Cenário de ameaças à segurança cibernética dos países africanos 2022-2023

A África é uma região onde a economia encontra-se na fase de crescimento rápido. Os países africanos têm um potencial enorme, mas a digitalização está ocorrendo no ritmo mais acelerado do que a implementação das leis e regulamentos de cibersegurança. O aumento na frequência e sofisticação dos ciberataques ameaça a segurança da infraestrutura crítica de informações, e a incapacidade de deter as ameaças cibernéticas leva a consequências graves para usuários, empresas e desenvolvimento socioeconômico de a região toda. Na nossa pesquisa, examinamos os principais desafios de cibersegurança da África e as maneiras de construir um ambiente digital resiliente e seguro.

Introdução

A África é uma região com um rápido desenvolvimento econômico. Ao longo das duas últimas décadas, o PIB agregado da região registrou um aumento de mais de cinco vezes, indo de USD 695,88 bilhões em 2002 para USD 2,98 trilhões em 2022. A previsão de crescimento do PIB para 2023 está estimada em 3 a 4%, e a previsão é de que supere USD 4 trilhões até 2027. A evolução das economias do continente evidencia o vasto potencial da região, contribuindo para um aumento na demanda por serviços de Internet e digitais.

Ao mesmo tempo , o desenvolvimento da esfera digital na região superou a evolução das leis e regulamentos referentes à cibersegurança. O aumento na ocorrência e na complexidade dos ataques cibernéticos na região africana coloca em risco a integridade das estruturas críticas de informação e exigem ações urgentes para reforçar os mecanismos de segurança. A falha em combater ameaças cibernéticas pode ter consequências graves para indivíduos, empresas e o desenvolvimento socioeconômico de todo o continente. Neste relatório , nós iremos examinar os principais desafios da cibersegurança na região africana e explorar métodos viáveis para estabelecer um ambiente digital seguro e resiliente.

Resumo

  • O ambiente digital na região africana está encontrando-se em transformação rápida, mas a ausência de medidas adequadas para garantir a cibersegurança, um arcabouço legislativo deficiente na área de segurança da informação e um baixo grau de consciência pública sobre as questões de cibersegurança estão levando a o crescimento no número de ameaças cibernéticas.
  • A falta de preparo do continente africano para enfrentar os riscos cibernéticos custa aos países afetados, em média, 10% do Produto Interno Bruto.
  • As instituições financeiras são o alvo principal dos ataques cibernéticos. Aproximadamente um a cada cinco (18%) ataques direcionados às empresas desse setor são bem-sucedidos. Via de regra , a motivação dos criminosos é o lucro financeiro. Companhias de telecomunicações também são alvo de um número significativo de ameaças (13%) Devido a quantidade de clientes que cresce constantemente, tornando-as alvos atraentes para roubo de dados e chantagem.
  • O uso de ransomware continua sendo uma das ameaças mais graves na região. Um dos principais vetores de distribuição é o comprometimento de computadores, servidores e equipamentos de rede (74%). Isso sinaliza um nível insuficiente de segurança das empresas, incluindo vulnerabilidades no perímetro da rede e erros de configuração em serviços de acesso público.
  • Os ataques que utilizam engenharia social, incluindo comprometimento de e-mail empresarial (BEC), são a ameaça cibernética principal para as empresas e usuários. Mais da metade dos grupos que conduzem ataques BEC realiza suas operações na África e está familiarizada com as características da região.
  • Nos fóruns clandestinos, é comum encontrar criminosos cibernéticos comprando e vendendo acesso às redes de entidades africanas importantes, como instituições públicas e financeiras, empresas comerciais e de TI. O custo médio de acesso com permissões de administrador de domínio é de aproximadamente US$ 300, enquanto o acesso com permissões de administrador local custa cerca de US$ 170. Além disso, nesses mercados ilegais, os criminosos disponibilizam e oferecem a venda de bancos de dados com as informações sobre os funcionários e clientes de várias empresas.
  • As empresas do continente africano regularmente sofrem de ataques DDoS, especialmente as instituições públicas e financeiras. Esses ataques costumam ser conduzidos por ativistas hacker.
  • Tanto os ativistas hacker quanto os grupos criminosos organizados atuam na região, ambos buscam ganhos financeiros ou envolvem-se em espionagem cibernética. As dificuldades financeiras incentivam a geração mais nova a procurar maneiras de ganhar dinheiro rápido. E a entrada cada vez mais acessível ao mundo do crime cibernético faz com que isso seja uma opção cada vez mais atraente.
  • A ausência de cooperação internacional eficaz e da troca de informações entre os países africanos criam um obstáculo na luta contra o crime cibernético.
  • As recomendações para os governos que visam reforçar a cibersegurança incluem o desenvolvimento de políticas e estratégias a nível nacional no campo da segurança da informação, formando a regulamentação legislativa para a proteção de dados pessoais e, protegendo infraestruturas críticas de informação, estabelecendo as equipes nacionais de resposta a incidentes cibernéticos. Além disso, é fundamental fortalecer a cooperação internacional para garantir a segurança cibernética.
  • Para fortalecer a resiliência digital, as empresas devem identificar os eventos não toleráveis, proteger seus ativos críticos e responder às ameaças cibernéticas com as ferramentas de segurança avançadas, além de avaliar a eficácia das medidas implementadas e treinar seus funcionários. Investir no desenvolvimento de especialistas em cibersegurança e participar de treinamentos respectivos também terá um papel crucial na melhoria da cibersegurança das empresas africanas.

Transformação digital e desafios de cibersegurança na região

Nos últimos anos, a África vivenciou uma rápida disseminação de tecnologias digitais, especialmente nos setores de finanças digitais e comércio eletrônico. A pandemia de COVID-19 também contribuiu para isso, exigindo a possibilidade de disponibilizar trabalho remoto para muitos funcionários. Em 2021, 43% da população africana (612 milhões de pessoas) tinha acesso à Internet.

