Relatório de Ameaças à Internet (ISTR) – 2019

Visão Geral

Anualmente a Symantec realiza uma pesquisa detalhada por seus 123 milhões de sensores, que registram milhares de eventos de ameaças por segundo, em 157 países e territórios. Esses dados são consolidados e disponibilizados no Relatório de Ameaças à Internet.

Em resumo, temos seis principais tipos de ataques, que serão relacionados com mais detalhes nos tópicos abaixo: Ataques Web, FormJacking, Ransomware, Ataques direcionados, Cryptojacking e Ataques por Ferramentas Nativas e à Cadeia de Fornecimento.

Com o crescimento na adoção de serviços e hospedagens na nuvem, a segurança da informação deve ter prioridade. Há disponíveis na internet ferramentas de hacking prontas para a localização de serviços e servidores expostos na internet, facilitando o acesso a dados sensíveis.

A internet das coisas está com previsão de um aumento exponencial para daqui a 4 anos, o que pode complicar nas questões de segurança, pois são dispositivos que não possui atualizações frequentes e passíveis de vulnerabilidades com o passar do tempo.

A privacidade volta a ser discutida em um cenário um pouco diferente, nos dispositivos móveis. Nos dias de hoje os nossos dispositivos móveis concentram a maior parte de informações pessoais, como por onde passamos, onde estamos e quanto tempo ficamos em um determinado local, como também em registros pessoais em fotos/vídeos/áudios do nosso dia-a-dia.

Confira abaixo nossa análise do Relatório de Ameaças à Internet (ISTR) – 2019.

Tipos de Ataques em destaque

Ataques web

Ataques Web podem ser definidos como qualquer tipo de ação ativa ou passiva de obter dados de usuários através de páginas maliciosas.  De acordo com o Relatório da Symantec, houve um aumento de 56% em relação ao ano de 2017. Em dezembro de 2018, a Symantec bloqueou mais de 1,3 milhão de ataques web únicos diariamente em dispositivos nos endpoints. O tipo de ataque mais utilizado foi o de FormJacking, que será explicado no próximo tópico.

Apesar das proteções existentes serem eficazes contra a maioria dos ataques web, ainda está forte no mercado devido a falta de conhecimento de segurança da informação por parte dos usuários.

FormJacking

É um tipo de ataque onde os criminosos cibernéticos injetam códigos maliciosos em sites de e-commerce com o objetivo de capturar informações de cartão de crédito. Com os dados em mãos, eles vendem em mercados clandestinos pelo valor de até US$ 45, podendo lucrar na casa dos milhões. Devido ao lucro rápido, este ataque teve um crescimento anormal nos últimos meses, chegando a alcançar mais de 2 milhões de tentativas entre novembro e dezembro.

Relatório de Ameaças à Internet; ISTR; Relatório de Ameaças à Internet (ISTR) – 2019; Ameaças à InternetDo total de 3,7 milhões de eventos bloqueados em 2018, 3,1% ou 1 em cada 32,54 ataques, teve como alvo o Brasil. No ranking global, o Brasil ficou em oitavo, e os Estados Unidos ficaram em primeiro com 33,3% dos ataques.

Ransomware

Conhecido como sequestro de dados, é um tipo de malware que quando instalado na estação de trabalho do usuário, criptografa todo o disco ou arquivos específicos, solicitando um pagamento como forma de resgate para reaver os dados.

Inicialmente em 2016 os ataques eram direcionados a usuários domésticos, e em 2017 houve um crescimento de eventos como alvo as organizações. Já em 2018 houve uma queda desse tipo de ataque, mas houve um crescimento de ataques a organizações, segundo o relatório de Ameaças à Internet da Symantec.

A explicação para a queda de eventos pode estar relacionada ao uso da nuvem (como forma de backup) e mecanismos sofisticados e atualizados para detecção desse tipo de malware antes de chegar a se instalar nas estações de trabalho. Com isso, os ataques estão sendo direcionados a dispositivos móveis, tendo um aumento de 33% em relação ao ano de 2017.

Ataques direcionados

São ataques que visam um grupo de pessoas ou organizações utilizando malwares para roubo de informações ou interesses em geral.

Os ataques direcionados voltou a ser discussão depois da suposta influência de grupos de espionagem nas eleições dos Estados Unidos. Após acontecimentos semelhantes, a Symantec criou a solução TTA (Targered Attack Analytics) em 2018, que aproveita a inteligência artificial avançada para detectar padrões de atividade maliciosa associados a ataques direcionados. Esta solução trouxe para conhecimento que grupos de ataque ainda desconhecidos estavam associados em investigações criminosas.

