Tag ransomware

Ataques virtuais: ESET explica as principais ameaças

Muito comuns em ambientes digitais, golpes e fraudes são hoje grandes preocupações para usuários do mundo todo. Quando ocorrem, informações pessoais como senhas, números de documentos e cartões podem ser expostas ou clonadas. De acordo com dados do indicador Serasa Experian, de janeiro a setembro de 2017, o Brasil registrou 1,478 milhão de tentativas de fraude, ou seja, uma a cada 16 segundos. O número, 10,7% maior em relação ao mesmo período de 2016, pode ser considerado um efeito colateral indireto da recuperação econômica do País, já que os golpes aumentam conforme crescem as transações, momento no qual os consumidores costumam conceder seus dados pessoais.

Quando são disponibilizadas online, estas informações ficam suscetíveis a golpes virtuais dos mais diferentes tipos. Para preveni-los, existem ferramentas de segurança da informação, baseadas em metodologias, normas, técnicas, estruturas organizacionais, tecnologias e outros elementos, que vão desde soluções mais simples como o uso de um antivírus a técnicas avançadas de criptografia.

A ESET, empresa de segurança da informação e líder em detecção proativa de ameaças, explica os golpes mais comuns aplicados no Brasil e como não ser vítima.

Malware: é um software destinado a se infiltrar em um computador de forma ilícita, com o intuito de causar algum dano ou roubar informações. De acordo com pesquisas divulgadas por especialistas no 4º Fórum ESET de Segurança Informática, um em cada cinco malwares no Brasil é bancário. Os ataques costumam acontecer no computador, com o programa malicioso se instalando a partir de um clique em um link que chega por e-mail, por exemplo.

Já vulnerável, o usuário então acessa os serviços online, como a página do banco, fornece suas informações pessoais e então tem suas credenciais roubadas. De posse dos dados, os atacantes conseguem fazer compras e transações financeiras se passando pelo titular da conta ou do cartão.

Para se proteger, é importante verificar se os arquivos recebidos não estão contaminados ou se os links acessados condizem com o site correto. Normalmente, as páginas das grandes empresas têm endereços simples e são facilmente localizadas nos buscadores. Uma boa dica para identificar sites fraudulentos é se atentar a erros gramaticais. Se mesmo assim o usuário ainda tiver dúvidas sobre a autenticidade do site, uma simples ligação para a instituição pode salvar suas informações sigilosas.

Ransomware: é uma variação de malware, que sequestra o computador da vítima e cobra um valor pelo resgate, geralmente usando moedas virtuais, o que torna quase impossível rastrear o criminoso. Este tipo de vírus age codificando os dados do sistema operacional de forma que o usuário não tenha mais acesso a eles. Exemplo mais recente, o Bad Rabbit, se espalhou para países da Europa em 2017 e causou transtornos em aeroportos e sistemas de infraestrutura. Ter o sistema operacional sempre atualizado e uma solução antivírus instalada são boas formas de se proteger desta ameaça.

Phishing: é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir informações sigilosas. Geralmente os ataques são enviados em aplicativos de mensagens e disfarçados em forma de produtos grátis ou cupons promocionais que, para serem acessados, exigem o preenchimento de cadastro com dados como número do cartão de crédito, senhas e outros. Após o envio das informações, o usuário não recebe o que foi prometido inicialmente e pode ter informações roubadas.

Os recentes golpes do FGTS e do Burger King no aplicativo WhatsApp podem ser considerados phishing. Por isso, nunca clique em links para ofertas milagrosas ou boas demais para serem verdade, e sempre que receber mensagens de promoções em redes sociais, verifique sua veracidade antes de clicar, pois é possível que não sejam legítimas.

Segundo Camillo Di Jorge, country manager da ESET, cada tipo de ataque conta com sua particularidade, mas a maioria tem o mesmo objetivo: obter algum tipo de benefício, geralmente financeiro. “Independentemente de ser online ou off-line, a informação requer medidas de proteção adequadas, de acordo com a importância daqueles dados. Para informações mais sensíveis, mais camadas de proteção podem ser inseridas para dificultar a ação dos criminosos. Mesmo assim, o bom senso continua sendo a melhor forma de se proteger”.