Além disso, há um grande potencial tecnológico no continente africano, na maior parte devido à parcela predominante da população jovem: aproximadamente 60% dos africanos em 2020 tinham menos de 25 anos de idade. Esse fator estimula o uso de novas tecnologias. Conforme o estudo de 2021 feito pela GSMA, o número de clientes de telefonia móvel na África Subsaariana alcançará 615 milhões até 2025. Além disso, as estimativas indicam que o número de usuários de Internet na região ultrapassará 1 bilhão de pessoas até 2023. A Estratégia de Transformação Digital para a África visa garantir que todo morador da região tenha acesso estável à Internet até 2030.

Os principais setores da economia, como finanças, educação, agricultura, administração pública, segurança e indústria, não apenas estão adotando as tecnologias digitais, mas também procuram transferir as operações para os ambientes virtuais. Alinhados com a Estratégia de Transformação Digital da África, os princípios fundamentais como cibersegurança e proteção de dados pessoais são intrínsecos da execução do projeto na transformação digital. Entretanto, a difusão generalizada de tecnologia, aliada às deficiências em segurança cibernética, à falta de regulamentação eficaz sobre segurança da informação e à conscientização insuficiente do público sobre a proteção de dados, forma um cenário favorável para a atividade de criminosos cibernéticos. Além disso, muitos países africanos lidam com os obstáculos econômicos que dificultam que o orçamento suficiente seja destinado à segurança cibernética.

Recentemente, acompanhamos um salto notável na quantidade global de crimes cibernéticos. Segundo as informações que obtivemos, a soma total de ciberataques bem-sucedidos ampliou-se em mais do que o dobro nos cinco anos passados. Essa tendência no crescimento da quantidade dos ataques cibernéticos também pode ser observada nos países africanos. No segundo trimestre de 2023, a África registrou o maior número médio de ciberataques semanais por empresa, o que representa um aumento de 23% em relação ao mesmo período de 2022. Os ciberataques podem desencadear eventos intoleráveis nas empresas provadas e instituições públicas, como a paralisação de operações, roubo de ativos financeiros em larga escala e divulgação de dados sigilosos. Os prejuízos financeiros provenientes de ciberataques são significativos e, de acordo com os dados da ECA (UNECA: Comissão Econômica das Nações Unidas para a África) em 2022, a falta de preparo para lidar com as ameaças cibernéticas custou aos países africanos uma média de 10% do seu PIB.

Entre os problemas mais graves que assolam o continente africano, está o déficit presente nas infraestruturas voltadas para a segurança de informação. Cerca de 90% das empresas africanas funcionam sem protocolos de cibersegurança, o que as torna alvos fáceis para os criminosos cibernéticos. Os profissionais identificam a necessidade de reformular a abordagem em relação à cibersegurança do continente africano no atual cenário da transformação digital.

Grande parte dos países africanos ainda não desenvolveu uma legislação capaz de cobrir todos os aspectos de segurança da informação, o que dificulta o combate eficaz às ameaças cibernéticas e complica a adoção e a aplicação de medidas de cibersegurança. Até o momento, apenas 39 dos 54 países africanos implementaram legislação de cibersegurança, e dois estão em fase de elaboração. A adesão a políticas e regulamentos de cibersegurança em todo o continente é de 72%, o nível mais baixo do mundo. Apenas 14 países ratificaram a Convenção da União Africana de Segurança Cibernética e Proteção de Dados Pessoais.

De acordo com a pesquisa feita pela KPMG, cerca de 75% das empresas africanas entrevistadas afirmaram ter estratégias de cibersegurança que são atualizadas regularmente ou elaboradas de acordo com o perfil de ameaças da empresa, com os indicadores de performance mensuráveis. Ao mesmo tempo, 78% dos responsáveis pelos setores de TI consideram que suas empresas não estão aptas para resistir a ataques digitais , mesmo com o investimento em soluções de segurança crescente. Uma outra dificuldade enfrentada é a carência de profissionais qualificados em segurança cibernética: de acordo com os dados de 2020 , o déficit na área era estimado de ao menos 100 mil especialistas certificados.

Com a crescente disponibilidade da Internet na África, um aumento nas atividades de redes internacionais de crimes cibernéticos organizados na região é de se esperar. Além disso, com o alto índice de desemprego, os jovens podem acabar unindo-se aos grupos de cibercriminosos já existentes para ganhar dinheiro de forma rápida. A combinação de vários fatores, como a falta de conhecimento sobre cibersegurança por parte da população em geral, a insuficiência das medidas para enfrentar os ataques nas empresas e a falta de cooperação eficaz entre as forças de segurança em diferentes países faz com que os países da região mais avançados em termos digitais sejam alvos atraentes para os invasores.

Vítimas e consequências dos ataques

Os principais alvos dos invasores

No período de começo de 2022 e a primeira metade de 2023, entre os diversos setores da economia, as instituições que mais sofreram ataques pertenciam ao setor financeiro (18% de todos os ataques contra empresas), seguido de companhias de telecomunicações (13%), instituições públicas (12%), e setor de comércio (12%) e indústria (10%).

Os tipos de empresas e instituições vítimas de cibercrime
Figura 1. Os tipos de empresas e instituições vítimas de cibercrime
Gráfico


15% dos ataques bem-sucedidos foram direcionados a usuários

 

Ataques cibernéticos (o estudo contabilizou apenas ataques bem-sucedidos (incidentes) que causaram prejuízos para uma determinada empresa ou alguma pessoa em particular) visaram grandes corporações, como a Flutterwave, a TransUnion e a sede da Porsche na África do Sul, assim como a Eskom e a Companhia de Eletricidade de Gana, a ECG. Os cibercriminosos também miraram as estruturas públicas importantes, como o Banco de Zâmbia, vários ministérios da Uganda e as instituições públicas na Etiópia e no Senegal.

GráficoAtaques direcionados representam 68% dos ciberataques bem-sucedidos. Nesses casos, os responsáveis por ataques tinham o foco voltado a alguma empresa ou setor específico.