O aumento desses grupos pode estar associado a utilização de ferramentas hacking (que ocultam rastros em processos legítimos) e da utilização de códigos maliciosos nas ferramentas do dia-a-dia, e uma das principais motivações está na coleta de informações, que equivale a 96% dos motivos relacionados aos grupos de ataque.

Cryptojacking

É a utilização de processamento do dispositivo do usuário sem seu consentimento para mineração de criptomoedas, através de páginas da internet comprometidas.

Houve o crescimento em 2018 de 4x em relação ao ano de 2017, porém ao decorrer do ano, houve uma queda de 52% nos eventos, devido aos valores das criptomoedas caírem quase 90% (moeda Monero, uma das principais do mercado virtual). Mesmo tendo redução significativa durante o decorrer dos meses de 2018, essa prática ainda vai permanecer como preferência dos criminosos cibernéticos devido ao anonimato, facilidade de execução e à volatilidade das moedas virtuais.

Ataques por Ferramentas Nativas e à Cadeia de Fornecimento

O ataque por ferramentas nativas consiste em utilizar programas de uso comum, como por exemplo o Microsoft Office para disseminar malwares que serão utilizados como ponte de acesso e/ou para exploração lateral, propagando-se por compartilhamentos de rede. Já o ataque à Cadeia de Fornecimento, é explorado serviços e software de terceiros para comprometer um alvo final. Esses ataques utilizam como método principal, o phishing, um velho conhecido, mas não obsoleto.

No ano de 2018, arquivos do pacote Microsoft Office representaram em torno de 48% dos anexos de e-mail maliciosos, contra 5% em 2017. Este método está voltando a ser utilizado com mais frequência devido ao grande público que ele atinge, por ser uma ferramenta do dia-a-dia tanto das empresas como de um usuário comum.

Relatório de Ameaças à Internet; ISTR; Relatório de Ameaças à Internet (ISTR) – 2019; Ameaças à InternetEm relação ao ataque a serviços e softwares de terceiros, houve um aumento significativo de 78% de 2017 para 2018. Os criminosos cibernéticos aproveitam a confiabilidade desses softwares (pacotes de atualizações, por exemplo) por parte do usuário final, e injetam códigos maliciosos, que serão instalados e executados no destino como se fosse um software legítimo.

Conforme ISRT (Relatório de Ameaças à Internet) 2019 informa, “tanto os ataques à cadeia de suprimentos quanto os que utilizam ferramentas do dia a dia destacam os desafios enfrentados por organizações e indivíduos”. Esse tipo de detecção não é fácil de ser descoberto, e necessita de uso de métodos avançados, como o aprendizado de máquina e analisadores.

Desafios de Segurança na Nuvem

Relatório de Ameaças à Internet; ISTR; Relatório de Ameaças à Internet (ISTR) – 2019; Ameaças à InternetAs organizações estão preferindo migrar seus servidores para a nuvem devido ao custo acessível e aos benefícios que são disponibilizados em forma de pacote. Porém, essas migrações estão sendo realizadas sem qualquer segurança, abrindo brechas para atacantes explorarem. Nos noticiários podemos perceber essa falta de configuração com os vazamentos de milhares de registros de banco de dados.

Outro ponto que deve ser observado, são as explorações de vulnerabilidades que foram descobertas recentemente nos processadores (Meltdown, Spectre e suas variantes), onde o atacante consegue extrair dados do cache da memória (armazenamento temporário) do processador. O que pode piorar na nuvem, é que esse cache é compartilhado entre as máquinas virtuais hospedadas. Por exemplo, um atacante malicioso pode alugar um servidor na nuvem e executar scripts para resgatar esses dados do cache, só que os dados serão de todas as máquinas virtuais que estão sendo executadas naquele servidor físico da nuvem.

O desafio é mitigar esses ataques o mais breve sem afetar a disponibilidade, integridade e confidencialidade dos dados dos clientes.  A proteção dos servidores expostos na nuvem deve ser considerada e avaliada cuidadosamente para mitigar ataques.

IoT – Internet das Coisas

A Internet das Coisas é um conceito que define a qualquer equipamento conectado diretamente na internet, por exemplo câmeras IPs, roteadores domésticos, lâmpadas, geladeira, SmartTV etc.

O volume geral de ataques a IoT vem crescendo duranteos últimos anos e à medida que novos dispositivos são adicionados na internet. As câmeras IP e os roteadores são os principais equipamentos que mais sofreram ataques, representando respectivamente 15% e 75% dos registros de ameaças. Em média há cerca de 5.200 ataques contra dispositivos IoT, segundo o Relatório de Ameaças à Internet da Symantec.

