Cibercrime
Relatório da Fortinet destaca que a maioria das ameaças está relacionada à verificação e força bruta e ataques DDoS
O Brasil foi o país que mais recebeu ameaças cibernéticas por e-mail em todo o mundo nos meses de maio e junho. A constatação estampa um relatório sobre cibersegurança da Fortinet, atribuindo à escalada do cibercrime à atenção trazida pelos Jogos Olímpicos no País.
“O panorama de ameaças vem aumentando e só no mês de junho o crescimento de sites maliciosos foi de 83% no Brasil”, reforça Frederico Tostes, country manager da provedora de ferramentas de segurança.
No geral, a companhia observa um crescimento de 200% no número de tentativas de intrusão, indicando que mais cibercriminosos estão atacando o país. Porém, as ameaças predominantes são antigas e fáceis de executar.
“A maioria delas está relacionada à verificação e força bruta e ataques DDoS. Isso não quer dizer que estes são ataques mais perigosos, só que eles são mais utilizados por cibercriminosos”, destaca o documento.
A pesquisa, que deverá ser feito a cada três meses e divulgado gratuitamente ao mercado, tem como objetivo alertar as empresas sobre os tipos de ameaças mais comuns para aumentar a proteção.
Segundo o documento, de forma geral, os cibercriminosos estão cada vez mais eficientes quando se trata de adaptar e de evoluir estratégias de evasão aos produtos IPS e antivírus. “Vemos constante evolução tanto no que tange evasões anti-depuração de malwares quanto em evasões nas camadas de rede e aplicação em exploits”, salienta o documento.
Diante desse cenário, a ideia é que fabricantes de soluções de segurança devem oferecer aos seus clientes ampla visibilidade, controle granular e inteligência para conter ameaças globais em tempo real, protegendo de forma eficiente e eficaz a crescente superfície de ataque. Fica claro que é necessária uma nova abordagem.
A certeza é que mobilidade, a Internet das Coisas e a nuvem estão aqui para ficar, e já estão mudando a maneira como as empresas estão protegendo seus ativos. Assim, é difícil passar um dia sem que qualquer vulnerabilidade grave seja divulgada e milhares de novas variantes de vírus vistos em escala global.
“As empresas, até agora, se basearam amplamente em dispositivos de segurança e SIEM para ampliar a visibilidade e se adaptarem melhor às ameaças, mas isso já não é suficiente”, observa o relatório, indicando que o contexto requer uma abordagem mais integrada e eficiente.
O documento destaca entre as ameaças globais mais frequentes exploits, botnes e malwares. “Não são necessariamente as mais preocupantes, mas as que mostram mais atividade, possivelmente indicando um ataque maciço para alavancar as vulnerabilidades existentes”, aponta.
Principais armas
De acordo com o levantamento da Fortinet, o Brasil ainda está sendo alvo de malwares PHP e VBS, mas também está vendo um crescimento constante no número de ransomware. “Um fato interessante é o enorme crescimento no número de malwares Javascript no país, responsável por mais de 80% da atividade de malware em geral”, destaca.
Segundo a fabricante, agora existem dois exemplares de malware relacionados com atividades de ransomware entre os Top 5 malwares no Brasil, e esses são os tr JS/Nemucod. E366D !tr e o JS/Nemucod.ABD!tr.dldr. Tais programas maliciosos são espalhados via Javascript, principalmente quando um acesso é feito a um site infectado.
Entretanto, o principal malware presente no Brasil ainda é o W32/Agent.BKHB! tr.cldr , que é parte de uma família de malwares classificados como trojan. Primeiro, ele tenta desativar quaisquer recursos de segurança no Windows, como firewalls, e realiza tentativas para roubar informações sensíveis sobre o usuário, como informações bancárias e cartões de crédito.
“Esse vírus é muito focado em se esconder no sistema, infectar e se replicar em arquivos para manter a persistência. Ele é normalmente transmitido por anexos em e-mails de spam, pen drives ou mesmo downloads de arquivos torrents”, comenta.
Para evitar ser infectado por este tipo de malware, a recomendação é ficar longe de sites suspeitos e não clique ou baixe anexos de pessoas que você não conhece ou não confia. Não clique em popups de publicidade e não visite sites que têm medidas de segurança questionáveis, como sites de jogos e afins.
Táticas de ataque
A atividade botnet no Brasil durante o primeiro trimestre do ano foi dominada pelas Botnets Ganiw e XorDDoS, mas isso já não é válido, pois as Botnets Cerber e Andromeda tomaram os primeiros lugares. Cerber é um novo ransomware que apareceu em Q1 deste ano e é distribuído principalmente via exploit kits, explorando um bug no Adobe Flash Player (CVE- 2016-1019) e também via SPAM.
Esse é um exemplo de ransomware que é bem conhecido pela sua nota de sequestro ser entregue por meio de uma mensagem de áudio para a vítima, em vez de texto. Após a infecção, todos os arquivos no computador de destino são criptografados e sua extensão é alterada para “.cerber” . A botnet Andromeda tem tido um aumento constante em atividade no Brasil também seguido de perto pelo H -Worm e XoRDDoS Botnet.
Segundo a Fortinet, a maioria das atividades de exploração de vulnerabilidades no Brasil é baseada na varredura, na identificação e na exploração de gateways SIP abertos para a Internet, sendo que a assinatura IPS SIPVicious. SIP.Scanner identifica essa atividade.
Os criminosos utilizam esta ferramenta para que eles possam tomar o controle do gateway SIP e o utilizarem para chamadas não autorizadas. Esta atividade pode ser atribuída ao fato de que alguns trojans estão sendo instalados em sistemas com essa ferramenta, de modo a essencialmente construir uma Botnet para esse fim.
Houve também uma série de atividades relacionadas a ataques DNS, uma tendência clara que é notada em todo o mundo por meio dos nossos sensores. Em terceiro vem o bug Avahi DNS Service Discovery, uma falha descoberta em 2011 que depois de receber um pacote NULL UDP enviado para a porta 5353, o daemon vai entrar em um loop infinito, causando um DoS no serviço.
Ransomware veio para ficar
“Estamos presenciando um ponto de virada. Enquanto no ano passado a maioria dos malwares foi focada em manter o acesso e o roubo de informações, em 2016 o foco mudou, uma vez que os cibercriminosos perceberam o poder do ransomware. Trata-se provavelmente do empreendimento mais lucrativo que eles já visto e continuará assim nos próximos anos”, destaca.
O ransomware Locky é baixado pelo malware JS/ Nemucod.7827!trdldr – ele e suas variantes estão entre os TOP 3 nos gráficos em Q2 de 2016. Este pedaço de malware é baseado em Javascript, e quando um usuário inadvertido visita um site que contém esse malware, executa-se o vírus.
Fonte: ComputerWorld