Tendências de 2013, Volume 19, publicado em junho de 2014

Transcrição

1 Tendências de 2013, Volume 19, publicado em junho de 2014 Relatório de Ameaças à Segurança de Sites 2014

2 Conteúdo Introdução 3 Resumo executivo 4 Cronologia da segurança em em números 8 Violações 9 Web 10 Ataques direcionados 11 Spear phishing 12 Baseados na Web Spear phishing (cont.) Watering holes Descoberta de rede e captura de dados 21 Violações de dados 23 Crimes eletrônicos e táticas de entrega de malware Táticas de entrega de ameaças 27 Ataques na Web bloqueados 30 Classificação dos sites mais explorados em Táticas de entrega de ameaças (cont.) Proporção do tráfego de 32 Mídia social Spam e phishing Sites comprometidos 40 O futuro Recomendações e diretrizes de melhores práticas Heartbleed Garanta a segurança de seus negócios com a Symantec 49 Sobre a Symantec 50 2 I Symantec Corporation

3 Introdução A Symantec possui a mais abrangente fonte de dados do mundo sobre ameaças na Internet, com a Symantec Global Intelligence Network, composta por mais de 41,5 milhões de sensores de ataque e capaz de registrar milhares de eventos por segundo. Essa rede monitora a atividade de ameaças em mais de 157 países e territórios por meio de uma combinação de produtos e serviços da Symantec, como o Symantec DeepSight Threat Management System, o Symantec Managed Security Services, produtos Norton, o Symantec Website Security Solutions e outras fontes de dados de terceiros. A Symantec também possui um dos bancos de dados de vulnerabilidades mais abrangentes do mundo, consistindo em mais de vulnerabilidades registradas por mais de fornecedores que representam mais de produtos. Dados de spam, phishing e malware são capturados por uma variedade de fontes, incluindo a Symantec Probe Network, um sistema com mais de 5 milhões de contas falsas; o Symantec.cloud; produtos para malware e vulnerabilidades do Symantec Website Security Solutions e várias outras tecnologias de segurança da Symantec. A Skeptic, a tecnologia heurística e patenteada do Symantec.cloud, é capaz de detectar ameaças direcionadas novas e sofisticadas antes que elas cheguem às redes dos clientes. Mais de 8,4 bilhões de mensagens de são processadas todos os meses, e mais de 1,7 bilhão de solicitações da Web são filtradas todos os dias, em 14 data centers. A Symantec também coleta informações de phishing por meio de uma ampla comunidade antifraude composta por empresas, fornecedores de segurança e mais de 50 milhões de consumidores. O Symantec Website Security Solutions fornece 100 por cento de disponibilidade e processa seis bilhões de pesquisas OCSP (Online Certificate Status Protocol) por dia, que são usadas para obter o status de revogação de certificados digitais X.509 em todo o mundo. Esses recursos oferecem aos analistas da Symantec fontes de dados sem igual, com as quais eles podem identificar, analisar e fornecer comentários embasados sobre as novas tendências de ataques, atividades de código mal-intencionado, phishing e spam. O resultado é o terceiro Relatório da Symantec sobre Ameaças à Segurança de Sites (baseado no ISTR da Symantec, Volume 19), que fornece a empresas de todos os portes, e também aos consumidores, as informações essenciais para que protejam seus sistemas com eficácia agora e no futuro. 3 I Symantec Corporation

