Crescente agressividade da China e a ascensão da IA na ciberespionagem: Uma entrevista com o diretor de engenharia de vendas da CrowdStrike para América Latina
Em um cenário global onde as ameaças cibernéticas evoluem a cada minuto, a CrowdStrike lança seu Relatório Global de Ameaças 2025, um mergulho profundo nas tendências e táticas dos adversários digitais.
O relatório revela um aumento alarmante na agressividade das operações cibernéticas da China, que intensificou seus ataques em 150%, com foco em setores como serviços financeiros, mídia, manufatura e indústria, que sofreram um aumento de até 300% nos ataques.
Outro destaque preocupante é a ascensão da inteligência artificial generativa (GenAI) como ferramenta para ataques. Golpes de vishing (phishing por voz) aumentaram 442%, e atores maliciosos estão utilizando a GenAI para aprimorar táticas de engenharia social, roubar credenciais e realizar ataques multidomínio, explorando vulnerabilidades entre endpoints, nuvem e identidade.
Para entender melhor este cenário complexo, Crypto ID entrevistou Marcos Ferreira, diretor de engenharia de vendas CrowdStrike para América Latina. Na companhia desde o estabelecimento das operações na região, Marcos está diariamente apoiando clientes nas trincheiras contra adversários cibernéticos.
Convidamos você a ler a entrevista completa com Marcos Ferreira e mergulhar nas informações do Relatório Global de Ameaças 2025 da CrowdStrike.
Crypto ID: O relatório aponta para um aumento nos ataques de vishing, com um crescimento de 442% entre o primeiro e o segundo semestre de 2024. Quais os principais vetores de ataque utilizados nesses golpes e como as empresas podem se proteger?
Marcos Ferreira: Na prática, os cibercriminosos utilizam chamadas de voz como meio para forçar o acesso a sistemas de gerenciamento remoto de dispositivos (RMM, na sigla em inglês). Por meio de técnicas de engenharia social, os atacantes reúnem informações que ajudam a tornar o discurso mais persuasivo, ligam para o funcionário e pedem a liberação do acesso ao computador para resolver algum problema ou até mesmo instalar um novo software obrigatório.
Uma vez que o acesso é dado pelo funcionário que acredita na história, rapidamente o criminoso tem portas abertas para a rede da empresa e a partir disso consegue se movimentar para ativos críticos, como sistemas de pagamento internos, por exemplo.
O vishing é uma técnica particularmente efetiva por mirar diretamente o erro humano, permitindo ao atacante atravessar toda a estrutura de proteção dos sistemas operacionais de forma simples, “voando abaixo do radar”. Isso reduz a possibilidade de detecção de um suposto invasor.
Por meio da aplicação de técnicas com deepfake vocal e outros recursos, é possível promover campanhas de vishing cada vez mais persuasivas e capazes de sucesso. A CrowdStrike monitora um grupo cibernético brasileiro (Plump Spider) que tem se especializado nesse modus operandi e tem origem no Brasil.
Crypto ID: O relatório menciona que 79% dos ataques de acesso inicial agora são “malware-free”. Poderia nos explicar como esses ataques funcionam e quais os desafios que eles representam para a detecção e resposta a incidentes?
Marcos Ferreira: O aumento no percentual de ataques livres de malware é mais uma tendência que demonstra na prática o esforço empreendido pelos adversários cibernéticos para conseguirem voar abaixo do radar, dificultando a detecção de ataques por mecanismos tradicionais. Podemos dizer que há inclusive uma correlação entre os ataques livres de malware e o avanço de técnicas como o vishing (phishing por voz).
Nesse sentido, outro ponto fundamental na atual conjuntura do cibercrime é o crescimento dos ataques entre domínios, invasões que utilizam vulnerabilidades entre domínios interconectados, como identidade, cloud e endpoints, para se mover lateralmente sem a necessidade de executar nenhum artefato malicioso e alcançar os ativos críticos.
A crescente migração de empresas para a nuvem faz com que os ataques entre domínios também se consolidem como uma via cada vez mais explorada por adversários.
Crypto ID: Em relação à nuvem, o relatório mostra um aumento de 26% nas intrusões em ambientes de nuvem. Quais as principais vulnerabilidades exploradas pelos invasores e como as empresas podem proteger seus dados na nuvem de forma mais eficaz?
Marcos Ferreira: Infelizmente, ainda temos um cenário em que as proteções de acesso à nuvem não estão estabelecidas da melhor forma em grande parte dos casos. Enquanto isso, temos do outro lado um cenário em que os agentes hostis estão se profissionalizando para atuar dentro desses ambientes.
Esses adversários querem, em última instância, ganhar acesso a credenciais válidas de acesso à nuvem, ambiente no qual eles poderão operar diversas atividades maliciosas, utilizando ações que não estão sendo monitoradas adequadamente. Por isso a proteção de identidade continua a ter um papel central em qualquer estratégia de defesa.
