Brasil é o quarto país do mundo com o maior número de malwares detectados, revela relatório

 

O relatório “Defending the Expanding Attack Surface”, da empresa de segurança Trend Micro revela um crescimento de mais de 57% nas ofensivas digitais contra empresas no primeiro semestre de 2022, em comparação com o mesmo período do ano passado. Ao todo, as ferramentas bloquearam 63 bilhões de ataques no período, contra 40 bilhões da primeira metade de 2021.

O Brasil figura no top 5 de dois rankings neste primeiro semestre: de malwares detectados, no qual ocupa a quarta posição, com 97 milhões, 327 mil bloqueios, e de ataques ao setor bancário, com a quinta colocação, por pouco mais de 5 mil tentativas de golpes.

O relatório aponta o crescimento de ciberataques em todos os tipos de campanha: de phishing por e-mail, arquivos e URLs maliciosas, que redirecionam para páginas que disseminam conteúdo infectado, sendo verificado tanto via desktop como por aplicativos de celular.

Os segmentos mais atacados foram o governamental, a indústria e o healthcare, que permanece na mira dos criminosos mesmo após dois anos e meio de pandemia do coronavírus. “A falta de atualizações em servidores e plataformas on-line continua sendo uma brecha explorada pelos hackers que conseguem executar os códigos remotamente, sequestrando e criptografando os dados com o objetivo de obter vantagem financeira”, destaca o pesquisador de Ameaças da Trend Micro, Fernando Mercês.

Desde 2020, o número de arquivos maliciosos bloqueados tem apresentado curva ascendente, saltando de pouco mais de 1 bilhão de bloqueios, no primeiro semestre daquele ano, para mais de 22 bilhões em meados de 2022. Acredita-se que a adoção do trabalho híbrido tenha contribuído para esse aumento vertiginoso.

Ransomware

Os dados de telemetria da Trend Micro revelam a atividade de 50 grupos de RaaS (Ransomware-as-a-Service) alvejando mais de 1.200 organizações no primeiro semestre de 2022. Ao todo, foram detectados mais de 8 milhões de ataques ransomware, o que representa aumento de 10% em relação ao mesmo período de 2021, quando foram bloqueadas 7,3 milhões de ameaças de ransomware.

Os pesquisadores destacam a significativa queda na atuação de novas famílias de ransomware, neste primeiro semestre, caindo de 49 para apenas 10, quando comparado com a primeira metado do ano passado.

Os cincos países mais atingidos por ransomware foram: Estados Unidos (19,69%), Japão (10,18%), Turquia (7,97%), Índia (5,11%) e Taiwan (4,29%). O Brasil concentra 7,3% dos casos de ransomware das Américas e 2% dos registros globais.

Famílias de Malware

Analisando a atividade das principais famílias de malware, o Emotet teve grande destaque, com aumento de 10 vezes em comparação com o primeiro semestre de 2021 – pulou de 13,8 mil para 148,7 mil detecções – prova de que está sendo oferecido como parte de um esquema de Malware-as-a-Service (MaaS). A maioria das detecções ocorreu no Japão, seguido por EUA, Índia, Itália e Brasil.

Você também deve ler!

O que é malware? Conheça os tipos mais comuns

Embora isso não indique, necessariamente, que o Japão é onde o Emotet está mais ativo (devido à natureza dos sensores de segurança), mostra que o malware tem altos níveis de atividade no país oriental.

Fonte: Trend

Ransomware: A ameaça do ransomware veio para ficar

 

Ransomware: A ameaça do ransomware veio para ficar. Sim, estou afirmando o óbvio; a ameaça do ransomware veio para ficar. 

De acordo com as estatísticas do Departamento do Tesouro dos EUA, as vítimas de ransomware nos EUA pagaram US$ 590 milhões em resgate a criminosos de ransomware no primeiro semestre de 2021. Esse dinheiro grande atraiu muitas gangues de ransomware. Repórteres que persseguem os eventos de ransomware identificaram 59 grupos criminosos diferentes por trás dos ataques nos últimos três anos.

