O Oriente Médio apresenta uma das regiões de maior tensão no cenário global em termos de ataques cibernéticos. A combinação da economia próspera e altos índices de digitalização está atraindo a atenção de criminosos de todo o mundo. Os danos que os países do Oriente Médio têm sofrido em decorrência dos ataques cibernéticos estão aumentando anualmente: segundo dados da IBM de 2020, o custo médio de um ataque cibernético a uma empresa da Arábia Saudita e Emirados Árabes Unidos foi de US$ 6,53 milhões , o que é 69% superior à média mundial. Segundo a ResearchAndMarkets, o tamanho do mercado de cibersegurança no Oriente Médio deverá chegar a quase US$ 30 bilhões até 2025, com uma taxa média anual de crescimento de 14%.

Além do aumento da quantidade dos crimes cibernéticos, há diversos problemas de cibersegurança que podem afetar significativamente a realização dos objetivos operacionais e estratégicos de uma empresaou a segurança de um país inteiro:

• Ataques cibernéticos contra infraestrutura crítica

O Oriente Médio destaca-se como um dos principais polos mundiais de extração de petróleo e gás, sendo que, em 2021, a Arábia Saudita chegou a produzir aproximadamente  11 milhões de barris de petróleo diariamente, além de ser um centro para o transporte dos recursos extraídos. Devido a essa importância, a região tem se transformado em um alvo atraente para as ameaças cibernéticas contra componentes críticos de infraestrutura, tais como usinas elétricas, portos, aeroportos e campos de petróleo e gás. Os especialistas da Kaspersky reportaram que o Oriente Médio foi uma das cinco regiões do mundo com a maior porcentagem de malwares bloqueados em sistemas de automação industrial (ICS) durante o ano de 2022.

• Guerra cibernética, ciberespionagem e ativismo hacker

A situação geopolítica instável do Oriente Médio leva à constante atividade de facções especializadas em ciberataques (Advanced Persistent Threats, APT) que são responsáveis por ataques virtuais meticulosas e também práticas de ciberespionagem. Além disso, a região enfrenta as ameaças provenientes de ativistas hacker, grupos de criminosos digitais que não focam em ganhos monetários ou coleta de informações, mas em mobilizar a opinião pública acerca de problemas sociais e políticos usando os ataques DDoS em larga escala e vandalismo em sites.

83% dos ataques cibernéticos bem-sucedidos foram direcionados

20% dos ataques visaram usuários.

Agências públicas

Nos países situados no Oriente Médio, as instituições públicas são de interesse especial dos criminosos cibernéticos, contabilizando 22% de todos os ataques bem-sucedidos contra empresas e instituições. Uma característica marcante nos ataques direcionados a instituições públicas do Oriente Médio é a predominância de grupos APT (56%) que permanecem infiltranos de forma disfarçada na rede interna davítima durante um longo período de tempo com o objetivo de praticar ciberespionagem. Esses invasores são extremamente competentes e têm à disposição um leque abrangente de malwares e exploits com o intuito de violar os sistemas e roubar as informações. Uma modalidade curiosa de ataques que emprega as táticas de engenharia social foi revelada pelo grupo TA456 : para ganhar a confiança de funcionários públicos, os invasores elaboraram um perfil falso disfarçado por uma mulher jovem atraente e utilizaram-no nas interações para disseminar spyware. As principais consequências dos ataques cibernéticos contra os órgãos públicos são a interrupção das atividades essenciais (36%) e o vazamento das informações confidenciais (28%).

Setor industria

As empresas do setor industrial representam uma parcela significativa do PIB dos países no Oriente Médio, têm alto valor de mercado e acumulam uma grande quantidade de informações confidenciais, transformando-se no alvo perfeito para os criminosos cibernéticos: ocupam o segundo lugar entre os setores mais atraentes (16%). Os invasores infiltram-se nos sistemas das vítimas ao direcionar ataques aos usuários, muitas vezes valendo-se de métodos de engenharia social (33%). Além disso, em 62% das ocorrências que envolvem malware, tanto as ferramentas de administração remota (RATs) quanto os wipers são empregados (31%).