Tags, , , , , , , , , , ,

Nenhuma plataforma é imune ao Ransomware, de acordo com previsão do SophosLabs 2018

A Sophos (LSE: SOPH), empresa global de segurança de rede e endpoint, anunciou hoje o SophosLabs 2018 Malware Forecast, relatório que recapitula ransomwares e outras tendências de segurança cibernética, com base em dados coletados dos clientes Sophos em todo o mundo ao longo de 2017. Uma das principais descobertas mostra que, embora o Ransomware atacasse predominantemente os sistemas Windows nos últimos seis meses, as plataformas Android, Linux e MacOS não estão imunes à ameaça.

“O Ransomware tornou-se multiplataforma. Em um primeiro momento, ele tem como foco principal computadores com Windows, mas neste ano, a SophosLabs descobriu uma quantidade crescente de criptográficos em diferentes dispositivos e sistemas operacionais usados por nossos clientes em todo o mundo “, disse Dorka Palotay, pesquisadora de segurança da SophosLabs e uma das colaboradoras do SophosLabs 2018 Malware Forecast.

O relatório também rastreia os padrões de crescimento dos ransomwares, indicando que o WannaCry, desencadeado em maio de 2017, foi o ransomware número 1 interceptado pelos computadores dos clientes, destronando o líder ransomware Cerber, que apareceu pela primeira vez no início de 2016. WannaCry representou 45,3% de todos os ransomware rastreados enquanto o Cerber representa 44,2%.

“Pela primeira vez, vimos um ransomware com características semelhantes a worms, o que contribuiu para a rápida expansão do WannaCry. Este ransomware aproveitou uma vulnerabilidade conhecida do Windows para infectar e se espalhar nos computadores, dificultando o controle “, disse Palotay. “Mesmo que nossos clientes estejam protegidos contra ele e o WannaCry tenha diminuído, ainda vemos a ameaça por sua natureza inerente para continuar digitalizando e atacando computadores. Acreditamos que os cibercriminosos desenvolvam essa habilidade para replicar o que foi visto em WannaCry e NotPetya, e isso já é evidente com o Ransomware Bad Rabbit, que mostra muitas semelhanças com NotPetya “.

O SophosLabs 2018 Malware Forecast relata aumento agudo e a queda do NotPetya, ransomware que causou estragos em junho de 2017. NotPetya foi inicialmente distribuído em um pacote de software de contabilidade da Ucrânia, limitando seu impacto geográfico. Ele se espalhou com o recurso EternalBlue, como WannaCry. O motivo por atrás de NotPetya ainda não está claro, uma vez que houve muitos erros, rachaduras e falhas com este ataque. Por exemplo, a conta de e-mail que as vítimas precisavam para contatar os atacantes não funcionou, e as vítimas não conseguiram descriptografar e recuperar seus dados, de acordo com Palotay.

“NotPetya agiu rápido e furiosamente e causou prejuízo para as empresas porque destruiu permanentemente dados nos computadores que atingiu. Por sorte, NotPetya parou quase tão rápido quanto começou “, disse Palotay. “Suspeitamos que os criminosos cibernéticos estavam experimentando ou seu objetivo não era ransomware, era algo mais destrutivo como um limpador de dados. Independentemente da intenção, a Sophos recomenda fortemente o pagamento de resgate e recomenda melhores práticas, incluindo o backup de dados e a manutenção de patches atualizados ”

O Cerber, vendido como um kit de resgate na Dark Web, continua sendo uma ameaça perigosa. Os criadores do Cerber atualizam continuamente o código e cobram uma porcentagem do resgate que os atacantes recebem das vítimas. Novas características regulares tornam Cerber não apenas uma ferramenta de ataque eficaz continuamente disponível para cibercriminosos. “Este modelo de negócios da Dark Web infelizmente está funcionando e, de forma semelhante a uma empresa legítima, é possível financiar o desenvolvimento contínuo do Cerber. Podemos assumir que os lucros estão motivando os autores a manter o código “, disse Palotay.