Então, o que significa se estabelecer a longo prazo na batalha contra o ransomware? Atualize as bases do seu programa para considerar a ameaça do ransomware. Essas bases são seus modelos de risco, seus padrões de segurança de informações, suas políticas e procedimentos e seus critérios de avaliação de segurança e questionários relacionados. A maioria dos recursos para gerenciar ransomware na cadeia de suprimentos provavelmente já está em seu programa, pois são os fundamentos do gerenciamento de TI e segurança cibernética. Só que agora é mais importante garantir que seus fornecedores estejam fazendo o básico bem.

O estudo de ransomware de 2021 da Coveware reforça a importância de fazer bem o básico. Entre outras pérolas, eles descobriram que 42% dos eventos de ransomware começaram com um ataque de phishing, 42% exploraram o ambiente por meio de um RDP exposto à Internet ou outro serviço de gerenciamento remoto e 14% exploraram uma vulnerabilidade de software presente em um sistema voltado para a Internet. Esses três vetores foram responsáveis ​​por 98% dos ataques de ransomware – o básico! 

Atualize seus critérios de avaliação de fornecedores e procedimentos relacionados para enfatizar ainda mais os controles que são extremamente importantes para a confiabilidade e a resiliência diante do ransomware. Nesta seção, chamo alguns controles-chave que são comumente citados em fontes e padrões respeitáveis ​​que você deve considerar adicionar aos seus critérios de avaliação de fornecedores. Para um conjunto completo de recomendações, sugiro a leitura das fontes fornecidas no final desta seção.

1) Opere um programa de backup e restauração eficaz.

• Faça backups regulares de todos os arquivos de dados necessários para restaurar as operações de negócios em caso de perda de sistemas, aplicativos e dados.
• Restaure periodicamente os sistemas a partir do backup para garantir que os backups sejam suficientes para restaurar as operações rapidamente.
• Crie backups offline separados dos backups online para se proteger contra o evento de o ransomware atingir os sistemas de backup.

2) Prepare-se para um incidente.

Verifique se os fornecedores têm um plano de resposta a incidentes documentado e praticado e se eles têm um manual de resposta específico de ransomware.

3) Eduque os funcionários sobre como identificar e responder a e-mails de phishing.

Citado anteriormente, 42% dos ataques de ransomware começam com phishing. Certifique-se de que os fornecedores estejam instruindo seus funcionários sobre o risco de ataques de phishing e como evitar se tornar uma vítima. Empresas de conscientização de segurança de funcionários, como KnowBe4, PhishMe e Proofpoint, entre outras, envolvem ativamente os funcionários em programas de treinamento com ótimos resultados.

4) Exponha apenas serviços de rede autorizados e protegidos à Internet.

Compartilhando a liderança com phishing, 42% dos ataques de ransomware começam com a exploração de um serviço de protocolo de área de trabalho remota acessível pela Internet. Os serviços de RDP se tornam mais proeminentes durante a pandemia, pois as empresas costumam migrar às pressas os funcionários para o trabalho remoto.

Independentemente de ser o computador de um funcionário operando em casa ou um servidor implantado em um data center ou na nuvem, certifique-se de que os fornecedores restrinjam todos os serviços de rede expostos à Internet apenas àqueles que são explicitamente autorizados e operados de maneira defensável. O RDP, um serviço de acesso remoto muito comum e comumente explorado, não deve ser exposto à Internet. Em vez disso, deve ser usado um serviço VPN seguro que exija autenticação de dois fatores.

5) Mantenha os patches de software atualizados.

De acordo com a Coveware, 14% dos ataques de ransomware começaram com a exploração de software vulnerável em um sistema voltado para a Internet. Exija que seus fornecedores operem um programa robusto para manter os patches de software atualizados, principalmente o software de sistemas voltados para a Internet.

6) Impedir que o malware seja entregue e se espalhe para os dispositivos

• Filtre e-mails maliciosos antes da entrega em caixas de correio para software malicioso, conteúdo de phishing e fontes de má reputação.
• Faça proxy de todo o tráfego da Internet do usuário final por meio de um proxy que bloqueia automaticamente o acesso a sites mal-intencionados e detecta e bloqueia dinamicamente códigos e conteúdos mal-intencionados. Uma abordagem mais forte para proteger contra ameaças nativas da Web é permitir o acesso apenas a listas de navegação seguras.

