segurança e os centros de operações de segurança (SOCs) a detectar e interceptar atividades incomuns ou maliciosas em todos os domínios da infraestrutura de TI - endpoints, e-mails, aplicações, redes e cargas de trabalho na nuvem. Elas incluem (mas não se limitam a) orquestração, automação e resposta de segurança (SOAR), gerenciamento de eventos e incidentes de segurança (SIEM) e detecção e respostas estendidas (XDR).
As organizações também podem realizar avaliações regulares de segurança para identificar vulnerabilidades no sistema. Normalmente, a equipe de TI interna é capaz de conduzir essas auditorias, mas algumas empresas as terceirizam para especialistas ou prestadores de serviços externos.Executar atualizações regulares de software também ajuda empresas e indivíduos a detectar e reforçar possíveis vulnerabilidades em seus computadores e sistemas de informação.
Detecte ameaças avançadas que outros não percebem. O QRadar SIEM usa a análise de dados e a IA para monitorar informações sobre ameaças, anomalias de comportamento da rede e dos usuários, e priorizar onde a atenção imediata e a remediação são necessárias.
A caça proativa a ameaças, o monitoramento contínuo e uma investigação aprofundada de ameaças são apenas algumas das prioridades enfrentadas por um departamento de TI que já está ocupado. Ter uma equipe confiável de resposta a incidentes pode reduzir seu tempo de resposta, minimizar o impacto de um ataque cibernético e ajudá-lo a se recuperar de forma mais rápida.
Para prevenir e combater ameaças modernas de ransomware, a IBM usa insights de 800 TB de dados de atividades de ameaças, dados de mais de 17 milhões de ataques de phishing e spam e dados de reputação em quase um milhão de endereços IP maliciosos de uma rede de 270 milhões de endpoints.
Ataques cibernéticos são tentativas de roubar, expor, alterar, desativar ou destruir ativos de terceiros por meio de acesso não autorizado a sistemas de computador.
Agora, em seu 17º ano, este relatório compartilha os últimos insights sobre o cenário de ameaças em expansão e oferece recomendações para economizar tempo e limitar perdas.
Ransomware é um malware que mantém os dispositivos e dados das vítimas como reféns até o pagamento de um regate.