O ransomware Android também está atraindo criminosos cibernéticos. De acordo com a análise da SophosLabs, o número de ataques aos clientes da Sophos usando dispositivos Android aumentou quase todos os meses em 2017.

“Somente em setembro, 30% do malware malicioso do Android processado pela SophosLabs era ransomware. Esperamos que isso vá para cerca de 45% em outubro “, disse Rowland Yu, pesquisador de segurança da SophosLabs e colaborador da SophosLabs 2018 Malware Forecast. “Uma das razões pelas quais acreditamos que o Ransomware no Android está decolando é porque é uma maneira fácil para os criminosos cibernéticos ganharem dinheiro em vez de roubar contatos e SMS, exibir anúncios ou phishing do banco, o que exige técnicas sofisticadas de hacking. É importante notar que o ransomware Android é principalmente descoberto em mercados que não são do Google Play – outro motivo para que os usuários sejam muito cautelosos sobre onde e quais tipos de aplicativos eles baixam “.

O relatório SophosLabs indica ainda que surgiram dois tipos de métodos de ataque do Android: bloquear o telefone sem criptografar dados e bloquear o telefone enquanto criptografa os dados. A maioria dos ransomware no Android não criptografa os dados dos usuários, mas o simples ato de bloquear uma tela em troca de dinheiro é suficiente para causar prejuízos, especialmente considerando quantas vezes em uma única informação é acessada em um dispositivo pessoal. “A Sophos recomenda fazer backup de telefones em uma programação regular, semelhante a um computador, para preservar dados e evitar pagar resgate apenas para recuperar o acesso. Esperamos que o Ransomware para Android continue aumentando e dominando como o principal tipo de malware nesta plataforma móvel no próximo ano “, disse Yu.

Tags, ,

Lições aprendidas com o Wannacry – Por Edison Figueira

Um mês após os ataques do ramsomware WannaCry, que muitos consideram o maior até hoje, quais foram os principais aprendizados desta ameaça? Dois aspectos podem orientar a análise dos estragos causados – e os próximos passos para aumentar a segurança de dados corporativos:

Em primeiro lugar, as atualizações de sistema. Por um lado, existe o hábito de ignorar o lançamento de novos patches, caso as correções que eles endereçam não pareçam apresentar impacto imediato para o usuário. Por outro, algumas empresas usam plataformas legadas, desenvolvidas para funcionar em determinados sistemas operacionais – e, por vezes, suas atualizações não são suportadas pelas plataformas customizadas.

A atualização é uma questão de cultura (A atualização pode ser feita depois?), mas também de investimento (Quanto de produtividade eu perco para atualizar o sistema? Quanto tempo de adaptação a atualização demanda?). No entanto, em um cenário de ameaças, sejam elas simples ou sofisticadas, é fundamental estar em dia com os pacotes de segurança. Assim como a produtividade, a responsabilidade com os dados também deve ser um fator motivador para manter a segurança em dia.

Em segundo lugar, a política de segurança. Corrigir os erros que abrem caminho para as ameaças com atualizações e backups, embora de fundamental importância, é apenas o medicamento. O tratamento está nas regras que o departamento de tecnologia deve criar, aplicar, educar e assegurar.

Outras lições fundamentais no episódio:

Não existe online versus offline. As regras que regem o mundo físico, têm suas correlações no mundo virtual. A segurança, por exemplo, funciona do mesmo modo. Se você paga o seguro do seu carro, por que não se preocupa também com o seguro para seus dados? Informações são ativos fundamentais e têm um valor. Os cibercriminosos sabem disso, e não é à toa que o WannaCry é uma modalidade de ataque que cobra resgate por sua propriedade – que não é um automóvel no mundo físico, mas os dados de sua produtividade no mundo virtual.