As repercussões desses ataques afetam as regiões inteiras

Na maioria das vezes, o objetivo dos ataques era obter as informações confidenciais: 38% das empresas passaram por essa experiência. Muitas vezes, as ações criminosas causaram perturbações nas operações organizacionais: por exemplo, em cada terceiro ataque bem-sucedido, as principais atividades das empresas foram interrompidas (35%). 7% de incidentes resultaram em perdas financeiras diretas.

As consequências dos ataques (porcentagem de ataques bem-sucedidos)
Figura 2. As consequências dos ataques (porcentagem de ataques bem-sucedidos)

O impacto desses de ciberataques bem-sucedidos pode variar drasticamente. Eles podem afetar somente um indivíduo ou impactar o funcionamento de setores ou até regiões inteiras. Os riscos que podem tornar-se devastadores para as empresas variam conforme o contexto. No setor bancário, esses riscos podem envolver os roubos em grande escala ou fraudes direcionados aos usuários. Já para as indústrias, as interrupções dos processos tecnológicos trariam consequências graves para a população.

Informações.  Um evento não tolerável  acontece em consequência de um ataque cibernético, impede a empresa alcançar suas metas operacionais e estratégicas ou causa uma interrupção prolongada de atividades principais.

Setor financeiro

O setor financeiro é o mais visado por criminosos, com 18% de todos os ataques direcionados a empresas que fazem parte dele. Isso ocorre porque os criminosos buscam principalmente o lucro financeiro. E quando esse aspecto é combinado com a segurança relativamente frágil da empresa, ela acaba virando alvo altamente atraente. Além disso, as empresas financeiras armazenam grande volume de dados sobre os seus clientes, incluindo as informações de pagamento, o que possibilita aos invasores utilizar as informações roubadas para os ataques subsequentes direcionados já aos usuários.

Uma das principais campanhas voltadas contra às empresas financeiras foi identificada por especialistas no outono de 2022. O grupo francês OPERA1ER, que atua desde 2016 e é conhecido por vários nomes como DESKTOP-GROUP, Common Raven, NXSMS ou Bluebottle, tem motivação mormente financeira e esteve bastante ativo no período de 2018 a 2022. O foco principal dos ataques desse grupo era direcionado aos portais de pagamento e ao sistema de transações bancárias internacionais SWIFT. Entre as vítimas do grupo estão mais de dez países africanos, como Costa do Marfim, Nigéria, Senegal e Uganda. Utilizando as técnicas de spear phishing e diversos tipos de malwares, geralmente de código aberto, eles realizaram mais de 35 ataques bem-sucedidos e roubaram pelo menos US$ 11 milhões de bancos e fornecedores de serviços de telecomunicação em vários países, sendo os bancos africanos os mais atingidos. O prejuízo total ocasionado pelos ataques foi estimado em US$ 30 milhões. Em geral, os criminosos almejavam contas de operadores que tinham acesso a grandes volumes de capital. Depois, as credenciais roubadas eram utilizadas para realizar as movimentações financeiras.

Outro caso veio à tona neste verão: os membros de um grupo criminoso foram capturados após invadir mais de mil contas bancárias de clientes na Nigéria. Os suspeitos confessaram usar o software especializado para invadir contas de clientes e realizar as transferências monetárias discretas de qualquer banco. Este ataque destaca o quanto é importante para os bancos e outras entidades financeiras garantirem a segurança da sua infraestrutura e eliminarem as vulnerabilidades nos processos corporativos e software utilizado. Essa medida tem o propósito de proteger não somente a empresa em si, mas também os seus clientes.

Os líderes do setor financeiro reconhecem a gravidade das ameaças cibernéticas. Segundo o levantamento de 2023 do Africa Financial Industry Barometer, os riscos ligados à cibersegurança lideram a lista de preocupações no ramo dos serviços financeiros pela segunda vez seguida. Aproximadamente 97% dos executivos das instituições financeiras de grande porte  no continente africano enxergam o crime cibernético como uma ameaça significativa, tanto quanto as condições macroeconômicas e instabilidade política e social. O crescente número e a complexidade dos ciberataques estão tornando a segurança digital a prioridade absoluta para as instituições financeiras. Os bancos e as outras instituições do setor são os que mais empregam os profissionais em segurança digital, mas somente 24% das empresas consideram ter recursos suficientes para combater os ataques.

Telecomunicações

O setor de telecomunicações é o segundo mais visado por criminosos digitais, e isso tem um motivo: o aumento expressivo no número de clientes das operadoras de telecomunicações potencializa as chances de ataques com efeitos devastadores tanto para as empresas específicas quanto para as regiões inteiras. O aumento no número de clientes também resulta em uma maior quantidade de informações dos usuários, abrangendo tanto dados pessoais e de pagamento quanto as informações sobre as conexões. Os criminosos atacam as empresas para roubar dados de usuários, além disso para interromper as atividades operacionais e exigir um resgate pela restauração dos sistemas.

Em fevereiro de 2023, o provedor de serviços de Internet RSAWEB foi atacado por criminosos cibernéticos. Os invasores criptografaram os dados da empresa e exigiram um resgate para realizar a decodificação. O ataque resultou em uma grande interrupção dos serviços da RSAWEB, deixando alguns clientes sem acesso à internet durante vários dias. Os profissionais acreditam que a empresa foi alvo de um ataque em larga escala focado no software VMware ESXi. As agências de segurança cibernética do mundo inteiro já tinham feito as alertas sobre os ataques que estavam focando servidores VMware ESXi desatualizados. Supõe-se que os invasores tenham explorado a vulnerabilidade CVE-2021-21974 para executar seus ataques.

Verificação. É imprescindível que as empresas implementem as estratégias para impedir a exploração de vulnerabilidades e a ocorrência de eventos não toleráveis. Para atingir tal objetivo, recomendamos focar na gestão de vulnerabilidades existente dentro da empresa. Isso contribuirá ao diagnóstico rápido as fragilidades em ativos críticos e, ao mesmo tempo, à eliminação das vulnerabilidades frequentemente exploradas por invasores, antes que essas causem estragos significativos à empresa.

