Check Point: Sase pode bloquear malwares desconhecidos e de difícil detecção

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, chama a atenção sobre os novos tipos de malware em constante transformação difíceis de serem detectados. E, uma vez que o malware é uma tática obrigatória e uma ferramenta essencial para os atacantes, os pesquisadores da empresa reforçam que a capacidade de detectar e prevenir um malware nunca antes visto é fundamental para fechar a janela de oportunidade de um atacante. É por esta razão que uma solução Secure Access Service Edge (Sase), com foco na prevenção de ameaças, é fundamental para a defesa contra novos tipos de malware.

De acordo com o Relatório de Cibersegurança de 2023 da Check Point Software, 32% dos ataques cibernéticos em todo o mundo são baseados em malware multifuncional, sendo o e-mail o vetor de 86% desses ataques. Os malwares mais cruéis são os Wipers (limpadores de Dados), cujo único objetivo é causar danos e destruição irreversíveis. Os Wipers foram usados muito mais vezes em 2022 que nos últimos 30 anos.

“Diante desse cenário, é preciso proteger-se contra o malware mais recente e, para isto, vale a pena conhecer o seu inimigo. Segundo disse Sun Tzu, general, estrategista e filósofo chinês, e que escreveu ‘A Arte da Guerra’, em uma de suas táticas, ‘Não espere estar em um posição que o inimigo não ataque, mas dependa de estar em uma posição que não possa ser atacado’. Assim, a prevenção torna-se uma das fundamentais formas para evitar o ataque”, comenta Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil.

Os pesquisadores categorizaram quatro tipos de malware no Relatório de Cibersegurança de 2023: um malware multiuso, infostealers, criptomineradores e malware móvel, que são descritos brevemente abaixo. Existem muitas variantes dentro de cada categoria com diferentes táticas de distribuição. Em 2022, a Check Point Research identificou o malware que é líder global: o Emotet.

Malware multifuncional
Esse malware comum inclui cavalos de Tróia bancários e botnets. Muitas vezes é usado para obter acesso inicial a um ambiente, e diversas variantes costumam ser usadas em combinação por cibercriminosos para diferentes fins. O Emotet, inicialmente descoberto em 2014, é o tipo mais prevalente. Outros malwares multifuncionais conhecidos incluem o Qbot, Raspberry Robin e o botnet Phorpiex.

Wiper (limpador de Dados) de Malware
Várias novas famílias de malware de limpeza de dados apareceram ao longo de 2022. A maioria era destinada a organizações e infraestrutura dentro de rivais políticos por hacktivistas ou atacantes de estado-nação. Os wipers são malwares cruéis projetados para infligir destruição máxima. Danos aos Dados geralmente são irreversíveis.

Infostealers (ladrões de informações)
Credenciais e cookies roubados alimentam um crescente mercado clandestino de serviços de ataques cibernéticos. Os cibercriminosos usam infostealers para espalhar infecções de malware. Após a infecção inicial, eles procuram identificar informações de credenciais de VPN e tentam acessar as redes internas da empresa alvo. Os infostealers afetaram 24% de todas as organizações no mundo em 2022. Os quatro mais comuns — AgentTesla, Formbook, SnakeKeylogger e LokiBot — também estão entre os seis principais malwares globais.

Criptomineradores
Em 2022, o malware criptominerador caiu de 21% em 2021 para 16% globalmente. Os atacantes usaram o XMRig, uma ferramenta legítima de mineração de código aberto, para 76% dos ataques de criptomineração em 2022. O LemonDuck é outro malware de criptomineração. Detectado pela primeira vez em 2019, possui amplos recursos, incluindo roubo de credenciais, movimento lateral e capacidade de soltar ferramentas para ataques operados por humanos.

Ransomware e táticas de mudança
As campanhas de ransomware empregam vários tipos de malware para executar comandos do sistema, roubar dados e preparar o terreno para a demanda final de resgate. No passado, agentes individuais de ransomware automatizavam campanhas para atingir vítimas e exigir pequenas quantias de dinheiro. Houve uma mudança significativa nas táticas, pois as entidades de ransomware como serviço (RaS – Ransomware as a Service) visam especificamente as vítimas e produzem campanhas lideradas por humanos. Eles podem criptografar os dados das vítimas, liberando as chaves de descriptografia após o pagamento do resgate. Outros ignoram a criptografia e ameaçam leiloar ou liberar dados confidenciais para pagamento. Alguns contatam os funcionários, parceiros de negócios e clientes da organização vítima para aumentar a pressão. Outros simplesmente destroem os dados em vez de criptografá-los.

Prevenção x Detecção: pare com isso rápido!
Novos tipos de malware em constante transformação são difíceis de detectar. Eles podem escapar facilmente do software antivírus (AV), que depende de assinaturas ou hashes gerados a partir de arquivos suspeitos já conhecidos. Arquivos suspeitos recebem um hash exclusivo de caracteres alfanuméricos. O malware de dia zero ou variantes de ameaças nunca antes vistas não têm assinaturas criadas, portanto, seu software AV, SWG (Secure Web Gateway) ou firewall de última geração não pode identificá-los e bloqueá-los. A capacidade de detectar e prevenir malware nunca antes visto é fundamental para fechar a janela de oportunidade de um atacante. É por isso que uma solução Secure Access Service Edge (Sase) focada na prevenção de ameaças é fundamental para a defesa contra novos tipos de malware.

“Uma solução SASE com foco na prevenção bloqueia um malware de dia zero nos momentos mais críticos de um malware que são as primeiras horas e os primeiros dias. Em recente benchmark de segurança de firewall de próxima geração (NGFW) 2023, a Miercom mostrou que a tecnologia da solução Check Point evitou 99,7% dos novos downloads de malware, com o concorrente mais próximo alcançando 72,7%. A Check Point também teve a menor taxa de falsos positivos, 0,13%, oferecendo uma versão nativa da Nuvem dos mesmos mecanismos de prevenção de ameaças, para que os clientes recebam a mesma proteção nos serviço de Nuvem”, diz Fernando de Falchi.

Capacidades que fazem a diferença
De acordo com Falchi, uma solução Sase focada na prevenção combina quatro recursos robustos que permitem evitar o malware mais recente:

 Sandboxing: Sandboxing (emulação de ameaças) inspeciona arquivos em busca de centenas de indicadores diferentes — como técnicas de evasão, macros de abertura de arquivo, serviços fora de contexto — para determinar quais arquivos são maliciosos.

 Inteligência de ameaças de Big Data e IA: a inteligência de ameaças de Big Data coletada de centenas de milhões de sensores em todo o mundo, combinada com IA e mecanismos de aprendizado de máquina, permitem a identificação e o bloqueio rápidos de ameaças emergentes.

 Virtual Patching e Cloud IPS: Um sistema de prevenção de intrusão baseado em Nuvem, ou Cloud IPS, interrompe o comportamento anômalo e corrige virtualmente vulnerabilidades recém-descobertas (CVEs) em navegadores, aplicações e sistemas.

Inspeção completa de tráfego: Sase com foco na prevenção realiza inspeção completa de tráfego em todas as portas e protocolos.

Legenda gráfico: Malware mais prevalente globalmente em 2022 (fonte: Check Point Research)