# América do Norte - Perfil Regional de Ameaças > [!abstract] Síntese > A América do Norte (EUA e Canadá) é o principal alvo global de ciberataques, concentrando 59% dos incidentes de ransomware e registrando o maior custo médio por violação de dados do mundo - US$9.36M nos EUA. A combinação de infraestrutura crítica extensa, setor financeiro robusto e posição geopolítica torna a região alvo permanente de operações state-sponsored (Rússia, China, Coreia do Norte) e grupos de cybercrime sofisticados. --- ## Visão Geral A América do Norte representa o teatro de operações cibernéticas mais complexo e mais monitorado do mundo. Os EUA, como maior economia global e principal potência tecnológica, concentram ativos de alto valor para atores de espionagem - propriedade intelectual, segredos de Estado, infraestrutura crítica. O Canadá, embora com menor escala, enfrenta ameaças similares com capacidade defensiva robusta através do CCCS (Canadian Centre for Cyber Security). O cenário é marcado pela interseção de três camadas de ameaça: operações de espionagem state-sponsored de longo prazo (Rússia via [[g0016-apt29|APT29]], China via [[g1017-volt-typhoon|Volt Typhoon]]), pré-posicionamento em infraestrutura crítica com potencial disruptivo, e um ecossistema de ransomware sofisticado que extrai bilhões anualmente. O caso SolarWinds (2020) e o comprometimento MOVEit (2023) demonstraram como supply chains de software tornam todo o ecossistema norte-americano vulnerável a ataques em cascata. > [!latam] Relevância para o Brasil e LATAM > A América do Norte é referência obrigatória para o Brasil em dois sentidos: como modelo de maturidade defensiva (CISA, NIST, SEC Cyber Disclosure Rules) e como indicador precoce de ameaças que chegam à LATAM. Grupos como Scattered Spider e LockBit atacam primeiro a América do Norte antes de expandir para a região. O monitoramento do cenário norte-americano antecipa tendências para defensores brasileiros. --- ## Panorama de Ameaças A América do Norte enfrenta o cenário de ameaças mais complexo e diversificado do mundo. Atores state-sponsored como [[g0016-apt29|APT29]] (Rússia) e [[g1017-volt-typhoon|Volt Typhoon]] (China) conduzem operações de espionagem e pré-posicionamento em [[critical-infrastructure|infraestrutura crítica]], enquanto grupos de ransomware como [[lockbit|LockBit]] e [[qilin|Qilin]] extraem bilhões de dólares anualmente de organizações dos setores de [[healthcare|saúde]], [[financial|financeiro]] e [[government|governamental]]. O ecossistema de ameaças é amplificado pela superfície de ataque massiva: mais de 330 milhões de usuários de internet nos EUA, milhões de dispositivos IoT/OT em redes de [[energy|energia]] e água, e cadeias de suprimento de software que interconectam milhares de organizações. O ataque ao SolarWinds (2020) e o comprometimento do MOVEit (2023) demonstraram como um único ponto de entrada pode comprometer centenas de organizações simultaneamente via [[t1195-supply-chain-compromise|supply chain compromise]]. O Canadá, embora menor em escala, enfrenta ameaças similares - particularmente espionagem chinesa contra setores de [[technology|tecnologia]] e pesquisa, além de ransomware contra o sistema de saúde provincial. ```mermaid graph TB NA["🌎 América do Norte<br/>Cenário de Ameaças"] --> SS["🏛️ State-Sponsored<br/>Espionagem e Sabotagem"] NA --> CC["💰 Cybercrime<br/>Ransomware e Fraude"] NA --> HK["✊ Hacktivismo<br/>DDoS e Defacement"] SS --> RU["🇷🇺 Russia<br/>APT29, Sandworm"] SS --> CN["🇨🇳 China<br/>Volt Typhoon, APT41"] SS --> NK["🇰🇵 Coreia do Norte<br/>Lazarus Group"] CC --> RW["🔒 Ransomware<br/>LockBit, Qilin"] CC --> SE["🎭 