Instituições públicas

Os órgãos públicos sempre foram um alvo ppreferido dos invasores: segundo nossa pesquisa, os ataques às instituições públicas representaram 17% dos ataques bem-sucedidos contra empresas e instituições no mundo todo em 2022. Como parte integral da infraestrutura das cidades, essas instituições são frequentemente visadas por ativistas hacker. Outra questão relevante é que as instituições públicas armazenam os dados da população.

Na primavera, um ataque foi efetuado pelo grupo BlackCat, também conhecido como ALPHV. Esse grupo distribui o ransomware com o mesmo nome, além de oferecê-lo sob o modelo de "ransomware como serviço " (RaaS). As empresas em setores como indústria, comércio, transporte, seguros, serviços, telecomunicações, assim como instituições públicas e de saúde, já tornaram-se suas vítimas. Dessa vez, a rede interna da sede da União Africana foi paralisada, os invasores conseguiram disseminar malwares em mais de 200 computadores. Esse incidente deu-se dez dias após o encerramento da cúpula anual da organização, que reúne os líderes dos países do continente. Se os invasores tivessem agido antes, uma ocasião tão crucial para a União Africana poderia ter sido comprometida. A restauração dos sistemas demandou a intervenção especializada de profissionais da Interpol, Afripol e do Banco Africano.

Setor comercial

Em ataques contra às empresas comerciais, os invasores normalmente visam roubar dados de consumidores, incluindo as informações pessoais e financeiras. Em regiões africanas, os criminosos cibernéticos conseguiram furtar as informações confidenciais em 86% dos ataques bem-sucedidos contra as empresas do setor comercial.

Em maio do ano passado, cibercriminosos conseguiram roubar cerca de 3,7 milhões de fichas de clientes de uma rede de farmácias reconhecida Dis-Chem Pharmacies. Nesse caso, os criminosos obtiveram acesso aos dados para violar um provedor de serviço terceirizado. Em nossa pesquisa sobre as ameaças cibernéticas atuais que estão assolando o mundo, com frequência encontramos os relatos de ataques bem-sucedidos contra empresas, em que os criminosos conseguiram comprometer a cadeia de fornecimento ou canais de comunicação confiáveis. Conforme os dados que obtivemos, em 2022, esse método foi aplicado em 4% dos ataques bem-sucedidos a empresas ao redor do mundo e foi especialmente frequente no setor comercial, representando 8% dos ataques contra o segmento. Dois em cada três ataques bem-sucedidos que tiveram origem no comprometimento da relação de confiança culminaram em divulgação de informações confidenciais, e quatro em dez situações levaram a interrupção nas operações principais da empresa.

Verificação.Ao criar as medidas de proteção contra os ciberataques, é extremamente importante não apenas considerar a segurança da sua própria empresa, mas também a de parceiros, fornecedores e contratados. Recomendamos estabelecer os critérios de segurança da informação para seus parceiros que sejam tão rigorosos quanto os aplicados à sua própria infraestrutura.

Indústria

Ataques cibernéticos são direcionados ao setor industrial em virtude da relevância dos processos tecnológicos e do grande alcance de seus impactos, seja em empresas específicas ou indústrias, regiões e até países inteiros. A adoção das tecnologias avançadas e o uso de serviços e software ampliam as oportunidades para os invasores encontrarem uma forma de invadir a empresa e provocar um evento não tolerável.

No outono de 2022, em decorrência de um ataque contra a companhia elétrica de Gana (ECG), os consumidores do maior fornecedor de energia elétrica do país ficaram esem acesso à eletricidade. Uma parte da população enfrentou cortes de energia durante dias, causados pela desestabilização de alguns sistemas operacionais.

Os ciberataques bem-sucedidos podem resultar em cortes de energia em até regiões inteiras. Por exemplo, ainda em 2021, um ataque contra o fornecedor de eletricidade Ghana Grid Company Limited (GRIDCo) no oeste africano deixou a população de Gana sem energia elétrica durante 5 dias.

Quem e como está atacando a África e como

Alvos e métodos dos ataques

Em ataques contra empresas e instituições, com mais frequência os criminosos têm como alvo mais computadores, servidores e equipamentos de rede (85%). 15% dos ataques foram direcionados aos recursos web; nesses casos, os invasores frequentemente conseguem realizar ataques DDoS bem-sucedidos.

Os alvos dos ataques (porcentagem de ataques bem-sucedidos)
Figura 3. Os alvos dos ataques (porcentagem de ataques bem-sucedidos)

Malwares foram utilizados em quatro de cada cinco ataques bem-sucedidos contra empresas. Um em cada dois incidentes (52%) foi caracterizado pelo uso de engenharia social. Em 37% dos ataques bem-sucedidos, houve a exploração de vulnerabilidades e, em 10% dos casos, os invasores conseguiram acessar os recursos da empresa através do comprometimento de credenciais.

Os métodos dos ataques (porcentagem de ataques bem-sucedidos)
Figura 4. Os métodos dos ataques (porcentagem de ataques bem-sucedidos)

Em ataques a usuários, sendo a engenharia social permanece como método mais frequente (91%), acompanhada por do uso de diversas categorias de malware (45%). Em 9% dos ataques bem-sucedidos, os criminosos cibernéticos conseguiram afetar a cadeia de fornecimento. Por exemplo, o Lemon Group, descoberto por pesquisadores da Trend Micro, infectou mais de 9 milhões de dispositivos Android para realizar atividades fraudulentas. Os profissionais acreditam que, neste caso, os invasores foram capazes de comprometer a cadeia de fornecimento do software.

Malwares

Na maioria das vezes, diversos tipos de malware foram utilizados em um só ataque. Os mais comuns são as ferramentas de acesso remoto maliciosas (RATs, que correspondem a 54% dos ataques contra empresas e instituições), ransomware (33%), loaders (31%) e spyware (27%).