Esse crescimento se dá a esses dispositivos serem dificilmente atualizados e o aumento de vulnerabilidades encontradas neles. Uma das ameaças que ficou conhecida no ano de 2018 foi o VPNFilter, que consiste em se instalar no roteador e a partir daí, controlar todo o tráfego da rede, podendo inclusive inutilizar o dispositivo como também redirecionar tráfegos legítimos a sites falsos para roubo de informações. O diferencial do VPNFilter, é que mesmo reiniciando o roteador, não é desfeita a configuração. É necessário redefinir ou até mesmo restaurar o firmware.

Estimativas de crescimento do mercado de IoT para 4 anos é de US$26 bilhões aproximadamente, conforme figura abaixo.

Relatório de Ameaças à Internet; ISTR; Relatório de Ameaças à Internet (ISTR) – 2019; Ameaças à InternetDispositivos móveis e privacidade

“Em 2018, a Symantec bloqueou uma média de 10.573 aplicativos maliciosos em dispositivos móveis diariamente. Ferramentas (39%), Estilo de Vida (15%) e Entretenimento (7%) foram as categorias mais observadas de aplicativos maliciosos.”

Além do roubo de informações por aplicativos maliciosos, há também a questão da privacidade envolvida, pois nos nossos dispositivos móveis podem dizer muito sobre nós. Segundo o Relatório de Ameaças à Internet da Symantec, em análise dos 100 apps grátis mais populares das lojas do Android e iOS, todos coletam algum tipo de informação pessoal (conhecido como PII – Informação de Identificação Pessoal) como por exemplo, número de telefone, endereço de e-mail e nome de usuário. A maioria solicita permissões para rastreamento de localização, acesso à câmera e gravação de áudio, mesmo não sendo necessário para a execução do aplicativo.

Um exemplo dado foi de um aplicativo de lanterna gratuito com mais de 10 milhões de downloads solicitando acesso ao armazenamento do dispositivo, a capturar fotos e vídeos, gravar áudio, localização e acesso completo em fotos mídias e arquivos do dispositivo. Esses acessos descritos são apenas alguns de muitos acessos solicitados por esse aplicativo. Toda essa informação é vendida para terceiros, que podem utilizar esses dados para fins de marketing ou até mesmo para fins maliciosos.

Com a chegada da GDPR e LGPD há uma preocupação maior relacionado a privacidade, porém as multas impostas pelos órgãos reguladores são apenas referentes ao armazenamento e utilização sem o consentimento do usuário, o que não acontece nesses aplicativos. A princípio o usuário consente as permissões solicitadas por eles sem ao menos ler ou avaliar o impacto.

Avaliação do resultado do Relatório de Ameaças à Internet (ISTR) – 2019

Com base no Relatório de Ameaças à Internet podemos concluir que a redução dos rendimentos de cryptojacking e ransomware faz criminosos cibernéticos recorrerem a métodos alternativos para ganhar dinheiro.

  • O Formjacking é o novo ataque que está ganhando força devido ao retorno rápido na forma de dinheiro, tendo uma média de 4.800 sites comprometidos a cada mês.
  • A nuvem está se tornando cada vez mais usual, e espaços em discos tanto em servidores como em estações de trabalho estão sendo pouco utilizados, dificultando a ações de ransomware. Há tembém a há preocupação com vazamentos de dados devido a rápida adoção da Nuvem por empresas sem a devida configuração de segurança.
  • Ferramentas prontas e pontos fracos de logística permitem ataques mais furtivos e ambiciosos.
  • Com o crescimento da Internet das Coisas, e suas fragilidades em relação à segurança, está aumentando o interesse dos criminosos cibernéticos.
  • Privacidade: Devido o número crescente de utilização de aplicativos em smartphones, criminosos cibernéticos estão utilizando permissões dos aplicativos criados por eles para rastrear localidade e outras informações do usuário.
  • O phishing permanece como principal método de entrada de malwares nas organizações devido ao pouco conhecimento dos usuários em segurança da informação.
  • IoT foi um ponto de entrada fundamental para ataques direcionados; a maioria dos dispositivos de IoT são vulneráveis.

Finalizando a análise do ISTR (Relatório de Ameaças à Internet), sugiro a leitura complementar de um artigo que explico sobre uma ferramenta de prevenção a perda de dados, o Symantec DLP.

Até a próxima.

 

 

Fonte: Relatório de Ameaças à Internet (ISTR) – 2019 (Internet Security Threat Report (ISTR), Volume 24, Symantec)

[wp-review id=”14498″]

Checklist: Planejamento estratégico de TI e Segurança em 2025

Participe da comunidade de tecnologia da Tripla

Siga a Tripla nas redes

Quer saber como nossas soluções podem beneficiar sua empresa? Converse com nossos especialistas!

Participe da comunidade
de tecnologia da Tripla

Copyright © 2020 Tripla

Fale com um de nossos consultores