78% dos ataques contra empresas e instituições da região almejam atingir computadores, servidores e equipamentos da rede. Isso deve-se à atuação de grupos APT, bem como grupos de ransomware que tem como alvo os dispositivos de usuários e servidores. Os ataques direcionados a usuários constituem uma parcela significativa das invasões, afetando 41% das empresas e 96% dos indivíduos. Segundo o último relatório anual da Verizon, o fator humano foi responsável por mais de 80% dos ataques em 2022, inclusive no Oriente Médio. Os recursos web estão no terceiro lugar entre os alvos mais frequentes nas empresas. Os invasores aproveitam-se das vulnerabilidades web para roubar as informações de usuários. Além disso, os aplicativos web sofrem os ataques de desfiguração e são bombardeados com os ataques DDoS por parte de ativistas hacker.

Malware usado em ataques no Oriente Médio

Quase dois terços dos ataques a empresas do setor privado e instituições públicas no Oriente Médio usam malwares de diversos tipos. Ferramentas de administração à distância (RATs) é o tipo mais comum de malware em ataques contra empresas e instituições, e isso tem um motivo: eles concedem controle quase total sobre os dispositivos comprometidos aos criminosos, neutralizam os mecanismos de segurança e asseguram a permanência dentro do ambiente digital. Esse tipo de malware é famoso entre todos os grupos de criminosos digitais, especialmente os grupos APT.

O spyware se disseminou amplamente em ataques de malware voltados para usuários. Na maioria das vezes, esse malware é disseminado disfarçado como um programa genuíno, por exemplo uma plataforma de VPN ou um software que gera número de telefone virtual.

Os grupos que usam ransomware estão entre as ameaças mais significativas atualmente no mundo todo, inclusive no Oriente Médio. Houve um aumento de 77% em suas atividades no primeiro trimestre de 2023 em comparação ao mesmo período correspondente de 2022. Conforme apontado pelo relatório de tendências Hi-Tech Crime Trends 2022/2023 elaborado pelo Group-IB, os Emirados Árabes Unidos (33%), Arábia Saudita (29%) e Kuwait (21%) são os principais alvos de ataques na área do Golfo Pérsico.

Uma característica regional do Oriente Médio é o emprego de wipers por criminosos em ataques com malware. Quando esse malware infecta um dispositivo, ocorre a remoção completa dos arquivos, tanto do sistema quanto dos usuáriose, como consequência, o colapso do dispositivo. Um cenário particularmente perigoso acontece quando wipers contaminam os equipamentos ICS, pois o mau funcionamento desses sistemas pode gerar interrupções nos processos tecnológicos e até levar a situações de emergência. No segundo trimestre de 2022, foi realizado um ataque grande a três fábricas siderúrgicas iranianas, o que gerou as interrupções nos processos de produção. Em uma das fábricas, os invasores conseguiram derrubar um recipiente de aço líquido e provocar um incêndio no chão de fábrica.

Seguindo a tendência global de roubo de informações, a maioria dos criminosos tem se concentrado no roubo de informações confidenciais, na espionagem cibernética e na interrupção das operações críticas das organizações. Por conta do alto grau de confidencialidade que aregião mantém sobre as suas questões internas e à divulgação de incidentes de ataques cibernéticos insuficiente, as consequências de um grande número de ataques permanecem desconhecidas.

Grupos que atacaram empresas, instituições e usuários no Oriente Médio

Grupos APT realizaram 40% dos ataques cibernéticos bem-sucedidos

No contexto de ataques cibernéticos , a região do Oriente Médio encontra-se em uma posição singular e potencialmente vulnerável. Trata-se de uma região rica em petróleo, cujos países estão buscando a digitalização acelerada em grande escala, incorporando tecnologias inovadoras em processos de administração pública e principais setores da economia. No ano de 2023, a região figurará como um dos principais alvos para as atividades de ransomware, fraudes, grupos APT e ações de ativistas hacker. Segundo as informações de fontes abertas e nosso próprio banco de dados, chegamos à conclusão que a grande parte dos ciberataques bem-sucedidos na região do Oriente Médio, atuais e futuros, se dará através de técnicas de engenharia social, propagação de softwares maliciosos e exploração de vulnerabilidades web e de software.