Os tipos de malware (porcentagem de ataques bem-sucedidos com malware contra empresas e instituições)
Figura 5. Os tipos de malware (porcentagem de ataques bem-sucedidos com malware contra empresas e instituições)

Nos ataques a organizações, os invasores disseminavam malware principalmente através de e-mails com anexos maliciosos. Os sistemas também eram infectados com malware quando os recursos da organização eram comprometidos, por exemplo, ao explorar vulnerabilidades no perímetro da rede. No caso de indivíduos, o malware geralmente era introduzido em seus dispositivos por meio de sites fraudulentos, e-mails e redes sociais.

Os métodos de distribuição de malware em ataques bem-sucedidos contra empresas e instituições
Figura 6. Os métodos de distribuição de malware em ataques bem-sucedidos contra empresas e instituições
Os métodos de distribuição de malware em ataques bem-sucedidos contra usuários
Figura 7. Os métodos de distribuição de malware em ataques bem-sucedidos contra usuários

A preferência pelos ataques com o uso de malware na África também sofre a influência da Dark Web, lá, onde os diversos malwares são vendidos e, em alguns casos, até fornecidos gratuitamente por cibercriminosos . Por exemplo, um dos anúncios oferecia à venda o ransomware Hive, usado em um ataque contra o Banco da Zâmbia em maio de 2022.

Um outro malware de controle remoto conhecido como Venom RAT pode ser alugado por um mês ou um ano. Para uma licença anual, os criminosos cobram US$ 1.5 mil enquanto o uso do malware por um mês custa US$ 350. Postagens sobre acesso gratuito ao código-fonte de diversas famílias de malware, incluindo o trojan de acesso remoto chamado BlackNET, também foram encontradas. É relevante mencionar que o software malicioso em questão foi empregado pelo grupo conhecido como OPERA1ER. Na maioria das vezes, os invasores conseguiam obter o primeiro acesso ao sistema por meio de mensagens de phishing e, em seguida, distribuíam uma variedade extensa de software malicioso como Netwire, BitRAT, AgentTesla, Remcos e Neutrino.

Um anúncio com link gratuito para um repositório de malwares
Figura 8. Um anúncio com link gratuito para um repositório de malwares

Ransomware

Um terço dos ataques com malware direcionados a empresas e instituições usaram ransomware. As vítimas mais frequentes eram empresas do setor de comércio (25%), seguidas pelo setor industrial (19%) e financeiro (13%).

A divisão dos incidentes de ransomware de acordo com o segmento industrial
Figura 9. A divisão dos incidentes de ransomware de acordo com o segmento industrial

O método mais comum de distribuição de ransomware é a infecção de computadores, servidores e equipamentos de rede (74%). Isso sinaliza um nível insuficiente de segurança das empresas, incluindo as vulnerabilidades no perímetro da rede e erros de configuração em serviços de uso público. Vale mencionar que muitas vezes os operadores de ransomware adquirem as credenciais das empresas já invadidas através de intermediários especializados.

Os métodos de distribuição de ransomware em ataques bem-sucedidos contra empresas e instituições
Figura 10. Os métodos de distribuição de ransomware em ataques bem-sucedidos contra empresas e instituições

Espionagem cibernética e vazamento de dados

Nos ataques bem-sucedidos contra empresas e instituições, os invasores buscavam roubar dados pessoais (28% do total de informações roubadas), segredos comerciais (26%) e credenciais de acesso (23%). Muitas vezes, as informações confidenciais foram roubadas de empresas financeiras e comerciais.

Em ataques voltados a usuários, credenciais (40%), informações pessoais (27%) e dados de pagamento (13%) foram os dados violados com maior frequência.

Em vários incidentes, as informações confidenciais foram roubadas como parte de uma campanha de espionagem cibernética. Os criminosos também marcam a influência da Dark Web, em que se divulgam os bancos de dados de colaboradores e clientes das empresas. Esses arquivos contêm os dados pessoais como nomes completos, endereços, números de telefone e endereços de e-mail.

Os tipos de dados roubados em ataques bem-sucedidos contra empresas e instituições
Figura 11. Os tipos de dados roubados em ataques bem-sucedidos contra empresas e instituições
Os tipos de dados roubados em ataques bem-sucedidos contra usuárious
Figura 12. Os tipos de dados roubados em ataques bem-sucedidos contra usuárious

Por exemplo, no início de 2023, os criminosos cibernéticos divulgaram publicamente as informações do banco de dados de estudantes da Universidade Ahmed Ben Bella (Oran 1). Os dados incluíam os endereços de e-mail, nomes, números de telefone e endereços de mais de 50 mil estudantes.

A divulgação das informações do banco de dados da Universidade Ahmed Ben Bella (Oran 1) no Telegram
Figura 13. A divulgação das informações do banco de dados da Universidade Ahmed Ben Bella (Oran 1) no Telegram

Além disso, os criminosos cibernéticos vendem dados. As informações obtidas são utilizadas para realização de fraudes e em estratégias de espionagem cibernética. Por exemplo, houve um anúncio que oferecia um banco de dados com endereços de e-mail de funcionários do Ministério da Justiça da Nigéria. Segundo os cibercriminosos, essas informações podem ser usadas para os ataques de phishing, distribuição de malware ou para espionagem.