O barato pode sair caro. Tempo é dinheiro. E é claro que a atualização de dezenas ou centenas ou milhares de computadores têm um custo de produtividade. Mas com planejamento é possível chegar ao meio termo. Não é possível atualizar todo o seu parque ao mesmo tempo? Crie um calendário e envolva toda a sua equipe. Prevenir contaminações de malware é mais barato do que remediá-las.

E mais importante, escute sua equipe de especialistas, afinal se já existe um investimento em TI, é importante que a sua função seja aproveitada de forma completa.

O seguro morreu de velho. Toda empresa hoje é digital ou está caminhando para se transformar em uma empresa conectada. O fato de não ter sido alvo de ataques virtuais, não significa que a empresa é imune. Ameaças digitais, como o WannaCry, circulam frequentemente por diversos meios que são comuns no cotidiano organizacional. Embora não exista abordagem definitiva contra todo tipo de ameaça, é importante aplicar as diversas ferramentas da política de segurança para ajudar a mitigar as vias de contágio.

Eduque funcionários, promova as boas práticas de segurança virtual e aplique as ferramentas disponíveis para evitar a invasão em seu ambiente corporativo: Firewall, Antivírus, Anti-malware, ATP, IPS, administre configurações e ambientes, monitore vulnerabilidades etc.

Definir qual é o melhor investimento para garantir segurança digital para seus dados pode não ser simples. Mas avaliar o valor de seus dados, os custos para protegê-los (ou o custo de tê-los invadidos), priorizar e planejar é um excelente começo. Outra forma importante de se proteger é aprender com os ataques que já ocorreram, criando novas camadas de segurança e evitando novos episódios, como o do WannaCry.

Edison Figueira é diretor de R&D da BLOCKBIT, empresa especializada em soluções de cibersegurança

Tags,

Após um mês de WannaCry, você está protegido?

No último dia 12 de maio, mais de 57 mil computadores em 150 países foram afetados por uma onda massiva de ransomware apelidada de WannaCry. O malware se movimentou rapidamente por redes de computadores, em um comportamento diferente do usual, e em pouco tempo o número de sistemas infectados quadruplicava, atingindo todos os setores da indústria, como escolas, hospitais, serviços públicos, fabricantes de automóveis, entre outros. Atualmente são apontadas mais de 300 mil máquinas infectadas.

O WannaCry explorou uma vulnerabilidade do Windows para criptografar os arquivos da vítima, mantendo-os como “reféns” e demandando um resgate para que o criminoso envie uma chave de decriptação para abrir os documentos. Neste caso, os criminosos pediram o equivalente a 300 dólares em bitcoins (uma moeda utilizada no mundo virtual), quantia que dobrava, caso a vítima não pagasse em três dias.

No início, as notícias reportavam que milhares de computadores de grandes empresas e órgãos governamentais da Europa estavam infectados. Até agora não está claro como a infecção começou, mas muitos acreditam que o primeiro computador foi comprometido por um e-mail phishing. De acordo com uma apresentação do SANS Institute, o exploit chamado de “ETERNALBLUE” foi divulgado em abril e faz parte de vazamentos de ferramentas da NSA (Agência de Segurança Nacional dos Estados Unidos) ocorrido no mesmo mês. A vulnerabilidade foi corrigida por meio de um pacote de atualização pela Microsoft em março para as versões suportadas do Windows, porém empresas que não atualizaram o sistema correm o risco de ser afetadas.

Para elevar o nível de proteção dos seus negócios contra o WannaCry e outros tipos de ataque, a A10 Networks compartilha algumas dicas de segurança:

Faça o download das correções (patches). Atualize o sistema operacional para a versão mais recente e instale todos os patches. Ao atualizar regularmente você estará elevando os níveis de segurança contra malwares indesejados e outras vulnerabilidades que os invasores tendem a explorar. Para proteger-se contra o WannaCry, versões mais recentes do Windows podem ser corrigidas com patch MS17-010, que a Microsoft lançou em março. A fabricante também lançou um patch para versões mais antigas do Windows, como o XP, que já não recebiam atualizações.

