Cenário de ameaças mostra evolução do malware de exploração de criptomoedas

Os cibercriminosos estão desenvolvendo seus métodos de ataque para aumentar a taxas de sucesso e acelerar as infecções. Embora ransomware continue afetando as organizações de maneiras destrutivas, recente relatório do cenário global de ameaças da Fortinet revela que há indícios de que alguns cibercriminosos agora preferem usar sistemas de sequestro e criptomineração, em vez de exigir resgate.

Os dados indicam que os cibercriminosos estão ficando melhores e mais sofisticados no uso de malware e aproveitando as vulnerabilidades de dia zero recém-anunciadas para atacar em alta velocidade e ampla escala. Embora o número de detecções de explorações por empresa tenha caído 13% no primeiro trimestre de 2018, o número de detecções de explorações únicas cresceu mais de 11%, enquanto 73% das empresas sofreram uma exploração grave.

O malware está evoluindo e ficando mais difícil de prevenir e detectar. A predominância de malware de criptomineração mais que dobrou de um trimestre para outro, subindo de 13% para 28%. O cryptojacking apresentou grande predominância no Oriente Médio, na América Latina e África. O malware de criptomineração também apresenta uma diversidade incrível para uma ameaça relativamente nova.

Segundo o relatório, os cibercriminosos estão criando malware sem arquivos, que fica mais escondido, para injetar códigos infectados em navegadores com menos detecção. Os cibercriminosos estão almejando vários sistemas operacionais e diferentes criptomoedas, incluindo Bitcoin e Monero. Eles também estão refinando suas técnicas de entrega e propagação em relação a outras ameaças com base na avaliação no que teve ou não sucesso para melhorar as futuras taxas de sucesso.

O impacto de um malware destrutivo continua alto, principalmente quando os criminosos o combinam a ataques de designer, revela a Fortinet. Para esses tipos de ataques mais direcionados, os criminosos realizam uma análise detalhada da organização antes de iniciar o ataque, ajudando a aumentar as taxas de sucesso. Depois de entrarem na rede, os criminosos se movimentam lateralmente pela rede antes de acionar a parte mais destrutiva do ataque planejado. O malware Olympic Destroyer e o ransomware SamSam mais recente são exemplos de ataque de designer combinado a malware destrutivo, maximizando o impacto do resultado.

O aumento tanto no volume quanto na sofisticação do ransomware continua um grande desafio para a segurança das organizações. Segundo a Fortinet, o ransomware continua evoluindo, usando novos canais de entrega, como engenharia social, e novas técnicas, como ataques em vários estágios para evitar a detecção e infectar sistemas. O ransomware GandCrab surgiu em janeiro com a distinção de ser o primeiro ransomware a exigir o pagamento na criptomoeda Dash. BlackRuby e SamSam são duas outras variantes de ransomware que surgiram como grandes ameaças no primeiro trimestre de 2018.

A pesquisa revela ainda que os ataques aos canais laterais Meltdown e Spectre dominaram as manchetes deste primeiro trimestre, mas alguns dos principais ataques visaram dispositivos móveis ou explorações conhecidas em tecnologias de roteador, web ou internet. 21% das organizações relataram malware móvel, um aumento de 7%, mostrando que os dispositivos de IoT continuam na mira.

Os cibercriminosos também continuam explorando vulnerabilidades conhecidas que não foram corrigidas, além de ataques de dia zero recentemente descobertos para aumentar as oportunidades. A Microsoft continua como o alvo número um das explorações, e os roteadores ficaram em segundo lugar no volume total de ataques. Sistemas de gerenciamento de conteúdo (CMS) e tecnologias para a web também foram visados com muita frequência.

Medir por quanto tempo as infecções por botnet persistem com base no número de dias consecutivos em que comunicações contínuas são detectadas mostra que a higiene envolve mais do que apenas aplicar correções. Isso também envolve remover as infecções dos sistemas. Os dados mostraram que 58,5% das infecções por bots são detectadas e limpas no mesmo dia. 17,6% persistem por dois dias e 7,3% o fazem por três dias. Cerca de 5% duraram mais de uma semana. Como exemplo, o botnet de Andrômeda foi eliminado no quarto trimestre de 2017, mas os dados do primeiro trimestre o posicionam como uma grande ameaça tanto em volume quanto em prevalência.

Embora os ataques a tecnologia operacional (TO) sejam uma porcentagem menor do cenário geral de ataques, as tendências são preocupantes. Este setor está cada vez mais conectado à internet, com ramificações graves para a segurança. Hoje, a grande maioria das atividades de exploração é direcionada aos dois protocolos de comunicação industrial mais comuns, porque eles são amplamente utilizados e, portanto, mais visados. Os dados mostram que, na Ásia, as tentativas de exploração de ICS parecem ser um pouco mais prevalentes quando comparadas à prevalência da atividade de exploração do ICS em outras regiões.

“Vemos uma convergência preocupante de tendências em todo o cenário de cibersegurança. Os cibercriminosos estão mostrando sua eficiência e agilidade, explorando a superfície de ataque digital em expansão, aproveitando ameaças de dia zero recém-anunciadas e maximizando a acessibilidade de malware que causam muitos problemas. Além disso, as equipes de TI e TO geralmente não têm os recursos necessários para manter os sistemas devidamente protegidos ou fortalecidos. Felizmente, a implementação de um fabric de segurança que prioriza a velocidade, a integração, a análise avançada e a tomada de decisões com base no risco pode permitir uma proteção abrangente na velocidade e escala das máquinas”, disse Phil Quade, diretor de segurança da informação da Fortinet.

Os dados sobre ameaças do relatório deste trimestre reforçam muitas das tendências de previsão reveladas pela equipe de pesquisa global do Fortinet FortiGuard Labs para o ano de 2018, confirmando que a melhor defesa contra ameaças inteligentes e automatizadas é o fabric de segurança integrado, abrangente e automatizado. Um sistema de defesa e segurança altamente informado e proativo é necessário para acompanhar a próxima geração de ataques automatizados e baseados em IA.