O anúncio de venda de um banco de dados com endereços de e-mail de funcionários do Ministério da Justiça da Nigéria
Figura 14. O anúncio de venda de um banco de dados com endereços de e-mail de funcionários do Ministério da Justiça da Nigéria

Constantemente, o continente africano encontra-se na mira de vários grupos criminosos. Ataques em múltiplas fases, meticulosamente planejados e bem organizados, que visam atingir uma indústria específica ou, muitas vezes, uma empresa de grande porte, são identificados como ameaças persistentes avançadas (APTs). Para executar tais ataques, hackers juntam-se em organizações criminosas, conhecidas como grupos APT. O foco principal da maior parte dessas organizações é a atividade de espionagem. Vamos analisar alguns desses grupos, cujas atividades foram observadas em países africanos:

  • Witchetty. Conhecido também como LookingFrog, TA410, Cicada e APT10, esse grupo tem como alvo órgãos públicos, instituições financeiras, empresas do setor industrial, entidades filantrópicas e membros de corpos diplomáticos situados no Oriente Médio e em países africanos.
  • Mustang Panda. Identificado também como TA416, RedDelta ou BRONZE PRESIDENT, esse grupo é situado na China e tem como alvo as instituições públicas e as organizações religiosas nos Estados Unidos, África, Europa, Mongólia, Mianmar, Paquistão e Vietnã.
  • Daggerfly. Também conhecido como Evasive Panda ou Bronze Highland, esse grupo atacou uma companhia de telecomunicações na África e se envolveu-se em atividades de espionagem contra membros de ONGs internacionais localizadas na China e na Nigéria. A ferramenta mais usada em seus ataques é o trojan de acesso remoto chamado MgBot.
  • Alloy Taurus. Identificado também como Gallium ou Softcell, este grupo de espionagem cibernética da China direciona seus ataques a companhias de telecomunicações e a entidades militares e públicas em países como Afeganistão, Austrália, Bélgica, Camboja, Malásia, Moçambique, Filipinas, Rússia e Vietnã.
  • MuddyWater. Também conhecido por nomes como Earth Vetala, MERCURY, Static Kitten, Seedworm e TEMP Zagros, esse grupo espionagem cibernético iraniano vem, desde 2017, focando suas atividades em agências públicas, empresas locais, companhias de telecomunicações, indústrias de defesa, mídia, instituições educacionais e científicas, além de empresas do setor de petróleo e gás em regiões como Oriente Médio, Ásia, África, Europa e América do Norte.

Ataques DDoS

O ataque DDoS é um dos tipos de ameaças mais comuns, frequentemente direcionado a entidades públicas e instituições financeiras em territórios africanos. Por exemplo, no início de maio de 2023, o grupo de cibercriminosos conhecido como Mysterious Team Bangladesh (um grupo criminoso digital com origem em Bangladesh, voltando suas operações para entidades governamentais e veículos de mídia. Seu principal objetivo é o hacktivismo. Comumente, atacam plataformas da Web executando ataques DDoS e desfigurando sites) realizou uma onda de ataques DDoS visando as empresas e instituições da Etiópia. Entre as vítimas estavam as agências públicas, uma companhia de energia elétrica, o portal do governo etíope, o Ministério da Saúde e uma cooperativa bancária privada. Mais tarde, o coletivo conseguiu realizar ataques bem-sucedidos às empresas e instituições situadas em Senegal.

No início de fevereiro, um segundo grupo conhecido como Team_insane_pk (esse grupo de cibercriminosos foca suas atividades em entidades governamentais e indivíduos de destaque em regiões da África, Israel, Índia e Austrália. Os criminosos escolhem suas vítimas com base em crenças religiosas e políticas. As ações mais comuns são ataques DDoS e desfiguração de sites) atacaram o site do Hospital Central de Maputo, localizado em Moçambique.

A notificação de ataque publicada no Telegram do grupo de criminosos.
Figura 15. A notificação de ataque publicada no Telegram do grupo de criminosos.

Em junho, foi descoberta uma série de ataques DDoS que visava as entidades públicas e instituições financeiras na Uganda. Entre as vítimas estavam o Banco de Uganda, a bolsa de valores, o parlamento, bem como diversos ministérios.

Engenharia social

Os ataques de engenharia social constituem uma das ameaças cibernéticas mais significativas a usuários, empresas e instituições, não apenas globalmente, mas também em territórios africanos. Em 2022, na África do Sul, 94% de todas as empresas do país tornaram-se foram alvo de tentativas de phishing. A Interpol também inclui a engenharia social na lista de ameaças predominantes na região. Para maximizar a probabilidade de ataque bem-sucedido, os criminosos empregam uma série de estratégias de engenharia social, além de ferramentas automatizadas e robôs de spam. Devido à falta de conhecimento sobre segurança cibernética por parte dos usuários, o nível de risco associado aos ataques de phishing continua sendo extremamente elevado. Segundo os estudos da KnowBe4 sobre o nível de conscientização dos funcionários , um terço deles acaba clicando no link de phishing ou segue as instruções dos criminosos.

De acordo com nossos dados 91% dos ataques bem-sucedidos contra usuários e 52% contra empresas e instituições na África envolvem o uso de táticas de engenharia social. No caso de empresas e instituições, o tipo mais comum de ataque de phishing é o envio de e-mails com links ou anexos maliciosos. Em 29% dos casos, são utilizados sites falsos que imitam, por exemplo, páginas de autenticação corporativa, bancos conhecidos ou sistemas de pagamento. A existência de ferramentas e serviços de phishing prontos disponíveis na Dark Web facilita muito o trabalho dos criminosos, permitindo até mesmo que os usuários sem conhecimento técnico criem as campanhas de e-mail e sites fraudulentos rapidamente.

Os canais de engenharia social usados por criminosos
Figura 16. Os canais de engenharia social usados por criminosos

O setor financeiro é o alvo mais comum para os atingido por ataques de phishing. Em 2022, a Check Point Research descobriu uma campanha maliciosa chamada DangerousSavanna que teve como alvo as instituições financeiras de tamanho médio e grande em países de língua francesa na África. Essa campanha ficou ativa por pelo menos dois anos. Os criminosos enviavam e-mails com os anexos maliciosos aos funcionários de empresas financeiras situadas em países como Costa do Marfim, Marrocos, Camarões, Senegal e Togo. Para tornar os e-mails mais convincentes, os invasores usavam domínios que se pareciam com os endereços de outras instituições financeiras africanas conhecidas, como o Banco Externo da Tunísia, e em ataques recentes substituíram o endereço de e-mail do remetente pelo endereço de uma companhia de seguros local.