Cuidado com os e-mails de phishing. Embora seja incerto se o WannaCry aproveita o phishing para ganhar espaço nas máquinas de destino, muitos ataques de ransomware usam esse tipo de ferramenta, na qual são enviados vários e-mails com links ou anexos maliciosos para infectar a máquina da vítima. Não abra arquivos ou clique em links de fontes desconhecidas.

Faça backup de seus arquivos. Crie e mantenha regularmente backups de seus arquivos e dados mais importantes. Se a sua máquina for infectada, você poderá facilmente restaurar os seus dados.
Use antivírus atualizado. Por mais que se discuta, a ferramenta continua sendo uma importante camada de segurança. Certifique-se de ter a versão mais atualizada do software, que pode impedir ataques de vírus, worms e ransomware.

Instaurar uma cultura de segurança. Introduzir e incentivar uma cultura de segurança cibernética em sua organização. A imposição de tarefas simples, como colocar senhas em estações de trabalho, proteger laptops, usar senhas fortes e alertar os funcionários sobre golpes de phishing e outros ataques pode ajudar a impedir a disseminação de malwares por meio de uma organização ou rede.

Ter uma estratégia de defesa em profundidade (defense-in-depth). Busque soluções líderes de mercado para segurança e defesa contra o cenário de ameaças em constante evolução. Ter várias camadas de segurança aumenta as chances de identificar e erradicar malware como WannaCry antes que ele tenha a oportunidade de causar estragos.

Tags, ,

Ciberataques no setor da saúde devem aumentar em 2017

A cibersegurança em 2016 foi marcada pelos ataques ransomware, impactando, principalmente, a área da saúde. Por tratar-se de um setor extremamente delicado e essencial para toda a população, a Unit 42, centro de pesquisas da Palo Alto Networks, fez um levantamento das tendências e necessidades de segurança cibernética nessa indústria para que as organizações de saúde estejam preparadas para combater as ameaças que devem enfrentar em 2017.

Muitos hospitais foram afetados por ransomware no último ano e atingidos, especialmente, por variantes que miram servidores e não computadores. Um hospital em Washington, por exemplo, foi afetado a ponto de ter que transportar os pacientes para outras instalações para manter a qualidade dos cuidados.

Os cibercriminosos optam pelo ransomware pela discrição dos pagamentos anônimos em Bitcoin – uma maneira eficaz de receber pagamentos sem ser pego pela polícia. O setor da saúde é visado devido ao vetor de ataque ocorrer por uma aplicação (JBOSS) desatualizada nos servidores na DMZ (sigla em inglês para Zona Desmilitarizada, que significa uma sub-rede física ou lógica que contém e expõe serviços de fronteira externa de uma organização a uma rede maior e não confiável, normalmente a internet).

Graças ao compartilhamento de inteligência de ameaças, as organizações do setor providenciaram reparos e correções nas vulnerabilidades dessa aplicação. No entanto, a tendência de aumento desse tipo de ataque permanece. O ransomware continuará mirando a indústria da saúde neste ano por meio de ataques padrão como downloads na web, anexos ou links maliciosos via e-mail e servidores desatualizados na DMZ.

Outro ponto importante são as aplicações SaaS – muito utilizadas pelas equipes médicas para compartilhamento de arquivos na nuvem, como Box, Dropbox e Google Drive, devido à praticidade para compartilhar informações de forma rápida. O problema com as versões públicas desses serviços é que cabe ao usuário controlar quem tem acesso aos arquivos e é muito fácil se enganar com uma configuração e disponibilizar um arquivo que contém informações protegidas de saúde (PHI) para todo o público na internet. As versões corporativas de alguns desses serviços permitem restringir o acesso público, mas a maioria das organizações não bloqueiam as versões gratuitas, então fica difícil controlar.

Normalmente o processo de inteligência de ameaças na área da saúde é lento, manual e demorado. Em 2017, as organizações desse setor começarão a aproveitar os recursos mais avançados de compartilhamento de ameaças disponíveis no mercado de segurança. Esses tipos de recursos permitem uma ação altamente confiável e automatizada, eliminando até totalmente a necessidade de revisão humana.