As ameaças de segurança mais relevantes para os países na região do Oriente Médio em 2023 são:

• Ataques cibernéticos contra instituições públicas. O objetivo de cibercriminosos e grupos APT geralmente envolve o comprometimento dos sistemas públicos com o intuito de acessar dados confidenciais, a condução de ciberespionagem, a desestabilização de operações e a manipulação de tomadas de decisão.
• Ataques constantes contra infraestrutura crítica. Ataques contra infraestruturas essenciais podem acarretar sérias consequências tanto para as empresas e instituições afetadas quanto para a economia e segurança do país. Com o objetivo de atingir alvo objetivo, os criminosos podem focar nas companhias que atuam nas áreas de energia, telecomunicações e setor financeiro, além de instituições ligadas à saúde e ao setor de transporte.
• O phishing e a engenharia social. Ataques fundamentados nas técnicas de phishing e engenharia social são executados para obter acesso aos sistemas de usuários e oempresas em todos os setores da economia.
• Distribuição de malware. A utilização de malware, como trojans de acesso remoto, spyware e ransomware, persistirá como um risco sério a empresas e usuários.
• Ativismo hacker. Os ativistas hacker têm a capacidade de empregar as táticas como desfiguramento das páginas da internet, ataques de negação de serviço (DDoS) ou implantação dose códigos maliciosos para comprometer os sistemas e acessar as informações confidenciais. Os hacktivistas também são capazes de conduzir as campanhas de propaganda digital e disseminar as informações falsas com o objetivo de influenciar a opinião pública.

O aumento no número de grupos criminosos e, consequentemente, no número de ataques cibernéticos, ampliou a necessidade de segurança cibernética  nas empresas do Oriente Médio. De acordo com o relatórioda International Data Corporation, o investimento em segurança na região do Oriente Médio em 2023 deve crescer quase 8% ao ano, sendo a maior parcela dose gastos (41%) destinada para software.

Os líderes dos países do Oriente Médio estão plenamente cientes da gravidade das ameaças cibernéticas e estão criando um arcabouço legislativo para controlar as atividades no espaço cibernético:

• O Catar adotou as medidas para as empresas de acordo com a Lei Nº 13 de 2016 sobre Proteção de Dados Pessoais, que tem o objetivo de garantir a proteção e segurança de dados dos usuários.
• No Bahrein, foi instaurada a Lei de Proteção de Dados Pessoais (PDPL) em 1 de agosto de 2019. A lei tfoi inspirada no modelo europeu e prevê as sanções para os infratores que podem chegar a um ano de prisão .
• No mês de novembro do ano de 2021, nos Emirados Árabes Unidos foi divulgada a Lei Federal № 45 , a Lei de Proteção de Dados dos EAU, que estabelece padrões mais rigorosos de privacidade e proteção de dados e define os direitos e deveres de todas as partes envolvidas no processamento de dados pessoais.

Devido ao aumento da atividade dos criminosos cibernéticos e à gravidade das consequências dos ciberataques bem-sucedidos, as empresas do Oriente Médio precisam priorizar a segurança digital. As organizações devem adotar os métodos, recursos e políticas que melhorem a sua capacidade de monitorar e responder a incidentes de segurança da informação também devem aperfeiçoar o conhecimento e atenção sdos seus funcionários para prevenir os ataques cibernéticos. Para lidar com os principais problemas de segurança, uma estratégia eficaz envolve a implementação de um sistema de cibersegurança robusto que visa estabelecer uma estrutura de proteção integral e automatizada para toda a infraestrutura de TI, adaptando-se às necessidades e processos corporativos de cada empresa.

A fim de desenvolver tal sistema, é fundamental que as empresas identifiquem os recursos informacionais que necessitam de proteção, além de determinar possíveis eventos adversos, ou seja, os eventos que poderiam ser desencadeados em consequência de um ataque cibernético, interferindo nos objetivos tanto estratégicos quanto operacionais da empresa, ou mesmo trazendo grandes prejuízos às suas atividades principais.

Uma vez identificados os recursos informacionais e os eventos adversos, a próxima etapa é realizar a análise de segurança nos sistemas por meio de treinamentos de cibersegurança e testes de penetração, além de validar na prática a ocorrência desses eventos adversos.

Com base na avaliação de segurança da organização, deve-se selecionar os elementos de proteção que irão assegurar os três pilares fundamentais de segurança cibernética sólida:

• Monitoramento

É essencial que um sistema de segurança tenha pleno conhecimento de todas as atividades que envolvem os ativos protegidos em tempo real, além de verificar a conformidade dos componentes da infraestrutura às normas de segurança.

A adoção dos sistemas SIEM permite que a equipe de segurança consiga supervisionar e estudar os eventos relacionados à segurança, além de identificar os ataques em andamento e verificar se os componentes da infraestrutura protegida estão de acordo com as normas de segurança.