Os usuários geralmente tornam-se vítimas de ataques de phishing ao acessar sites fraudulentos ou ao interagir com os criminosos em redes sociais e serviços de mensagens instantâneas.

Comprometimento de e-mail corporativo

Uma outra modalidade de ataque, que também se vale de engenharia social, é o comprometimento de e-mails corporativos, conhecido como BEC. Nesse tipo de ataque, os criminosos ganham controle sobre uma conta de e-mail de um dos funcionários da empresa e usam essa conta para os fins próprios, geralmente fraude ou roubo de dinheiro ou das informações. Por exemplo, o criminoso pode manipular a comunicação com uma empresa parceira e enviar novos dados bancários de transferência, ou se passar pelo líder da empresa e instruir o setor de contabilidade a realizar um pagamento para uma conta específica.

Os prejuízos de um ataque BEC podem chegar à casa dos milhões de dólares. Segundo dados do FBI, só em 2022, as empresasnorte-americanas tiveram um prejuízo de US$ 2,7 bilhões, ultrapassando as perdas causadas por ransomware, e esse número encontra-se em constante crescimento.

O continente africano tem observado um aumento significativo em casos de ataques de BEC. Geralmente, os criminosos fingem ser altos executivos, oficiais públicos ou parceiros comerciais com o intuito de enganar suas vítimas. Empresas pequenas e grandes estão na mira desses criminosos. O grande perigo dos ataques BEC está na profunda familiaridade que os criminosos têm nas especificidades da região: mais da metade dos grupos BEC estão localizados na África. Segundo estudos realizados por analistas da Unit42, um dos maiores grupos que realizam ataques do tipo BEC fica localizado na Nigéria. As empresas africanas estão sendo cada vez mais atingidas pelos grupos BEC internacionais, com os ataques realizados principalmente dos locais como Nigéria, Gana e África do Sul.

Apesar que identificar os integrantes dos grupos BEC e rastrear o movimento dos é relativamente fácil (ao contrário do que acontece com grupos de ransomware, por exemplo), existem vários fatores que dificultam a tarefa forças de segurança pública de prender esses criminosos. Isso inclui a geografia dispersa dos grupos, o caráter internacional dos ataques cibernéticos, a detecção tardia dos ataques e a ausência de mecanismos unificados de notificação de incidentes.

Comercialização de acessos aos fóruns clandestinos

De acordo com nossa pesquisa, os criminosos cibernéticos estão usando ativamente fóruns clandestinos para comprar e vender o acesso às redes de grandes empresas africanas, incluindo instituições públicas, empresas financeiras, comerciais e de TI.

O custo médio do acesso com permissão de administrador de domínio é de cerca de US$ 300, já o acesso com permissão de administrador local é mais barato, custando em média US$ 170. O anúncio mais caro que encontramos pedia US$ 10 mil pelo acesso à rede de uma companhia de telecomunicações da Nigéria.

O anúncio sobre a venda de acesso a rede de uma empresa de telecomunicações da Nigéria
Figura 17. O anúncio sobre a venda de acesso a rede de uma empresa de telecomunicações da Nigéria

Nos fóruns clandestinos, os criminosos constantemente buscam os famosos "drops" do continente africano, que são pessoas envolvidas em atividades com fraudulentas objetivo de obter visando lucros ilegais. Por exemplo, foram encontradas os anúncios sobre a busca de drops na Nigéria, Senegal, Argélia e África do Sul em canais do Telegram.

Anúncio para cooptação de drops na África
Figura 18. Anúncio para cooptação de drops na África

Conclusões e recomendações

A África, uma área extensa com a distribuição irregular de recursos naturais entre os países, ainda lida com uma série de obstáculos socioeconômicos. Todavia, o continente africano tem destacando-se nos últimos anos como um gigante digital com crescimento acelerado, graças às transformações contínuas. As empresas estão construindo a infraestrutura e fornecendo os serviços para habilitar a digitalização em um ritmo acelerado, mas a entrada de as tecnologias também está abrindo novas oportunidades antigamente não exploradas para os criminosos cibernéticos.

A seguir, apresentamos um conjunto de recomendações para reforçar a segurança cibernética tanto em empresas específicas como em indústrias e na região africana de forma geral.

Recomendações para as autoridades públicas

Adotar políticas e estratégias de segurança da informação ao nível nacional

É crucial que os governos elaborem, implementem e atualizem planos e diretrizes nacionais para cibersegurança, engajando um leque diversificado de participantes nesse processo. A formulação de tais estratégias precisa contar com o financiamento e o apoio político necessários para garantir uma coordenação eficaz e uma divisão clara de responsabilidades.

A estratégia nacional de segurança da informação deve incluir uma análise de riscos e ameaças, bem como metas bem definidas e as etapas necessárias para alcançá-las. Os representantes das gências públicas, do mundo empresarial e do setor de cibersegurança devem participar da criação dos conceitos das estratégias, que devem ser apresentadas e debatidas publicamente.

A estratégia precisa passar por revisões e atualizações frequentes para garantir sua relevância em relação a ameaças atuais.

Desenvolvimento da legislação para a proteção de dados pessoais

Os governos precisam trabalhar na criação e implementação de uma legislação que proteja os dados pessoais. Esta legislação deve combater o crime cibernético, garantir a proteção dos dados pessoais e preservar a segurança digital de cidadãos e instituições públicas e privadas. Ela também deve facilitar uma coordenação eficaz entre diferentes segurançaforças de segurança. Além disso, é crucial estabelecer as estruturas de colaboração internacional que possam agilizar a captura e o julgamento de cibercriminosos, além do compartilhamento de informações sobre as ameaças cibernéticas internacionais.

