A Fortinet anuncia seu mais recente relatório sobre o cenário global de ciberameaças. O estudo mostra em detalhes os métodos e as estratégias que os cibercriminosos usam e explica o possível impacto futuro na economia digital. A pergunta "Qual é a minha maior ameaça?" continua difícil de ser respondida, pois antigas ameaças aparecem novamente e surgem novos ataques automatizados e em grande volume.
Os destaques do estudo: Dados locais
Brasil está entre os maiores alvos de ataque DDoS no mundo e é o principal alvo da América Latina
Um dado que realmente salta aos olhos é a quantidade alarmante de infecções do ransonware Cerber que se deu durante o segundo trimestre de 2016. Pelos dados estamos falando de um pouco mais de 700 mil vítimas deste malware apenas no Brasil.
O ransomware detectado com mais frequência pelo o sistema de telemetria de ameaças foi o Locky, observado em 87% de todas as infecções por ransomware detectadas, com o TorrentLocker em 2º lugar. Assim como ocorre com a maioria dos tipos de ransomware, o Locky e o TorrentLocker mantêm os dados da vítima como refém criptografando os arquivos e depois cobrando um resgate para descriptografá-los.
A maioria dos malwares móveis detectados está no sistema Android, e isso acontece porque com os dispositivos com sistema Android, os usuários podem instalar facilmente aplicativos de terceiros, que podem ser transferidos com malware no Android. O cinco tipos de malware móvel mais frequentes estão todos relacionados ao sistema Android, com o Android/Generic.S.37D422!tr em primeiro lugar, que é um tipo de trojan para Android que rouba informações do usuário.
O "Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass" causou a maior parte dos ataques dentre os 5 eventos de IPS mais frequentes, correspondendo a mais de 9 milhões dos ataques detectados. Com um pouco mais de um trimestre de atividade, a vulnerabilidade presente nos dispositivos do fabricante Netcore pulou para o 1º lugar com mais de 60% de todos os eventos de prevenção à intrusão visualizados em todo o País. Não existe ainda correção disponível para esta vulnerabilidade; por isso foram vários ataques como esses em 2016, que provavelmente devem continuar em 2017.
Dados globais
Tendências de infraestrutura e como estão relacionadas às ameaças
É importante considerar as tendências de infraestrutura e como elas se relacionam ao cenário de ameaças. Explorações, malware e botnets não acontecem no vácuo e a detecção ou prevenção de ameaças se torna cada vez mais complicada com a evolução da infraestrutura de rede.
Os dados mostram que o tráfego criptografado usando o SSL permaneceu estável em cerca de 50% e correspondeu a aproximadamente metade do tráfego geral na web de uma organização. O uso do tráfego HTTPS é uma tendência importante para ser monitorado, pois, embora seja bom para a privacidade, apresenta desafios na detecção de ameaças que podem ficar ocultos em comunicações criptografadas. Muitas vezes o tráfego SSL não é examinado devido à grande sobrecarga de processamento necessária para abrir, inspecionar e criptografar novamente o tráfego, forçando as equipes a escolher proteção ou desempenho.
Em termos de total de aplicativos detectados por organização, o número de aplicativos na nuvem apresentou tendência de aumento, subindo para 63, que é aproximadamente um terço de todos os aplicativos detectados. Essa tendência tem implicações significativas para a segurança, porque assim as equipes de TI têm uma visibilidade menor dos dados armazenados nos aplicativos na nuvem, do uso desses dados e de quem tem acesso a eles. As mídias sociais, o streaming de áudio e vídeo e os aplicativos P2P não apresentaram tendência acentuada de aumento.
Um exército de dispositivos criados pelo submundo digital
Os dispositivos de IoT são produtos procurados por cibercriminosos do mundo inteiro. Eles estão construindo exércitos de dispositivos e a capacidade de replicar ataques a baixo custo e em velocidade e escala incríveis é o pilar central do ecossistema do cibercrime moderno.
No quarto trimestre de 2016, o setor estava se recuperando da violação de dados do Yahoo! e do ataque DDoS à empresa Dyn. Antes da metade do trimestre, os registros causados por esses dois eventos não estavam apenas quebrados, mas duplicados.