4 Resumo executivo Em 2013, as atenções voltaram-se para a ciberespionagem, as ameaças à privacidade e aos atos de profissionais internos mal-intencionados. Entretanto, o fim de 2013 trouxe um lembrete doloroso de que o crime cibernético continua a prevalecer, e que as ameaças prejudiciais dos criminosos continuam a lançar sua sombra sobre empresas e consumidores. Oito violações em 2013 expuseram mais de 10 milhões de identidades cada, e os ataques direcionados aumentaram. O relatório WSTR deste ano aborda o amplo panorama de ameaças, com dados coletados e analisados pelos especialistas em segurança da Symantec. Neste resumo, destacamos as principais áreas. As tendências principais de 2013 foram: 2013: o ano da grande violação O Relatório de Ameaças à Segurança na Internet de 2011 nomeou 2011 como o Ano da Violação de Dados. A melhor descrição de 2013 é o Ano da Grande Violação. O número total de violações em 2013 foi 62 por cento maior do que em 2012, com um total de 253 violações. Esse número foi até maior do que as 208 violações de No entanto, mesmo um aumento de 62 por cento não reflete fielmente a escala das violações em Oito das violações de 2013 expuseram mais de 10 milhões de identidades cada. Em 2012, apenas uma violação expôs mais de 10 milhões de identidades. Em 2011, somente cinco violações tiveram essa proporção. No total, mais de 552 milhões de identidades foram violadas em 2013, colocando em risco informações pessoais do consumidor (cartões de crédito, senhas, detalhes de endereço, etc ). Ataques direcionados crescem e evoluem Como informado pela primeira vez no relatório do ano passado, os invasores incluíram ataques de tipo watering hole (poço d água) ao seu arsenal. As menções ao desaparecimento do spear phishing são bastante exageradas. Embora o número total de s usados por campanha tenha diminuído, bem como o número de alvos, o número de campanhas de spear phishing teve um aumento drástico de 91 por cento em Vulnerabilidades de dia zero e sites sem patches facilitaram ataques de tipo watering hole Mais vulnerabilidades de dia zero foram descobertas em 2013 do que em qualquer outro ano pesquisado pela Symantec. As 23 vulnerabilidades de dia zero descobertas representam um aumento de 61 por cento em relação a 2012 e mais do que os últimos dois anos combinados. Vulnerabilidades de dia zero são importantes porque dão aos invasores o meio de infectar a vítima sem a adoção de engenharia social. Ao aplicarem essas explorações a um ataque watering hole, eles evitam a possibilidade de que a tecnologia antiphishing os detenha. Infelizmente, sites legítimos com práticas inadequadas de gerenciamento de patches facilitaram a adoção de ataques watering hole. 78 por cento dos sites legítimos apresentavam vulnerabilidades exploráveis, e um em oito sites tinha uma vulnerabilidade crítica. Com isso os invasores têm várias opções nos sites para inserir malware e atrair suas vítimas. De forma geral, invasores sofisticados deixam de usar uma vulnerabilidade quando ela se torna pública. Mas isso não acaba com sua utilização. Criminosos cibernéticos comuns incorporam rapidamente essas vulnerabilidades para ameaçar todos nós. Embora na média as cinco principais vulnerabilidades de dia zero tenham sido corrigidas em até quatro dias, a Symantec detectou um total de ataques em até 30 dias após a divulgação dessas cinco vulnerabilidades. A predominância de fraudes não muda o comportamento dos usuários de mídia social Todos nós continuamos a ser enganados por scams em sites de mídia social. Ofertas falsas, como minutos gratuitos de telefonia celular, representaram o maior número de ataques a usuários do Facebook em por cento em 2013 comparados a 56 por cento em E, embora doze por cento dos usuários de mídia social digam que alguém invadiu suas contas de redes sociais e se passou por eles, um quarto continua a compartilhar senhas de mídia social e um terço ainda se conecta com desconhecidos. Os invasores estão se voltando para a Internet das Coisas Babás eletrônicas, câmeras de segurança e roteadores foram notoriamente invadidos em Além disso, pesquisadores divulgaram ataques contra smart TVs, carros e equipamentos médicos. Isso nos dá uma ideia do desafio de segurança apresentado pela rápida adoção da Internet das Coisas (IoT). 4 I Symantec Corporation

5 Cronologia da segurança em 2013

6 Cronologia da segurança em Janeiro 02 Fevereiro 03 Março 04 Abril 05 Maio 06 Junho Elderwood Project usa a nova vulnerabilidade de dia zero do Internet Explorer (CVE ) Dia zero Java encontrado no Cool Exploit Kit (CVE ) Android.Exprespam infecta potencialmente milhares de dispositivos Backdoor.Barkiofork usado contra os setores aeroespacial e de defesa Botnet Bamital é eliminado Dia zero Adobe usado em ataque LadyBoyle (CVE ) Toolkit para várias plataformas para a criação da ferramenta de acesso remoto (RAT) Frutas é descoberto Atualização falsa para Adobe Flash é descoberta; instala ransomware e executa fraude de cliques Bit9 sofre quebra de segurança Malware Android ataca contatos de vítimas Fraude Facebook Black se espalha pelo Facebook Kit de exploração Blackhole tira proveito da crise financeira no Chipre Vários bancos da Coreia do Sul e emissoras locais afetados por ataques pela Internet Campanha de hacktivismo #OpIsrael ataca sites israelenses NPR, Associated Press, e várias outras contas do Twitter invadidas pelo Syrian Electronic Army (SEA) Ataques distribuídos de negação de serviço contra o Reddit e bancos europeus Vulnerabilidade de plug-in do WordPress é descoberta, permitindo a injeção de PHP LivingSocial redefine senhas de 50 milhões de contas após violação de dados Um site do Ministério do Trabalho dos EUA torna-se vítima de ataque de tipo watering hole Criminosos cibernéticos roubam mais de US$ 1 milhão de um hospital localizado no estado de Washington SEA invade contas no twitter de The Onion, E! Online, The Financial Times e Sky Nova vulnerabilidade de dia zero do Internet Explorer 8 usada em ataque de watering hole (CVE ) Campanha de hacktivismo #OpUSA lançada contra sites dos EUA Sete homens foram presos em Nova York devido à sua participação em ataques internacionais pela Internet que resultaram no roubo de US$ 45 milhões em 26 países diferentes Microsoft e FBI detêm botnets Citadel Um escândalo de espionagem é revelado nos Estados Unidos, com a divulgação de documentos confidenciais por ex-funcionário de segurança do Governo Vulnerabilidade de dia zero encontrada na maioria dos navegadores em PCs, Macs, dispositivos móveis e consoles de jogos Anonymous lança ataque #OpPetrol contra empresas internacionais de petróleo e gás 65 sites comprometidos com o Cavalo de Troia ZeroAccess para hospedar anúncios malintencionados FakeAV descoberto em telefones Android 6 I Symantec Corporation