Proteção da infraestrutura de informações críticas

Os governos devem identificar as infraestruturas de informação essenciais, cuja desestabilização poderia causar eventos não toleráveis tanto em setores industriais como no âmbito nacional. Essa abordagem auxilia na distribuição eficiente da recursos para garantir a proteção de sistemas mais críticos. Os setores que devem ser priorizados são aqueles de infraestrutura crítica, como os governamentais, de telecomunicações e finanças, além de indústrias essenciais para a estabilidade econômica e segurança do país, tais como agricultura, mineração e indústria de bens de produção . É importante considerar o ritmo de digitalização que ocorre no país, bem como o grau de desenvolvimento da sua infraestrutura de segurança da informação.

Em muitos casos, a segurança das infraestruturas essenciais está atrelada a fornecedores externos de tecnologia da informação e comunicação. É fundamental que os governos garantam a segurança das redes de fornecimento de energia e pontos de acesso à internet, variem as opções de fornecedores de tecnologias críticas e incentivem o desenvolvimento de empresas africanas capazes de fornecer, manter e proteger a infraestrutura crítica de informação.

Criação de centros de resposta a incidentes cibernéticos nacionais e industriais

Os governos deveriam dar alta prioridade à criação de equipes nacionais de resposta a incidentes cibernéticos (CIRTs) com a finalidade de monitorar as ameaças e ajudar as empresas a reerguerem-se após ciberataques significativos. No momento da publicação deste relatório, apenas 26 países africanos tinham CIRTs nacionais. Países onde essas estruturas já existem devem criar CIRTs setoriais e colaborar para apoiar a formação de CIRTs regionais e continentais. É necessário desenvolver mecanismos claros e transparentes para o relato de incidentes cibernéticos ocorridos em empresas . A resposta às ameaças cibernéticas deve ser integrada à estratégia geral para proteger e recuperar infraestruturas nacionais críticas.

Cooperação internacional

É extremamente importante participar de iniciativas regionais e globais com o objetivo de deter o crime cibernético organizado. As tentativas de enfrentar o cibercrime confinando os esforços exclusivamente às fronteiras regionais é praticamente ineficaz . Os governos precisam adotar as políticas, procedimentos e acordos que lhes permitam coletar e compartilhar as evidências digitais e extraditar cibercriminosos. Ampliar as parcerias internacionais permitirá que as nações africanas estejam atualizadas sobre as novas ameaças cibernéticas, colaborem com outros países no combate ao cibercrime e tenham um papel ativo no estabelecimento de diretrizes e protocolos globais de segurança cibernética. A participação ativa nesse âmbito permitirá que os governos africanos estejam mais preparados para garantir uma proteção eficaz de seus países, cidadãos e infraestruturas críticas contra as ameaças cibernéticas.

Recomendações para empresas

Identificação de eventos intoleráveis e ativos críticos

Para garantir a resiliência cibernética de uma empresa, é necessário, em primeiro lugar, avaliar os principais riscos e elaborar uma lista de eventos não toleráveis que poderiam causar um grande impacto nas    suas atividades. Esta etapa ajudará a identificar os ativos críticos e a focar na proteção dos recursos mais valiosos. É crucial desenvolver uma abordagem estratégica que busque evitar eventos não toleráveis, incorporando as medidas de segurança e monitorando as atividades nae rede através de ferramentas de segurança atualizados.

Monitoramento de incidentes e resposta a ameaças cibernéticas

O sistemas de monitoramento e detecção de incidentes são necessários para responder a ameaças e ataques potenciais de forma rápida. Para esse propósito, recomendamos o uso de sistemas SIEM, que coletam e analisam as informações sobre os eventos de segurança de diversas fontes em tempo real. O uso conjunto das soluções como XDR e NTA possibilitará identificar os ataques nos estágios iniciais e agir rapidamente, mitigando os riscos para a empresa.

Avaliação da eficiência da segurança cibernética

É fundamental que as ações de segurança cibernética implementadas sejam frequentemente avaliadas, com o objetivo de medir a efetividade da estratégia e dos mecanismos da defesa. Aconselhamos que seja dada prioridade à verificação de eventos que a empresa considera não toleráveis.

Vale a pena participar de programas de recompensa por erros (Bug Bounty) que permitem os pesquisadores de segurança externos descobrirem novas vulnerabilidades no sistema da empresa. Isso auxilia na detecção e remoção de vulnerabilidades antes que os invasores possam explorá-las.

Treinar funcionários e investir em profissionais de segurança da informação

Treinar os funcionários em práticas de cibersegurança é extremamente importante. Sessões de treinamento ajudam a elevar a conscientização sobre as ameaças virtuais atuais e proteger-se contra as técnicas de engenharia social.

Para combater as ameaças cibernéticas de maneira eficaz, as empresas africanas devem investir no treinamento de seus profissionais em segurança cibernética. O treinamento regular e a certificação de funcionários em cibersegurança aprimorarão suas habilidades e conhecimentos, fornecendo à empresa um suporte especializado na prevenção e resposta aos ciberataques. Uma das maneiras mais eficazes de realizar isso é participar dos treinamentos virtuais em plataformas especializadas, onde os especialistas em segurança da informação podem praticar a detecção de técnicas de ataque e sua neutralização.

Sobre a pesquisa

Este relatório contém as informações sobre as ameaças à segurança da informação na região africana. Todas as informações são baseadas na experiência, suas pesquisas e informações de fontes confiáveis.

Estimamos que a grande maioria dos ataques cibernéticos não é divulgada devido a riscos à reputação. Assim, mesmo as organizações que investigam os incidentes e analisam as atividades de hackers não conseguem realizar uma contagem precisa das ameaças. Nosso estudo busca tem como objetivo chamar a atenção das empresas e público interessado e preocupado com o estado da segurança da informação, além dos principais motivos e métodos dos ataques cibernéticos, além de destacar as principais tendências no cenário de ameaças cibernéticas que se encontra em constante evolução.

Este relatório trata cada ataque em massa (por exemplo, e-mails de phishing enviados para vários endereços) como um único incidente. Para mais detalhes sobre os termos utilizados neste relatório, consulte o glossário da Positive Technologies.

Entre em contato

Preencha o formulário, em breve
um de nossos especialistas entrará em contato com você.