7) Impedir a execução de malware nos dispositivos

Uma posição ideal para se estar é aquela em que o malware simplesmente não pode operar em endpoints. Os fornecedores podem chegar até lá com plataformas de proteção de endpoint em todos os sistemas. Eles interrompem as ameaças identificadas antes de serem instaladas no sistema host. No entanto, eles não fornecem 100% de proteção.

Dois controles adicionais aumentarão muito a capacidade de defesa dos sistemas .

• Remova os privilégios de administrador de usuários e aplicativos. Essa ação única fará com que a maioria dos ransomwares funcionem com sucesso em sistemas corrigidos.
• Administrar sistemas centralmente e controlar quais softwares podem ser instalados e operados nos sistemas. As soluções de lista de permissões de aplicativos podem ajudar a gerenciar isso em escala.

8) Detecte atividades maliciosas de rede e endpoint

Obviamente, não é razoável esperar que os controles preventivos bloqueiem todas as ameaças. Como tal, é essencial ter uma atividade robusta de rede e endpoint e monitoramento e bloqueio de ameaças. Isso inclui o monitoramento de tentativas de intrusão, fontes externas e internas da rede, tentativas de exfiltração de dados, comunicações maliciosas conhecidas e anormais.

Alguns recursos a partir dos quais essas recomendações foram desenvolvidas e fornecem um tratamento mais profundo da defesa contra ransomware são:

• O Centro Nacional de Segurança Cibernética do Reino Unido 
• Google 
• Instituto de Engenharia de Software da Carnegie Mellon University 
• A Agência de Segurança Cibernética e de Infraestrutura

 

Fonte: RiskRecon 

Gangues de ransomware mudando para nova tática de criptografia intermitente

 Gangues de ransomware mudando para nova tática de criptografia intermitente. Um número crescente de grupos de ransomware está adotando uma nova tática que os ajuda a criptografar os sistemas de suas vítimas mais rapidamente, reduzindo as chances de serem detectados e interrompidos.

Essa tática é chamada de criptografia intermitente e consiste em criptografar apenas partes do conteúdo dos arquivos direcionados, o que ainda tornaria os dados irrecuperáveis ​​sem o uso de uma chave de descriptografia válida.

Por exemplo, pulando todos os outros 16 bytes de um arquivo, o processo de criptografia leva quase metade do tempo necessário para a criptografia completa, mas ainda bloqueia o conteúdo para sempre.

Além disso, como a criptografia é mais suave, as ferramentas de detecção automatizadas que contam com a detecção de sinais de problemas na forma de operações intensas de E/S de arquivos têm maior probabilidade de falhar.

“O que as crianças legais usam.”

O SentinelLabs  publicou um relatório examinando uma tendência iniciada pelo LockFile em meados de 2021 e agora adotada por  empresas como Black Basta , ALPHV ( BlackCat ), PLAY, Agenda e Qyick.

Esses grupos promovem ativamente a presença de recursos de criptografia intermitentes em sua família de ransomware para atrair afiliados a ingressar na operação RaaS.

“Notavelmente, o Qyick apresenta criptografia intermitente, que é o que os garotos legais estão usando enquanto você lê isso. Combinado com o fato de ser escrito em Go, a velocidade é incomparável“, descreve um anúncio do Qyick em fóruns de hackers.

Qyick promovendo seus recursos de criptografia intermitente em fóruns (SentinelLabs)

O Agenda ransomware oferece criptografia intermitente como uma configuração opcional e configurável. Os três modos de criptografia parcial possíveis são:

• skip-step [skip: N, step: Y] – Criptografa cada Y MB do arquivo, pulando N MB.
• fast [f:N] – Criptografa os primeiros N MB do arquivo.
• porcentagem [n: N; p:P] – Criptografa cada N MB do arquivo, pulando P MB, onde P é igual a P% do tamanho total do arquivo.

Configuração de criptografia intermitente do ransomware Agenda (SentinelLabs)

A implementação de criptografia intermitente do BlackCat também oferece opções de configuração aos operadores na forma de vários padrões de salto de byte.