Quando me refiro à identidade, é algo que precisa ir além de gerenciar credenciais, com cofres de senhas e outros recursos. Se hoje estamos falando de credenciais legítimas sendo usadas maliciosamente, o desvio de comportamento é a melhor forma de detectar esse problema.
Crypto ID: O tempo médio de invasão em ataques de eCrime caiu para 48 minutos, com o caso mais rápido registrado em 51 segundos. O que explica essa velocidade e como as equipes de segurança podem se preparar para reagir com a agilidade necessária?
Marcos Ferreira: No mais recente Relatório Global de Ameaças da CrowdStrike, chamamos esse de o ano do adversário empreendedor. Assim como quem empreende no mundo corporativo, os adversários estão se reinventando na atividade cibercriminosa, buscando potencializar retornos, aumentar a eficiência em seus ataques e até mesmo obter novas fontes de receita.
A consequência natural disso é uma redução cada vez mais significativa no tempo que um atacante leva entre o momento em que ele consegue entrar em um ambiente até passar a se movimentar lateralmente rumo a ativos mais críticos (breakout time), conforme alerta o relatório da CrowdStrike.
A pergunta que sempre fazemos aos clientes é: você está conseguindo avançar sua capacidade de detecção, investigação e resposta no mesmo ritmo que os adversários melhoram seu tempo de ataque?
Crypto ID: Em relação à GenAI, o relatório discute seu uso crescente em ataques de engenharia social. Você poderia nos fornecer exemplos específicos de como a GenAI está sendo utilizada para enganar usuários e comprometer sistemas?
Marcos Ferreira: De acordo com um estudo da McKinsey, 65% das organizações usam regularmente IA generativa. O grande ponto é que se o uso da IA generativa não for bem feito e pensado desde o início sob a ótica de cibersegurança, ele se torna um vetor de ataque. Um dos principais riscos é o vazamento de dados.
Um atacante pode manipular um chatbot, por exemplo, para revelar informações confidenciais. Além disso, há o risco de envenenamento de dados, que é quando um invasor consegue alterar a base de conhecimento da IA inserindo informações falsas.Um exemplo real de como os atacantes também estão usando IA em suas atividades está na prática dos e-mails de phishing, que antes eram cheios de erros ortográficos e traduções ruins.
Com a IA os criminosos geram e-mails e sites falsos praticamente idênticos aos reais, dificultando a detecção de um golpe por quem está do outro lado da tela, como registrado na campanha que buscava distribuir o keylogger Snake.
E-mails de phishing gerados com IA generativa têm uma taxa de cliques de 54%, enquanto e-mails de phishing escritos por humanos têm uma taxa de cliques de apenas 12%. Como comentado no Relatório Global de Ameaças de 2025 da CrowdStrike, vimos o FAMOUS CHOLLIMA empregando perfis fictícios do LinkedIn com textos criados por genAI.
Crypto ID: Marcos, agradecemos muito por compartilhar seus insights e conhecimentos conosco. Foi uma oportunidade valiosa poder conversar com um profissional com tamanha experiência em cibersegurança e inteligência de ameaças.
O Relatório Global de Ameaças 2025 da CrowdStrike é uma leitura essencial para qualquer pessoa interessada em cibersegurança. Convidamos os leitores a baixarem o relatório completo e se aprofundarem neste tema crucial.
A CrowdStrike, com sua expertise em inteligência de ameaças e sua plataforma de segurança Falcon, está na vanguarda da luta contra as ameaças cibernéticas, fornecendo as ferramentas e o conhecimento necessários para proteger o mundo digital.
Recursos adicionais:
- Baixe o Relatório Global de Ameaças 2025 da CrowdStrike, sem necessidade de cadastro.
- Visite o site Adversary Universe da CrowdStrike, a principal fonte da internet sobre adversários cibernéticos.
- Ouça o podcast Adversary Universe para obter insights sobre atores de ameaças e recomendações para aprimorar as práticas de segurança.
Sobre a CrowdStrike
A CrowdStrike (NASDAQ: CRWD), líder global em cibersegurança, redefiniu a segurança moderna com a plataforma nativa em nuvem mais avançada do mundo para proteger áreas críticas de risco corporativo – endpoints e cargas de trabalho em nuvem, identidade e dados.
Entrevista com diretor da NVIDIA sobre o futuro da Inteligência Artificial (IA)
Em entrevista exclusiva, Heitor Pires apresenta o Syn, o certificado digital em nuvem da Syngular ID
Assista e leia outras entrevistas feitas pelo Crypto ID. Você vai gostar muito. Acesse a coluna de Entrevistas e ID Talks!
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