7 Cronologia da segurança em Julho 08 Agosto 09 Setembro 10 Outubro 11 Novembro 12 Dezembro Ubisoft invadido: informações de contas de usuário roubadas França envolvida no escândalo PRISM com a revelação de alegações de bisbilhotagem de dados Novo kit de explorações ataca falhas de Internet Explorer, Java e Adobe Reader Ransomware de estilo FBI descoberto ao atacar computadores OSX Vulnerabilidade Android Master Key usada em campo Viber e Thomson Reuters são as vítimas mais recentes de ataques do SEA Blog do Channel 4 e sites do New York Post, SocialFlow, Washington Post e New York Times afetados pelo SEA Sequestro de DNS faz com que milhares de sites redirecionem os usuários para kit de exploração Dois novos scams de ransomware encontrados: um que muda as credenciais de login do Windows em sistemas chineses e outro que aproveita a controvérsia PRISM da NSA Instagram para PC falso leva a fraude de pesquisa Invasores atacaram central de pagamentos de bancos para roubar milhões Engenharia social Francophoned anuncia nova era de ataques direcionados O Syrian Electronic Army compromete o site dos Fuzileiros Navais dos EUA e de contas da Fox no Twitter, supostamente usando o Mac Trojan Caixas eletrônicos liberam dinheiro para criminosos O ransomware Cryptolocker surge, criptografando os arquivos das vítimas e exigindo pagamento para descriptografá-los A Symantec divulga a existência do grupo de hackers profissionais Hidden Lynx Empresa de telecomunicações belga comprometida em suposta campanha de ciberespionagem Resposta de segurança da Symantec elimina o botnet ZeroAccess O mercado Silk Road sai do ar e volta no fim do mês O SEA ataca sites do GlobalPost e do Qatar, além de s da equipe do presidente dos EUA Adobe confirma quebra de segurança, 150 milhões de identidades expostas Autor dos kits de exploração Blackhole e Cool é preso WhatsApp, AVG, Avira adulterados pelo grupo de hackers KDMS Novo ransomware exige Bitcoins em troca de chave de descriptografia Segunda vulnerabilidade Android Master Key descoberta Vulnerabilidade de dia zero da Microsoft usada em ataques direcionados e scams de crimes eletrônicos (CVE ) O SEA invade o site VICE.com em retaliação ao artigo que supostamente nomeia membros do grupo Anonymous alega ter invadido a rede Wi-Fi do Parlamento inglês durante protesto em Londres Worm Linux que ataca a Internet das Coisas é descoberto Target confirma violação de dados que expõe 110 milhões de identidades Dados de 20 milhões de hóspedes de hotel chinês são vazados Vulnerabilidade XSS (cross-site scripting) encontrada em aplicativo de controle de turbinas eólicas Imitações do Cryptolocker são descobertas; tentativa de aproveitar o sucesso do original 105 milhões de contas da Coreia do Sul são expostas em quebra de segurança de cartões de crédito 7 I Symantec Corporation

8 2013 em números

9 Violações Grandes violações são incidentes de violação de dados que causaram a exposição de detalhes pessoais de pelo menos 10 milhões de identidades em um único incidente. Houve oito incidentes em 2013, em comparação a somente um em Violações com mais de 10 milhões de identidades expostas Dez principais tipos de informações violadas 01 Nomes verdadeiros 02 Datas de nascimento 03 Números de Previdência Social +700 % 04 Endereços residenciais 05 Prontuários médicos 06 Números de telefone 07 Informações financeiras 08 Endereços de 09 Nomes de usuário e senhas 10 Seguros Total de violações Total de identidades expostas milhões % +493 % milhões 2012 Em 2013, as atividades de hackers continuaram a ser a principal causa das violações de dados. Essas atividades podem diminuir a confiança institucional em uma empresa, expondo sua abordagem à segurança, e a perda de dados pessoais de forma extremamente pública pode trazer danos para a reputação de uma organização. As atividades de hackers foram a causa de 35 por cento da violações de dados em Em 2013, houve oito violações de dados que disponibilizaram aos hackers 10 milhões de identidades ou até mais, sendo que a maior violação disponibilizou 150 milhões de identidades. Em comparação, em 2012 houve apenas uma violação que expôs mais de 10 milhões de identidades. 9 I Symantec Corporation