Além dessas, que devem ser as principais tendências de cibersegurança para o setor da saúde nesse ano, é fundamental questionar se um ataque em um dispositivo médico poderá causar lesão a um paciente. Atualmente falta o básico de segurança para os dispositivos utilizados em instalações médicas que, muitas vezes, não possuem proteção de endpoint, e atualizações regulares, funcionando em sistemas operacionais desatualizados, como o Windows XP. Por estas razões, são alvos principais para malware e ciberataques. Além disso, os equipamentos médicos são caros e não há incentivo financeiro para realizar o tipo de pesquisa de segurança necessária para detectar e corrigir vulnerabilidades nesses dispositivos.

Além da busca por recompensas lucrativas, existe também a preocupação com os hackers que estão nesse negócio por diversão, ou seja, só fazem para provar que podem fazer. Até o momento, não há casos confirmados de danos físicos aos pacientes mas a equipe da Unit 42 trabalha com a hipótese de que seja apenas uma questão de tempo para um agente malicioso se aproveitar da parte mais vulnerável das redes hospitalares – os dispositivos médicos – e entrar em ação.

Tags, ,

Sophos divulga tendências de ciberataques em 2017

O ano de 2016 já tinha sido palco não só de um grande número, mas também de uma grande variedade de ciberataques, desde os DDoS de alto perfil que controlam as câmeras de segurança ligadas à internet, até à suposta invasão da rede de computadores liderada por hackers russos durante as eleições americanas. Vimos ainda um aumento dos cenários que envolvem violação de dados, em pequenas e grandes empresas, e perdas significativas no que diz respeito à informação pessoal.

A Sophos reuniu tendências de ciberataques atuais e emergentes que acredita serem as principais ameaças para o ano de 2017. Entre os mais preocupantes estão os ataques DDoS com equipamentos IoT (sigla em inglês para Internet das Coisas) e os ataques contra estados e sociedades.

Os ataques DDoS IOT destrutivos vão aumentar. Em 2016, o malware Mirai conseguiu demonstrar o massivo potencial destrutivo dos ataques DDoS em um cenário com equipamentos IoT inseguros. Os ataques do Mirai exploraram apenas um número reduzido de equipamentos e vulnerabilidades, e utilizaram técnicas de identificação de senhas bastante básicas. No entanto, os cibercriminosos terão a vida ainda mais facilitada tendo em conta os inúmeros equipamentos IoT que existem com códigos desatualizados, baseados em sistemas operacionais com baixa manutenção e em aplicações com vulnerabilidades bastante conhecidas.

Mudança de ataques exploit para ataques sociais direcionados. Os cibercriminosos estão aprimorando suas técnicas contra a maior vulnerabilidade que existe: os humanos. Os ataques estão cada vez mais sofisticados e convincentes para enganar os usuários. Por exemplo, é bastante comum ver um e-mail direcionado, que aborda o destinatário pelo nome e menciona uma dívida pendente que o remetente pretende cobrar. Por medo ou curiosidade da dívida, o usuário se sente tentado a clicar no e-mail que o direciona para um link malicioso, iniciando o ataque. Esses ataques de phishing deixaram de ser facilmente reconhecidos pela presença de erros mais óbvios, como acontecia, e agora estão direcionados se passando por bancos e autoridades.

Exploração da infraestrutura antiga e insegura da internet. A maioria dos usuários da internet ainda confiam em protocolos antigos que se estabeleceram no início da internet. Por exemplo, ataques contra o protocolo BGP (Border Gateway Protocol) podem interromper, sequestrar ou desativar potencialmente grande parte da internet. O protocolo BGP é a espinha dorsal da internet, usada para rotear solicitações na internet. O ataque DDoS que ocorreu em outubro contra a Dyn, uma das principais empresas fornecedoras de serviços DNS do mundo, afetou o acesso à internet em diversas partes do mundo. Provedores e empresas de grande porte podem tentar responder a esses ataques, mas em caso de falhas terão de arcar com sérios danos se os hackers optarem por explorar as falhas mais profundas da internet.

