Grupos de hackers estão cada vez mais mirando nas cadeias de suprimentos de grandes grupos corporativos, à medida que criminosos buscam “elos fracos” nas defesas de segurança cibernética porquê segmento do próspero e ilícito setor de ransomware de vários bilhões de dólares.
O número de ataques a fornecedores terceirizados de empresas em todo o mundo dobrou em 2024, segundo especialistas em cibersegurança, que afirmaram que o problema provavelmente aumentará ainda mais oriente ano.
O alerta surge poucos meses depois que o varejista britânico Marks and Spencer foi atacado depois uma violação em um terceiro não identificado que tinha chegada aos seus dados, enquanto o NHS England foi atingido no ano pretérito por meio de um ataque ao parceiro Synnovis, que fornecia serviços de patologia ao órgão.
Esses casos são uma pequena segmento do fenômeno global de gangues anônimas de hackers que visam grandes empresas e organizações, paralisando suas operações online a menos que estejam dispostas a remunerar grandes resgates.
Tim Erridge, vice-presidente para Europa, Oriente Médio e África da Unit 42 na Palo Sobranceiro Networks, disse que os criminosos cibernéticos estão se concentrando nas cadeias de suprimentos para encontrar um “gavinha fraco” nas defesas de segurança de grandes vítimas corporativas.
“Se você ‘invade’ um fornecedor e ele tem chegada a muitas, muitas organizações de ponta que estão consumindo seus serviços ou conectadas a eles, você está obtendo um retorno sobre o investimento de muitos por um”, disse ele.
Murado de 30% dos 7.965 ataques cibernéticos em 2024 se originaram via terceiros, o duplo do ano anterior, de concordância com o Relatório de Investigações de Violação de Dados de 2025 da Verizon. Em 2023, esse tipo de invasão representou 14,9% dos 7.268 ataques cibernéticos.
Ataques via empresas terceirizadas abrangem uma ampla gama de possíveis pontos de ingressão, porquê provedores de software, linhas de atendimento ao cliente e aqueles que fornecem outras soluções tecnológicas, porquê perceptibilidade sintético.
Nathaniel Jones, vice-presidente de segurança e estratégia de IA da Darktrace, disse que os criminosos cibernéticos estão mirando no “ponto vulnerável” de grandes grupos para tentar usá-lo para chegar “mais supra”.
Pesquisas do Google Threat Intelligence Group descobriram que atores patrocinados por estados também estão cada vez mais usando essa tática.
Jamie Collier, consultor líder de perceptibilidade de ameaças para a Europa no GTIG, disse que grupos apoiados pela Coreia do Setentrião eram os mais prolíficos na extensão, com invasões que “aumentaram tanto em volume quanto em sofisticação”.
A crescente ameaço de ataque via terceiros levou especialistas a alertar que isso poderia resultar em ataques se tornando mais oportunistas, com alvos que não eram o objetivo original sendo violados em vez disso.
“Quando um ataque à ergástulo de suprimentos acontece, é porque os agentes de ameaças tiveram uma boa oportunidade ou porque essa era a única opção que tinham, já que o níveo real estava suficientemente seguro”, disse Rafe Pilling, diretor de perceptibilidade de ameaças da Sophos.
O aumento nas invasões levou governos de todo o mundo a introduzir legislação nos últimos anos para forçar os provedores de serviços a priorizar a segurança cibernética.
A diretiva NIS2 da UE (União Europeia), introduzida em 2023, foi a primeira legislação importante a endurecer as restrições às cadeias de suprimentos. Entidades cobertas pelos regulamentos —porquê os setores de virilidade, transporte e bancário— agora têm que gerenciar riscos potenciais de fornecedores.
O Projeto de Lei de Segurança Cibernética e Resiliência do Reino Unificado —que deve ser apresentado ao parlamento ainda oriente mês— trará provedores de serviços gerenciados, porquê aqueles que fornecem software, para o escopo da regulamentação.
Nos Estados Unidos, o governo Trump adotou uma abordagem mais branda, mas ainda assim agiu para prometer que fornecedores terceirizados do governo federalista fortaleçam as salvaguardas cibernéticas.