Os dispositivos de internet das coisas (IoT), comprometidos pelo botnet Mirai, iniciaram ataques DDoS de múltiplos registros. A liberação do código-fonte Mirai aumentou a atividade do botnet em 25 vezes em uma semana, com a atividade aumentando em 125 vezes até o fim do ano.
A atividade de exploração relacionada à IoT em várias categorias de dispositivos mostrou varreduras em roteadores e impressoras residenciais vulneráveis, mas os DVRs/NVRs brevemente eclipsaram os roteadores como a coisa preferida, produzindo um grande salto que ultrapassa 6 ordens de magnitude.
O malware móvel se tornou um problema maior do que antes. Embora represente apenas 1,7% do volume total de malware, uma em cada cinco organizações que relataram detecção de malware encontrou uma variante móvel, quase sempre no Android. Diferenças regionais consideráveis foram encontradas nos ataques de malware móveis, com 36% deles provenientes da África, 23% da Ásia, 16% da América do Norte, e 8% da Europa. Esses dados mostram quais dispositivos são confiáveis nas redes corporativas atuais.
Predominância de ataques automatizados e em grande volume
A correlação entre o volume de exploração e a predominância indica aumento na automação dos ataques e redução de custos para malware e ferramentas de distribuição disponíveis na web obscura. Isto está tornando os ataques mais baratos e mais fáceis do que nunca.
SQL Slammer apareceu no topo da lista de detecção de explorações, classificado com gravidade alta ou crítica, afetando principalmente instituições educacionais.
Em segundo lugar está uma exploração que indica tentativas de ataques de força bruta no Microsoft Remote Desktop Protocol (RDP). Essa ameaça lançou pedidos de RDP em uma taxa de 200 vezes a cada 10 segundos, explicando o alto volume detectado em empresas do mundo todo.
Em terceiro lugar está uma assinatura ligada a uma vulnerabilidade de corrupção de memória no Gerenciador de Arquivos do Windows, que permite que um invasor remoto execute um código arbitrário em aplicativos vulneráveis com um arquivo jpg.
H-Worm e ZeroAccess tiveram a maior predominância e volume em famílias de botnet. Essas duas ameaças passam para os cibercriminosos o controle dos sistemas afetados para extrair dados ou realizar fraudes via cliques e mineração de bitcoin. Os setores tecnológicos e governamentais foram os que mais sofreram tentativas de ataques dessas duas famílias de botnets.
Ransomware presente em todas as regiões e setores
Uma atenção especial ainda deve ser dedicada à ameaça ransomware, independente do setor, pois esse método de ataque de alto valor provavelmente continuará com o aumento de "ransomware como um serviço" (RaaS), em que criminosos sem treinamento ou habilidades especiais podem simplesmente baixar ferramentas e apontá-los para uma vítima.
36% das organizações detectaram atividade de botnet relacionada a ransomware. TorrentLocker ficou em primeiro lugar e Locky em terceiro.
Duas famílias de malware, Nemucod e Agent, cometeram uma série de crimes: 81,4% de todas as amostras de malware coletadas pertenciam a essas duas famílias. A família Nemucod está associada a ransomware.
A presença de ransomware foi detectada em todas as regiões e setores, mas principalmente em instituições de saúde. Isto é muito importante, porque quando os dados dos pacientes estão comprometidos, as ramificações podem ser muito mais graves, pois têm maior longevidade e valor pessoal do que outros tipos de dados.
Explorações audaciosas antigas estão de volta
Para combater os ataques, as empresas assumiram a política de "não permitir vulnerabilidade alguma". Infelizmente, a atenção dedicada a patches e falhas de segurança em dispositivos antigos ou software significa menos tempo e menos atenção para se concentrar na crescente superfície de ataque acelerada pelos atuais dispositivos digitais.
No total, 86% das empresas registraram ataques que tentavam explorar vulnerabilidades que existiam há mais de 10 anos. Quase 40% delas sofreram explorações contra CVEs (lista de vulnerabilidades e exposições comuns) ainda mais velhas.
A média de 10,7 explorações únicas de aplicativos foram rastreadas por organização. Cerca de 9 entre 10 empresas detectaram explorações de alta gravidade ou críticas.
Em geral, África, Oriente Médio e América Latina exibiram um maior número e variedade de detecções para cada categoria de ameaça ao comparar a média de explorações, malware e famílias de botnet detectadas por organizações de cada região do mundo. Essas diferenças pareceram mais acentuadas para botnets.