O ransomware continua em evolução. À medida que mais usuários reconhecem os riscos do ataque ransomware por e-mail, os criminosos continuam explorando outros vetores. As novidades podem vir com um malware que reinfecta mais tarde, muito depois do resgate ser pago, ou também com ferramentas internas e de malware não executável para, dessa forma, evitar a detecção na proteção de endpoint, que foca nos arquivos executáveis. Alguns exemplos recentes têm solicitado primeiro o compartilhamento do arquivo infectado com duas pessoas antes de devolver o arquivo descriptografado. Os autores do ransomware também estão começando a utilizar técnicas diferentes da criptografia como, por exemplo, excluindo ou corrompendo cabeçalhos de arquivos. E, finalmente, com ransomware antigo ainda flutuando pela web, os usuários podem ser vítimas de ataques sem solução porque os locais de pagamento não existem mais.

Aumento de ataques de dispositivos IoT. Os usuários de dispositivos IoT podem não notar ou sequer se importar se o equipamento de monitoramento dos seus bebês está sendo utilizado para atacar um website. Contudo, uma vez que hackers tem o domínio de um dispositivo em uma rede privada, eles podem comprometer todos os outros equipamentos que estão conectados na mesma rede, como notebooks que podem conter uma série de dados pessoais. Em 2017, mais incidentes como esse serão frequentes, além de ataques por meio de câmeras e microfones para espionar residências.

Infraestrutura financeira com maior risco de ataque. O uso de phishing direcionado ou whaling (caça à baleia) continua a crescer. Esses ataques usam informação detalhada de executivos das empresas com o objetivo de enganar funcionários para comprometer contas e viabilizar o pagamento aos fraudadores. Para esse ano, são esperados esses ataques às infraestruturas financeiras, como o que ocorreu em fevereiro ao Swift – sistema global que bancos utilizam para realizar transações de milhões de dólares todos os dias – e que custou US$81 milhões ao Banco Central de Bangladesh.

Ataques contra órgãos dos Estados e contra a população. Os ataques tecnológicos se revelam cada vez mais políticos. Por exemplo, investigadores conseguiram demonstrar ataques que permitiram que um eleitor vote repetidamente, de forma fraudulenta, sem ser detectado. Mesmo que os Estados não realizem ataques desta natureza contra os sistemas eleitorais de seus adversários, a ideia de que estes ataques são possíveis é, por si só, uma arma verdadeiramente poderosa. A população, por sua vez, sofre com a desinformação e enfrenta sérios riscos como, no caso deste exemplo, ter o sistema de votação comprometido.

Tags, , , , , ,

Fortinet alerta para possível aumento de ciberataques no Brasil nos próximos dias

A Fortinet® (NASDAQ: FTNT), líder global em soluções de cibersegurança de alto desempenho, anuncia os resultados de seu relatório global sobre o cenário de ameaças cibernéticas do FortiGuard Labs.

– O relatório cita o aumento de ameaças no Brasil e explica porque o país necessita de uma atenção especial durante as Olimpíadas do Rio.

– Identifica os países que mais sofrem ataques de phishing, malware, botnets e exploit kits em todo o mundo.

– Mostra um método sofisticado para ajudar cibercriminosos a continuarem dentro dos sistemas invadidos por eles, chamado “behavior blending”.

– Os dados sobre ameaças utilizados na análise são baseados em uma subcategoria de dados de telemetria dos meses de abril, maio e junho de 2016.

– As implicações de riscos e ameaças contidas nesse relatório são ilustradas utilizando dados, pesquisas e análises sobre ameaças do FortiGuard, líder do setor. O FortiGuard Labs utiliza dados coletados de mais de dois milhões de sensores em todo o mundo para proteger mais de 280 mil clientes todos os dias.