No contexto de sistemas industriais , é possível reforçar a capacidade de detecção de ataques dos sistemas SIEM ao integrá-los a ferramentas especializadas de análise do tráfego em sistemas de controle industrial, com isso possibilitando o acompanhamento de atividades ilícitas e funcionamento de malware sem afetar as operações de produção.

• Resposta

É fundamental que o sistema compreenda o que o criminoso almeja obter para que possa agir de maneira rápida e efetiva contra os incidentes e prevenir os eventos inaceitáveis.

A combinação de soluções de XDR (detecção e resposta estendidas) e SIEM torna possível detectar os ataques à infraestrutura e responder a eles de forma manual ou automática. As capacidades de detecção e resposta a ameaças podem ser ampliadas pelo uso de uma sandbox para a análise estatística e dinâmica de ameaças, como malwares avançados. Quando se trata de análises dos incidentes, recorre-se a ferramentas de NTA para examinar o tráfego de rede profundamente e identificar os comportamentos maliciosos. Além disso, as soluções de NTA desempenham o papel de sensores para os sistemas SIEM, servindo não só para monitorar o estado da rede, mas também como uma ferramenta para estratégias proativas de rastreamento das ameaças.

• Gestão de ativos

Uma das principais funções de um sistema de segurança é a catalogação contínua de ativos e sua classificação, que levarão em consideração os eventos inaceitáveis para a empresa e possíveis cenários de desenvolvimento dos ataques cibernéticos.

Os sistemas de gestão de vulnerabilidades, ou VM , automatizam os processos de gestão de ativos, a detecção e correção, de vulnerabilidades em componentes da infraestrutura, de acordo com o nível de gravidade. Além disso, as plataformas de VM continuamente avaliam a eficácia da proteção da infraestrutura contra as vulnerabilidades em cada ataque concreto.

Quando uma empresa atua na área de desenvolvimento de soluções em software e aplicativos web, torna-se essencial implementar e manter as práticas de desenvolvimento seguro de software através do uso das ferramentas para análise de código-fonte com o objetivo de identificar pontos fracos e vulnerabilidades do projeto ainda na fase de criação.

As plataformas do tipo Bug Bounty (recompensa por erros) podem ajudar as empresas no estabelecimento de um mecanismo de avaliação de segurança contínua para suas soluções, otimizando assim os investimentos em segurança.

Os funcionários são o ativo principal de qualquer empresa e, ao mesmo tempo, um dos canais de ataque aos sistemas corporativos mais frequente. Énecessário conscientizar os funcionários sobre a segurança da informação para garantir a uma proteção corporativa sólida. A conformidade com as regras de higiene cibernética diminui a probabilidade de pontos de acesso a serem comprometidos. Os usuários informados sobre as ameaças em circulação não cairão nos truques de criminosos e evitarão abrir anexos suspeitos em e-mails ou utilizar dispositivos desconhecidos. Em vez disso, reportarão atividades suspeitas e tentativas de ataques para o centro de operações de segurança (SOC).

Uma combinação de ferramentas de segurança da informação adequadamente configuradas, uma equipe experiente de profissionais em segurança cibernética e a manutenção constante dos procedimentos – tudo isso faz parte de uma abordagem eficaz – permitem a automatização e centralização da gestão desegurança da empresa no nível alto, alcançando o principal objetivo, a proteção contra os eventos adversos.

Este relatório apresenta as informações sobre as ameaças atuais de segurança da informação no Oriente Médio, baseados na nossa própria experiência na Positive Technologies, bem como nos dados de fontes confiáveis. O termo "Oriente Médio" neste relatório abrange os seguintes países: Bahrein, Egito, Israel, Jordânia, Iraque, Irã, Iêmen, Catar, Chipre, Kuwait, Líbano, Emirados Árabes Unidos (EAU), Omã, Estado da Palestina, Arábia Saudita, Síria.

Estimamos que a grande maioria dos ataques cibernéticos não é divulgada devido a riscos à reputação. Em consequência, até mesmo as organizações especializadas na investigação de incidentes e análise de atividades de hackers não conseguem obter o número exato de ameaças. A nossa pesquisa tem como objetivo chamar a atenção de empresas privadas, instituições públicas e população em geral para a importância da segurança da informação, os motivos e estratégias centrais de ataques cibernéticos, além de destacar as principais tendências na evolução do cenário de ameaças cibernéticas.

Este relatório considera cada ataque em massa (por exemplo, e-mails de phishing enviados para vários endereços) como um único incidente. Para mais detalhes sobre os termos utilizados neste relatório, consulte o glossário da Positive Technologies.