Ameaças cibernéticas ao setor de varejo

PwC Threat Intelligence – 1º trimestre de 2022

O varejo tem sido um dos setores mais atingidos por incidentes cibernéticos nos últimos 12 meses. As ameaças envolvem principalmente tentativa de crime cibernético, ou seja, ações para obter ganho financeiro. As organizações que operam no setor do varejo devem estar atentas e centrar sua defesa cibernética contra essa categoria de ameaça, sem deixar de acompanhar os riscos e ajustar as defesas por ações de hacktivismo, espionagem e sabotagem. 

Este relatório fornece uma visão geral das ameaças cibernéticas enfrentadas atualmente pelo setor de varejo, a fim de conscientizar para sua importância, dar exemplos das motivações por trás desses ataques e apoiar iniciativas de defesa orientadas por inteligência.

A análise se baseia em nossos dados de inteligência sobre ataques cibernéticos e abrangem diversos tipos de ameaças. É inteligência obtida a partir de nosso envolvimento com a resposta a incidentes em todo o mundo e relatórios públicos sobre ataques ao setor de varejo.

Temas de incidentes

Com base em incidentes anteriores e tendências observadas, avaliamos que o setor de varejo está sendo alvo principalmente de invasores com motivações criminosas. Desses agentes de ameaças cibernéticas, os mais relevantes e disruptivos são os operadores de ransomware e seus programas de afiliados, que têm tido sucesso ao visar organizações do setor de varejo com suas técnicas de extorsão dupla.

Ameaça criminosa

As organizações do setor de varejo devem ser mais cautelosas com os agentes de ameaças cibernéticas e com as ferramentas, técnicas e procedimentos utilizados por eles. Nos últimos 12 meses, agentes de ameaças com motivação criminosa buscaram exfiltrar informações financeiras de clientes. A investida incluiu desde operadores de ransomware sofisticados e organizações criminosas usando um malware sob medida para atacar sistemas de ponto de venda a agentes de ameaças criminosas menos sofisticados.

  • Ransomware

A pesquisa da PwC sobre alguns dos operadores de ransomware mais ativos mostra que o varejo fica atrás apenas do setor de produção industrial entre os alvos visados.

Houve vários incidentes importantes de ransomware que afetaram a indústria de varejo, todos enfatizam a vulnerabilidade do setor a esse tipo de ataque. Esses incidentes causaram o fechamento de lojas, a paralisação operacional do backoffice e da logística, em alguns casos até em todo o país. Em muitos casos, o ransomware foi detonado em um servidor responsável por sistemas de pontos de venda de várias lojas, prejudicando a capacidade da organização atacada de permitir que clientes realizem pagamentos.

Com a crescente tendência à digitização do espaço físico de varejo, incluindo caixas de autoatendimento e pagamentos por aproximação, as organizações do setor precisam priorizar sua arquitetura e segmentação de rede.

  • Roubo de dados do cliente

Como o varejo é um setor que depende muito de alto volume de transações de clientes, as organizações tomaram medidas para facilitar ao máximo os pagamentos, incluindo a modalidade por aproximação, checkouts de autoatendimento e a capacidade de salvar informações para pagamento on-line. Além disso, com a proliferação das compras on-line, vários pontos de venda também precisam armazenar outras informações de identificação pessoal, como CPF, celular, endereço e detalhes de contato. Todos esses dados são valiosos para criminosos cibernéticos. 

Também houve ataques em portais de pagamento on-line nos setores de varejo e a ele associados, em que os agentes de ameaças conseguiram penetrar no processo de pagamento, roubando dados à medida que os clientes os inseriam em portais – o chamado ataque “estilo MageCart”. Essas técnicas são amplamente utilizadas por agentes de ameaças que buscam atingir portais de pagamento. Avaliamos que ataques dessa natureza devem continuar no setor de varejo, com o crescimento permanente das compras on-line.

Espionagem

Embora os crimes cibernéticos representem a maior ameaça ao setor de varejo, existem agentes de ameaças envolvidos com espionagem que também miram esse setor para coletar informações. Como o varejo é uma atividade central na maioria das sociedades em todo o mundo, há uma grande quantidade de dados de inteligência a ser coletada de pontos de venda que podem beneficiar economias de países e empresas estatais. Além disso, a equipe de Inteligência de ameaças da PwC percebeu que vários agentes de ameaças visam o setor de varejo para aumentar a legitimidade de suas incursões. Eles veem a oportunidade de utilizar os domínios legítimos de organizações de varejo que podem ter segurança limitada – o que facilita sua violação – para lançar ataques com infraestruturas que, de imediato, dificilmente serão percebidas como fraudulentas pelos defensores.

