A Check Point Software Technologies emitiu um alerta sobre o crescimento significativo da atividade cibernética com origem no Irão. Impulsionados por um clima geopolítico cada vez mais tenso, estes incidentes misturam pressão militar, política e digital, tendo como alvos principais o Médio Oriente, os Estados Unidos e outras nações consideradas adversários estratégicos.
Os grupos na linha da frente da espionagem e sabotagem
A investigação conduzida pela Check Point Research identificou vários conjuntos de atacantes alinhados com o estado iraniano, nomeadamente com o Corpo da Guarda Revolucionária Islâmica (IRGC) e o Ministério das Informações e Segurança (MOIS). Estes operam frequentemente sob o disfarce de ativistas independentes, mas com objetivos claros de espionagem, sabotagem e campanhas de desinformação com vista a expor dados sensíveis na internet.
Entre os principais intervenientes destaca-se o Cotton Sandstorm, também conhecido como Emennet Pasargad. Este grupo foca-se em dar respostas rápidas a eventos regionais, combinando desfiguração de sites, ataques DDoS e roubo de dados, que depois utilizam para maximizar o impacto mediático. Nas suas manobras, recorrem regularmente ao malware WezRat e, em certos casos, ao ransomware WhiteLock.
Já o Educated Manticore aposta fortemente na vertente da engenharia social. Os seus alvos de eleição são jornalistas, académicos e figuras públicas, utilizando e-mails falsos e mensagens que simulam o WhatsApp, o Microsoft Teams ou o Google Meet, com o objetivo de capturar credenciais de acesso de forma silenciosa.
Outro interveniente de peso é o MuddyWater, cujo foco passa pela espionagem de governos e do setor das telecomunicações e energia. A sua especialidade é a utilização de ferramentas nativas do próprio Windows para se movimentarem dentro das redes infetadas sem levantar suspeitas. No campo da intimidação psicológica e sabotagem pura, destacam-se o Void Manticore, que atua sob a identidade Handala, e o Agrius, que simula ataques de ransomware mas cujo objetivo final é a destruição da informação.
Como proteger a tua organização destas ameaças
Como a análise da Check Point demonstra que estes atores partilham frequentemente os mesmos métodos de ataque, as empresas têm a oportunidade de agir de forma preventiva. O uso abusivo de redes VPN comerciais para ocultar o rasto e as campanhas de phishing altamente personalizadas estão entre as táticas mais comuns.
Para mitigar estes riscos operacionais e de reputação, a Check Point partilha as seguintes recomendações imediatas:
Monitorizar atentamente o tráfego de rede associado a nós de saída de VPN comerciais.
Realizar auditorias a todos os equipamentos expostos à internet, como câmaras IP e servidores web, para corrigir vulnerabilidades e alterar palavras-passe que vêm de fábrica.
Implementar um sistema de autenticação de múltiplos fatores (MFA) robusto e resistente a phishing em plataformas empresariais essenciais.
Prestar atenção a inícios de sessão anómalos ou a possíveis reutilizações de tokens de segurança.
Sensibilizar os colaboradores para abordagens suspeitas, especialmente convites inesperados para reuniões ou entrevistas que exijam o clique em links externos.
Para fazer face a este panorama complexo, a Check Point destaca a sua solução Infinity Platform, que tira partido da inteligência artificial para prevenir e travar estas ameaças avançadas, garantindo uma proteção contínua e integrada em todos os sistemas da organização.
Nenhum comentário
Seja o primeiro!