Por exemplo, o malware pode criptografar apenas os primeiros bytes de um arquivo, seguir um padrão de pontos, uma porcentagem de blocos de arquivos e também possui um modo “automático” que combina vários modos para um resultado mais emaranhado.

O recente surgimento do ransomware PLAY por meio de um ataque de alto nível contra o Judiciário argentino de Córdoba também foi apoiado pela rapidez da criptografia intermitente.

O PLAY não oferece opções de configuração, mas, em vez disso, apenas divide o arquivo em 2, 3 ou 5 partes, dependendo do tamanho do arquivo, e então criptografa todas as outras partes.

Por fim, Black Basta, um dos maiores nomes no espaço no momento, também não oferece aos operadores a opção de escolher entre os modos, pois sua linhagem decide o que fazer com base no tamanho do arquivo.

Para arquivos pequenos com tamanho inferior a 704 bytes, ele criptografa todo o conteúdo. Para arquivos entre 704 bytes e 4 KB, ele criptografa 64 bytes e pula 192 bytes entre eles.

Se o tamanho do arquivo exceder 4 KB, o ransomware do Black Basta reduz o tamanho do espaço dos intervalos intocados para 128 bytes, enquanto o tamanho da parte criptografada permanece em 64 bytes.

Black Basta criptografa partes do conteúdo do arquivo (SentinelLabs)

Perspectiva de criptografia intermitente

A criptografia intermitente parece ter vantagens significativas e praticamente nenhuma desvantagem, portanto, os analistas de segurança esperam que mais gangues de ransomware adotem essa abordagem em breve.

A cepa do LockBit já é  a mais rápida  em termos de velocidade de criptografia, portanto, se a gangue adotasse a técnica de criptografia parcial, a duração de seus ataques seria reduzida para alguns minutos.

Obviamente, a criptografia é um assunto complexo, e a implementação da criptografia intermitente deve ser feita corretamente para garantir que não resulte em recuperações fáceis de dados pelas vítimas.

No momento, a implementação do BlackCat é a mais sofisticada, enquanto a do Qyick permanece desconhecida, pois os analistas de malware ainda não analisaram amostras do novo RaaS.

Fonte: BleepingComputer

Malware Linux é a nova tendência

 

Malware Linux é a nova tendência. Shikitega é indicativo de uma tendência de cibercriminosos desenvolverem malware para Linux.

Malware Linux de última geração assume dispositivos de IoT e endpoint e explora vulnerabilidades e permite acesso remoto.

O malware Shikitega assume o controle de dispositivos de IoT e endpoint, explora vulnerabilidades, usa codificação avançada, abusa de serviços de nuvem para C2, instala um criptominerador e permite controle remoto total.

Um malware focado no Linux, chamado Shikitega, surgiu para atingir endpoints e dispositivos da Internet das Coisas (IoT) com uma cadeia de infecção exclusiva e de vários estágios que resulta na aquisição total do dispositivo e em um criptominerador.

Pesquisadores da AT&T Alien Labs que detectaram o código incorreto disseram que o fluxo de ataque consiste em uma série de módulos. Cada módulo não apenas baixa e executa o próximo, mas cada uma dessas camadas serve a um propósito específico, de acordo com uma postagem de terça-feira da Alien Labs.

Por exemplo, um módulo instala o “Mettle” Meterpreter do Metasploit , que permite que os invasores maximizem seu controle sobre as máquinas infectadas com a capacidade de executar código shell, assumir webcams e outras funções e muito mais. Outro é responsável por explorar duas vulnerabilidades do Linux ( CVE-2021-3493 e CVE-2021-4034 ) para alcançar o escalonamento de privilégios como root e alcançar a persistência; e ainda outro executa o conhecido cryptominer XMRig para mineração de Monero.

Outras capacidades notáveis ​​no malware incluem o uso do codificador polimórfico “Shikata Ga Nai” para impedir a detecção por mecanismos antivírus; e o abuso de serviços de nuvem legítimos para armazenar servidores de comando e controle (C2s). De acordo com a pesquisa, os C2s podem ser usados ​​para enviar vários comandos de shell para o malware, permitindo que os invasores tenham controle total sobre o alvo.