Ameaça crescente no Brasil

O volume de artefatos maliciosos e de phishing (por exemplo, nomes de domínio e URLs) só aumenta no Brasil. Em junho, a porcentagem desse aumento foi maior em três de quatro categorias em comparação à porcentagem global no relatório da Fortinet. A porcentagem com o maior crescimento foi na categoria de URL maliciosa com 83%, comparada aos 16% do resto do mundo.

Durante as Olímpiadas de 2016 no Rio, estes ataques sem dúvidas continuarão e o FortiGuard Labs já observa indicadores de técnicas repetidas (como domínios falsos) para fraude de pagamento e websites maliciosos ou URLs que buscam atingir os sites oficiais do evento e do governo.

Ataques cibernéticos durante os Jogos Olímpicos não são uma novidade. O levantamento do FortiGuard Labs da Fortinet descobriu que o aumento de ataques focados nas Olimpíadas teve início nos Jogos Olímpicos de 2004 na Grécia.

O levantamento do FortiGuard Labs da Fortinet observou um retorno de velhas ameaças e de vetores de ataque, além da persistência de ataques clássicos, como Conficker e ransomware, por meio de variantes atualizadas. Dados de telemetria e a pesquisa da Fortinet indicam que os dois métodos mais comuns são phishing por meio de e-mails e sites maliciosos.

Técnicas de ameaças avançadas – “Behavior Blending”: durante os últimos três meses, está crescendo um método sofisticado para ajudar os atacantes a permanecerem nos sistemas invadidos. Behavior blending é uma técnica utilizada por criminosos que permite que eles se misturem em uma rede comprometida. Por exemplo, em uma rede corporativa, o atacante pode assumir o comportamento de um funcionário para evitar ser descoberto. Como essa técnica tem um grande potencial de driblar a detecção, os especialistas da Fortinet estão esperando ver mais dela em uso enquanto novas ferramentas são desenvolvidas para melhor imitar o comportamento de um alvo credenciado.

Phishing: o volume da atividade global de phishing segue elevado com um aumento de 76% de abril a junho, segundo dados de ameaças de domínios de phishing e URLs do FortiGuard Labs. A porcentagem de crescimento de maio a junho foi de 11%. Demais consequências de phishing por e-mail incluem um aumento da atividade de Tokelau, sendo Brasil, Colômbia, Rússia e Índia os quatro principais códigos de domínio de país no segundo trimestre de 2016. Além disso, a aparência dos domínios ainda é muito ativa (por exemplo, netflix vs netflix). Por último, o FortiGuard também detectou um número de nomes de grandes instituições financeiras incluídos como parte dos domínios e URLs de phishing.

Exploit Kits: há um aumento no uso de Exploit Kits (EKs) baseados em JavaScript com URLs maliciosas para disseminar ransomware, principalmente na primeira fase no download de cargas. Observa-se uma mudança de Angler para Fiesta e Neutrino e ambos aparecem constantemente na lista global do FortiGuard com os 10 principais exploit kits.

Malwares avançados: a família JS/Nemucod tem sido o malware dominante em todo o mundo nos últimos três meses. Esta família é atualmente o programa de download mais ativo de ransomware com um aumento significativo de ataques.

Filtragem de dados – Indicadores de botnet: a telemetria de ameaças do FortiGuard mostra um aumento da atividade botnet. Os nomes que aparecem no top 10 de atividades botnet de ransomware são Locky e Cryptowall.

“A expansão da superfície de ataque possibilitada pela inovação tecnológica, os novos dispositivos IoT, as pressões regulatórias e um déficit mundial de aptidão em cibersegurança continuam impulsionando as ameaças cibernéticas. Todos esses elementos combinados com os acontecimentos políticos globais adicionam ainda mais complexidade à situação e a complexidade é inimiga da segurança. Apenas implementar soluções de segurança não é suficiente. As organizações precisam adotar um modelo de segurança que permite a comunicação direta entre soluções para uma resposta unificada e rápida às ameaças avançadas”, Ladi Adefala, estrategista de segurança sênior da Fortinet.

Tags, , , , , ,