  • Coleta de dados de inteligência

O setor de varejo é alvo de coleta de dados de inteligência por agentes de ameaças localizados na China há vários anos. A PwC apontou o Red Kelpie (também conhecido como APT41), por exemplo, como responsável por vários ataques direcionados a organizações de varejo na Austrália e na Espanha. A atividade do Red Kelpie evidencia as ameaças às organizações do setor de varejo, sobretudo aquelas que realizam negócios com empresas estatais. O acesso a essa inteligência pode dar à empresa estatal uma vantagem não natural durante o processo de negociação, com potencial acesso a táticas da outra parte, sua situação financeira e posição de mercado.

  • Varejo como canal para ataques

A PwC identificou agentes de ameaças – envolvidos com espionagem, crime ou com qualquer outra motivação – aproveitando-se de práticas de segurança inadequadas e usando infraestruturas legítimas comprometidas como vetores para realizar seus ataques, com objetivo de burlar defesas e otimizar investimentos. Muitas vezes, é mais fácil fazer isso do que criar as próprias infraestruturas. Além disso, a prática aumenta potencialmente a legitimidade aparente de suas ações.

Sabotagem

Até o momento, os ataques maliciosos afetaram principalmente ativos críticos de infraestrutura de países, como redes e usinas de energia. Seria, portanto, incomum que uma organização de varejo fosse alvo de um ataque de sabotagem. Mas ataques à cadeia de suprimentos, por exemplo, podem ter um importante impacto secundário em várias organizações. Além disso, o malware usado em ataques maliciosos, como o wiperware, consegue se propagar pelas conexões de redes compartilhadas. Dessa forma, os pontos de venda, quando impactados por ataques maliciosos, geralmente são vítimas não intencionais de um ataque muito mais amplo.

Avaliamos que a ameaça de sabotagem ao setor é grande, principalmente em áreas com altas tensões geopolíticas.

A sabotagem também pode ter uma abordagem menos sofisticada, embora ainda impactante. Os ataques de negação de serviço distribuído (DDoS, na sigla em inglês) tornaram-se mais comuns e mais perturbadores com o passar dos anos. Com a transição contínua para o varejo on-line, os ataques DDoS significam um risco crescente para o setor, com potencial de trazer prejuízos mais longos e frequentes, especialmente em organizações que não estão adequadamente preparadas para resistir a inundações de tráfego da web.

 

Hacktivismo

As ações hacktivistas geralmente incluem o desejo de obter publicidade para uma causa específica por meio da desfiguração de sites ou mídias sociais ou por meio da interrupção do serviço usando uma técnica de ataque, como DDoS.

Avaliamos que a ameaça de agentes motivados por hacktivismo ao setor de varejo é menos grave do que as outras três categorias de ameaças relatadas antes (crime, espionagem e sabotagem). Isso se deve à falta de sofisticação observada durante esses ataques, o que significa um tempo de inatividade operacional real ou perda de receita provavelmente limitados. 

Também avaliamos que o varejo como um todo não está atualmente no radar de hacktivistas. Essa falta de foco no setor – sobretudo sobre as grandes marcas – pode mudar com o tempo, pois é difícil prever o comportamento hacktivista.

Embora seus objetivos possam diferir, os muitos meios para ganhos financeiros ilícitos – seja a venda de dados de clientes ou a extorsão de organizações por meio de ransomware – atraíram todos os tipos de agentes de ameaças com motivação financeira. Esse risco está aumentando, e avaliamos como altamente provável que tanto o ransomware como outros agentes de ameaças criminosas continuem a operar contra organizações de varejo.

Avaliamos também que o risco trazido por agentes de ameaças motivados por espionagem é grande. O nível de ameaça é grave para organizações de varejo que mantêm parcerias ou negociações com uma empresa estatal. As ramificações de longo prazo de uma operação bem-sucedida de coleta de dados de inteligência podem ser devastadoras tanto para a posição de mercado quanto para o valor de mercado futuro da empresa.

Saber quais agentes de ameaças são relevantes para um determinado setor é um passo importante para direcionar estrategicamente o investimento a defesas apropriadas. Uma análise mais granular sobre as ameaças por organização, porém, é fundamental. Examinar como as ameaças explorariam a infraestrutura da organização para atingir seu objetivo pode ajudar a identificar as lacunas existentes em seus controles de segurança e permitir que você adapte seu plano de preparação adequadamente.

 

Contatos

Eduardo  Batista

Eduardo Batista

Sócio e líder de Cibersegurança e Privacidade, PwC Brasil

Tel: 4004 8000

Siga a PwC Brasil nas redes sociais