Exploits de malware do Linux em ascensão

Shikitega é indicativo de uma tendência de cibercriminosos desenvolverem malware para Linux – a categoria disparou nos últimos 12 meses, disseram pesquisadores da Alien Labs, atingindo 650%.

A incorporação de explorações de bugs também está aumentando, acrescentaram.

“Os agentes de ameaças encontram servidores, endpoints e dispositivos IoT baseados em sistemas operacionais Linux cada vez mais valiosos e encontram novas maneiras de entregar suas cargas maliciosas”, de acordo com a publicação. “Novos malwares como BotenaGo e EnemyBot são exemplos de como os criadores de malware incorporam rapidamente vulnerabilidades descobertas recentemente para encontrar novas vítimas e aumentar seu alcance.”

Em uma nota relacionada, o Linux também está se tornando um alvo popular para ransomware: um relatório da Trend Micro esta semana identificou um aumento de 75% nos ataques de ransomware direcionados a sistemas Linux no primeiro semestre de 2022 em comparação com o mesmo período do ano passado.

Como se proteger contra infecções por Shikitega

Terry Olaes, diretor de engenharia de vendas da Skybox Security, disse que, embora o malware possa ser novo, as defesas convencionais ainda serão importantes para impedir infecções por Shikitega.

“Apesar dos novos métodos usados ​​pelo Shikitega, ele ainda depende da arquitetura testada e comprovada, C2 e acesso à Internet, para ser totalmente eficaz“, disse ele em comunicado fornecido ao Dark Reading. “Os administradores de sistemas precisam considerar o acesso de rede apropriado para seus hosts e avaliar os controles que governam a segmentação. Ser capaz de consultar um modelo de rede para determinar onde existe acesso à nuvem pode ajudar bastante a entender e mitigar o risco de ambientes críticos.“

Além disso, dado o foco que muitas variantes do Linux colocam na incorporação de explorações de bugs de segurança, ele aconselhou as empresas a, é claro, se concentrarem na correção. Ele também sugeriu incorporar um processo personalizado de priorização de patches, o que é mais fácil falar do que fazer .

“Isso significa adotar uma abordagem mais proativa ao gerenciamento de vulnerabilidades, aprendendo a identificar e priorizar vulnerabilidades expostas em todo o cenário de ameaças“, disse ele. “As organizações devem garantir que tenham soluções capazes de quantificar o impacto comercial dos riscos cibernéticos com fatores de impacto econômico. Isso as ajudará a identificar e priorizar as ameaças mais críticas com base no tamanho do impacto financeiro, entre outras análises de risco, como exposição pontuações de risco baseadas.“

Ele acrescentou: “Eles também devem aprimorar a maturidade de seus programas de gerenciamento de vulnerabilidades para garantir que possam descobrir rapidamente se uma vulnerabilidade os afeta ou não, quão urgente é remediar e quais opções existem para essa remediação“.

Fonte: Darkreading

Existe equilíbrio entre os locais de trabalho digitais e a segurança?

Existe equilíbrio entre os locais de trabalho digitais e a segurança?  Felipe Nascimento, diretor de engenharia de soluções da Tanium para América Latina, analisa e traz as respostas.

 Os locais de trabalho digitais, ou espaços colaborativos virtuais, representam as novas sedes modernas de negócios, as quais permitiram que as empresas navegassem pela crise do COVID-19 e seus sucessivos bloqueios, limitando os danos à sua organização. Ao olharmos para o futuro, fica claro que o trabalho será híbrido e os locais de trabalho digitais têm seu lugar nos sistemas de informação das organizações em todo o mundo. Mas para extrair os seus benefícios ao máximo, é necessário antecipar e responder aos desafios de segurança apresentados por esta nova era de modelo de trabalho. 

 
Benefícios e desafios dos locais de trabalho digitais 

Enquanto a Transformação Digital já estava em curso para muitas empresas — de acordo com o nível de maturidade e do setor —, a pandemia acelerou significativamente esse processo e adicionou inúmeras vantagens para os funcionários: flexibilidade em termos de local e horário de trabalho, transparência e fluidez das trocas e facilidade de conexão. 

