Rússia usa ransomware para ciberespionagem e Coreia do Norte recorre ao cibercrime para financiar o regime

O volume de ataques de ransomware registou um aumento global significativo no último mês, com um total de 486 incidentes, refletindo um crescimento em relação aos 407 ataques do mês anterior e aos 341 do mesmo período do ano passado, segundo o mais recente relatório da NCC Group, especialista em cibersegurança.

O grupo RansomHub consolidou a sua posição como o mais ativo no mês, com 68 ataques. Em destaque, um ataque a um operador aeroportuário mexicano, responsável por 13 aeroportos, que forçou a adoção de sistemas de contingência, sublinhando o impacto disruptivo que tais incidentes podem ter nas Infraestruturas Críticas Nacionais (CNI). Seguiram-se os grupos Play (53 ataques), Killsec (34 ataques) e Sarcoma (31

A América do Norte foi a região mais atacada, com 272 casos (56% do total), um aumento considerável face aos 233 ataques registados em setembro. A Europa ocupou o segundo lugar, com 97 ataques (20% do total). Destacou-se também o aumento de ataques na Ásia, passando de 46 para 68, e um leve declínio na América do Sul.

O setor industrial continua a ser o mais visado, com 148 ataques, representando 30% do total. Este cenário reflete a crescente ameaça às Infraestruturas Críticas Nacionais (CNI). Seguiram-se os setores de bens de consumo não essenciais e da saúde, com 100 e 55 ataques, respetivamente.

O relatório também destaca a crescente sofisticação dos ataques patrocinados por estados, com grupos como a Rússia, China, Coreia do Norte e Irão a liderarem as operações. Estes grupos têm como alvo infraestruturas críticas e propriedade intelectual, usando táticas como phishing direcionado, exploração de vulnerabilidades e malware avançado.

Em particular, a Rússia continua a usar o ransomware como ferramenta de ciberespionagem, enquanto a Coreia do Norte recorre ao cibercrime para financiar o regime, tendo já roubado mais de 3 mil milhões de dólares desde 2017. A colaboração crescente entre grupos patrocinados por estados e cibercriminosos organiza a linha entre ataques estatais e criminosos, intensificando os riscos para empresas em diversas regiões.

Um dos incidentes mais notáveis foi o ataque à Casio, em 8 de outubro de 2024, pelo grupo Underground, vinculado ao cibercrime russo Storm-0978. O ataque resultou no roubo de dados sensíveis e causou interrupções no processamento de pedidos, especialmente no Japão. O grupo utilizou táticas de dupla extorsão, exigindo um resgate após encriptar e extrair dados.