Engenharia Social<br/>Scattered Spider"] style NA fill:#1a1a2e,stroke:#e94560,color:#fff style SS fill:#1a1a2e,stroke:#ff6b35,color:#fff style CC fill:#1a1a2e,stroke:#ffd700,color:#fff style HK fill:#1a1a2e,stroke:#4ecdc4,color:#fff ``` --- ## Principais Atores de Ameaça ### APT29 - Cozy Bear (Rússia) O [[g0016-apt29|APT29]], atribuído ao SVR russo, é um dos atores mais persistentes contra alvos norte-americanos. Responsável pelo comprometimento do SolarWinds (2020) que afetou agências federais dos EUA e empresas de tecnologia, o grupo foca em espionagem política e diplomática. Utiliza técnicas avançadas de [[t1566-phishing|phishing]] direcionado e [[t1195-supply-chain-compromise|supply chain]] para acesso inicial. ### Volt Typhoon (China) O [[g1017-volt-typhoon|Volt Typhoon]] representa uma mudança de paradigma na ameaça chinesa: em vez de espionagem tradicional, o grupo se pré-posiciona em redes de [[critical-infrastructure|infraestrutura crítica]] (energia, água, telecomúnicações) para potencial disrupção em cenário de conflito. Utiliza técnicas living-off-the-land para evitar detecção, permanecendo em redes por meses ou anos. ### Scattered Spider (Cybercrime) O [[g1015-scattered-spider|Scattered Spider]] revolucionou o cybercrime com ataques baseados em engenharia social sofisticada contra help desks e sistemas de identidade. Alvos incluem cassinos (MGM Resorts, Caesars), empresas de [[technology|tecnologia]] e [[telecommunications|telecomúnicações]]. O grupo combina SIM swapping, phishing de MFA e manipulação social para contornar controles de acesso avançados. ### LockBit (Ransomware-as-a-Service) O [[lockbit|LockBit]] foi o grupo de ransomware mais ativo contra alvos norte-americanos até a operação Cronos (fev/2024). Responsável por ataques contra hospitais, bancos e agências governamentais, o grupo acumulou mais de US$120M em resgates pagos. Mesmo após disrupção policial, afiliados migraram para variantes derivadas e operações como [[qilin|Qilin]]. ### APT41 - Double Dragon (China) O [[g0096-apt41|APT41]] opera com motivação dual: espionagem state-sponsored e cybercrime financeiro. Alvo frequente dos setores de [[technology|tecnologia]], [[healthcare|saúde]] e games, o grupo utiliza [[t1190-exploit-public-facing-application|exploits de aplicações públicas]] e [[t1059-command-and-scripting-interpreter|scripting avançado]] para acesso e movimentação lateral. --- ## Setores Mais Visados | Setor | Contexto | Principal Ameaça | | ----- | -------- | ---------------- | | [[critical-infrastructure\|Infraestrutura Crítica]] | Energia, água, transporte - pré-posicionamento chinês e ameaça russa | State-sponsored (Volt Typhoon) | | [[healthcare\|Saúde]] | 725 grandes violações reportadas ao HHS em 2024; dados de pacientes altamente valiosos | Ransomware (LockBit, ALPHV) | | [[financial\|Financeiro]] | Maior custo por violação (US$6.08M); alvo de espionagem e crime financeiro | Cybercrime + APTs ([[g0032-lazarus-group\|Lazarus Group]]) | | [[government\|Governo]] | Agencias federais, estaduais e municipais; espionagem e disrupção | State-sponsored (APT29, APT41) | | [[technology\|Tecnologia]] | Supply chain, propriedade intelectual, plataformas cloud | Espionagem + cybercrime | --- ## Vetores de Ataque Predominantes | Vetor | Técnica MITRE | Contexto | | ----- | ------------- | -------- | | Phishing e spear-phishing | [[t1566-phishing\|T1566]] | Vetor inicial #1 - 36% dos incidentes (Verizon DBIR 2024) | | Exploits de aplicações públicas | [[t1190-exploit-public-facing-application\|T1190]] | VPNs, firewalls, MOVEit, Citrix - exploits em massa | | Ransomware / cifração de dados | [[t1486-data-encrypted-for-impact\|T1486]] | 59% dos ataques de ransomware globais visam EUA | | Supply chain compromise | [[t1195-supply-chain-compromise\|T1195]] | SolarWinds, MOVEit, 3CX - aumento de 431% (2021-2024) | | Scripting e execução de comandos | [[t1059-command-and-scripting-interpreter\|T1059]] | PowerShell, Python - living-off-the-land predomina | --- ## Regulações e Compliance | Regulação | Órgão | Escopo | Status | | --------- | ----- | ------ | ------ | | [[nist-csf\|NIST CSF 2.0]] | NIST | Framework voluntário - referência para todos os setores | Vigente (2024) | | SEC Cyber Disclosure Rules | SEC | Divulgação de incidentes em 4 dias úteis - empresas públicas | Vigente (dez/2023) | | CMMC 2.0 | DoD | Certificação obrigatória para fornecedores de defesa | Implementação (2025) | | HIPAA Security Rule | HHS | Proteção de dados de saúde (ePHI) | Vigente | | State Privacy Laws | Diversos | California (CCPA/CPRA), Colorado, Connecticut, Virginia, Utah | Vigentes | | [[pci-dss\|PCI-DSS v4.0]] | PCI SSC | Processadores de pagamento | Vigente | | [[iso-27001\|ISO 27001:2022]] | ISO | Gestão de segurança da informação | Voluntário | | PIPEDA | Privacy Commissioner | Proteção de dados pessoais - Canadá | Vigente | --- ## Estatísticas > [!info] Fontes: IBM Cost of Data Breach 2024, ITRC Annual Report 2024, Verizon DBIR 2024, CISA > Dados consolidados de múltiplas fontes públicas autoritativas. - **Custo médio de violação de dados (EUA):** US$9.36M - maior do mundo (IBM 2024) - **Comprometimentos de dados (EUA):** 3.158 incidentes em 2024 (ITRC) - **Ransomware:** 59% dos ataques globais visam organizações nos EUA - **Supply chain attacks:** aumento de 431% entre 2021-2024 - **CISA KEV:** 1.100+ vulnerabilidades ativamente exploradas catalogadas - **Tempo médio de detecção:** 194 dias nos EUA (IBM 2024) - **Setor mais caro:** Saúde - US$10.93M por violação (IBM 2024) - **Canadá:** 5o maior alvo de ransomware globalmente; 47.000 incidentes reportados ao CCCS em 2024 --- ## Recomendações > [!tip] Recomendações para organizações na América do Norte > 1. Adotar NIST CSF 2.0 como framework base e implementar CMMC 2.0 para cadeias de suprimento de defesa - priorizando gestão de identidade e acesso (Zero Trust) > 2. Monitorar CISA KEV continuamente e aplicar patches em vulnerabilidades listadas dentro de 48 horas - automatizar com SOAR onde possível > 3. Implementar detecção de living-off-the-land (LOLBins) e monitoramento comportamental de rede para identificar pré-posicionamento de atores state-sponsored como Volt Typhoon --- ## Referências - [IBM Cost of a Data Breach Report 2024](https://www.ibm.com/reports/data-breach) - [CISA Known Exploited Vulnerabilities Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Verizon Data Breach Investigations Report 2024](https://www.verizon.com/business/resources/reports/dbir/) - [ITRC Annual Data Breach Report 2024](https://www.idtheftcenter.org/) - [Mandiant M-Trends 2024](https://www.mandiant.com/m-trends) - [Canadian Centre for Cyber Security - National Cyber Threat Assessment](https://www.cyber.gc.ca/) --- ## Notas Relacionadas - [[_regions|Regiões]] - Index de perfis regionais - [[_market|Market Intelligence]] - Hub de inteligência de mercado - [[brasil|Brasil]] - Perfil regional do Brasil - [[g0016-apt29|APT29]] · [[g1017-volt-typhoon|Volt Typhoon]] · [[g1015-scattered-spider|Scattered Spider]] · [[lockbit|LockBit]] · [[g0096-apt41|APT41]] · [[g0032-lazarus-group|Lazarus Group]] · [[g0046-fin7|FIN7]] - [[nist-csf|NIST CSF]] · [[pci-dss|PCI-DSS]] · [[iso-27001|ISO 27001]] --- ← Voltar para **[[_regions|Regiões]]** · **[[_market|Market Intelligence]]**