A adoção de locais de trabalho digitais e a introdução de plataformas colaborativas, como Slack ou Teams, amplificaram as políticas de trabalho do escritório. Dito isso, a expansão para além do ambiente de trabalho local tradicional tem um impacto significativo nos limites das redes de TI, com um grande número de dispositivos distribuídos geograficamente. Embora a capacidade dos funcionários de trabalhar remotamente permita que as organizações garantam a continuidade do serviço durante os bloqueios, esse novo paradigma levanta importantes questões de segurança. Destaco três delas a seguir: 

1. Visibilidade e controle 

Embora os dispositivos dos funcionários e o software que eles usam estejam no topo da pirâmide do sistema de TI, é importante lembrar que eles podem estar se conectando a outros servidores. A conclusão é que, onde quer que esses dispositivos estejam, o departamento de TI precisa ser capaz de enxergar e gerenciá-los visando sua proteção. A novidade é que esses ativos, que costumavam estar localizados apenas nas instalações da empresa, agora estão amplamente distribuídos em residências particulares, espaços de coworking, entre outros e, geralmente, são conectados a hotspots Wi-Fi não seguros. 

Isso representa vários desafios para os gerentes de TI. Primeiro, você deve ser capaz de identificar todos os seus ativos, onde quer que estejam, mesmo que eles se conectem apenas temporariamente e mudem de local com regularidade. Uma vez identificados, você deve saber a configuração deles: uma máquina que só se conecta remotamente de tempos em tempos recebeu e instalou o patch crítico mais recente? Remotos ou não, os sistemas operacionais e aplicativos precisam estar atualizados para manter a higiene cibernética e reduzir o risco de ataques cibernéticos, o que significa ter a capacidade de intervir, se necessário, em várias redes, com larguras de banda e níveis de segurança muito diferentes, dependendo de onde você estiver. 

O problema surge novamente quando os funcionários retornam aos escritórios da empresa. É imperativo poder verificar o nível de segurança da estação de trabalho e, se necessário, isolá-la até que esteja em conformidade. 

1. Gerenciamento de licenças 

Outra consideração importante diz respeito ao gerenciamento de serviços e licenças. Os departamentos de TI devem ser capazes de identificar e adaptar os aplicativos e serviços digitais disponíveis para os funcionários de acordo com suas necessidades reais. Por exemplo, um funcionário que trabalha em uma loja não precisará dos mesmos serviços que um funcionário responsável pelo estoque ou pela cadeia de suprimentos, embora ambos precisem de serviços digitais integrados ao local de trabalho digital geral da empresa. 

Essa abordagem para simplificar aplicativos e serviços pode resultar em economias significativas nos custos de licenciamento, que muitas vezes são negligenciados. De fato, sob o pretexto de pequenas despesas mensais, a adição desses custos de licença pode representar um item de despesa muito significativo. 

1. Controlar ativos em caso de crise internacional 

A última pergunta a ser feita foi levantada pelas recentes crises internacionais, sejam pandêmicas ou conflitos geopolíticos. Trata-se de garantir que sempre tenhamos visibilidade e controle sobre todos os ativos, mesmo que estejam distribuídos em outras partes do mundo. Embora possamos esperar que esse tipo de crise raramente aconteça, é responsabilidade dos departamentos de TI antecipar e se preparar adequadamente. As organizações internacionais devem ser capazes de identificar rapidamente e, se necessário, isolar ou até mesmo apagar dados críticos desses desktops e servidores, ou correm o risco de cair em mãos potencialmente hostis. E isso muitas vezes deve ser feito com poucos recursos humanos locais e acesso à internet degradado. Essa deve ser uma consideração importante para qualquer organização global ao escolher ferramentas de segurança e gerenciamento de ativos. 

A Transformação Digital e os locais de trabalho virtuais não apenas representam excelentes oportunidades de crescimento para as organizações, mas também atendem ao nível de serviço que os usuários agora esperam de seus empregadores. No entanto, é importante antecipar adequadamente os desafios de segurança associados a essas evoluções e preparar sua organização adequadamente, ou correr o risco de ser vítima da próxima violação de dados. 

Por: Felipe Nascimento, diretor de engenharia de soluções da Tanium para América Latina