10 Web Aproximadamente 67 por cento dos sites usados para distribuir malware foram identificados como sites comprometidos legítimos. Novos domínios Web mal-intencionados % Ataques na Web bloqueados por dia % I Symantec Corporation

11 Ataques direcionados

12 Ataques direcionados - Spear phishing ATAQUES DIRECIONADOS SPEAR PHISHING Ataques de spear phishing por porte empresarial 50 % 19 % 31 % 2012 Grandes empresas Mais de funcionários Médias empresas 251 a 2,500 Pequenas empresas 1 a % 31 % 30 % 2013 Risco de tornar-se alvo 1 EM 2,3 1 EM 5,2 Ataques direcionados a pequenas empresas (1-250) foram responsáveis por 30 por cento dos ataques de spear phishing direcionados. 1 em 5 pequenas empresas foi alvo de pelo menos um de spear phishing em por cento dos ataques de spear phishing direcionados foram enviados para grandes empresas com mais de funcionários. 1 em 2 foi alvo de pelo menos um ataque desse tipo. A linha de frente desses ataques está se deslocando pela cadeia de suprimento, e grandes empresas podem se tornar alvo de ataques de tipo watering hole baseados na Web, caso os ataques de spear phishing baseados em não tenham o resultado desejado. 12 I Symantec Corporation

13 Ataques direcionados - Baseados na Web Visão geral Ataques direcionados se tornaram mais concentrados conforme os invasores otimizaram seus métodos de ataque. Em 2013, a média global de ataques de spear phishing por dia foi de 83. Vulnerabilidades de dia zero, normalmente usadas em ataques de tipo watering hole, chegaram a seus níveis mais altos desde que a Symantec começou a rastreá-las. Mais uma vez, os hackers foram responsáveis por mais violações de dados do que qualquer outra fonte. No entanto, a exposição acidental, bem como roubo ou perda de dados, aumentaram consideravelmente em Em 2013, mais de 552 milhões de identidades foram expostas em violações de dados. VULNERABILIDADES BASEADAS NA WEB Sites com vulnerabilidades verificados % % % pts % das quais eram críticas 24 % 16 % % pts 1 EM 8 sites tinha vulnerabilidades críticas sem patches Os invasores normalmente precisam encontrar e explorar uma vulnerabilidade em um site legítimo para obter controle e inserir sua carga mal-intencionada no site. Para muitos, comprometer um site legítimo pode parecer um desafio, mas verificações de vulnerabilidades em sites públicos realizadas em 2013 pelos Website Vulnerability Assessment Services da Symantec descobriram que 78 por cento dos sites continham vulnerabilidades. Entre elas, 16 por cento foram classificadas como vulnerabilidades críticas que poderiam permitir que os invasores acessassem dados confidenciais, alterassem o conteúdo do site ou comprometessem os computadores dos visitantes. Isso significa que, quando um invasor procura um site para comprometer, um em oito sites torna relativamente fácil conseguir acesso. 13 I Symantec Corporation

14 Ataques direcionados - Baseados na Web Sites com malware 1 EM EM Malware foi encontrado em 1 em cada 566 sites verificados pelo serviço da Symantec de verificação de malware em sites. Vulnerabilidades de dia zero 23 vulnerabilidades de software eram do tipo dia zero, 5 das quais destinadas a Java 97 % dos ataques com exploração de vulnerabilidades identificadas como dia zero eram baseados em Java NÚMERO DE ATAQUES DETECTADOS MILHARES % dias Tempo total cumulativo de exposição dos 5 principais dias zero 5 principais vulnerabilidades de dia zero Oracle Java SE CVE % Oracle Java Runtime Environment CVE % Oracle Java Runtime Environment CVE % Microsoft Internet Explorer CVE % Microsoft Internet Explorer CVE <1% 4 dias Tempo médio de correção DIA Vulnerabilidades de dia zero costumam ser usadas em ataques direcionados baseados na Web de tipo watering hole. 97 por cento dos ataques com exploração de vulnerabilidades inicialmente identificadas como dia zero eram baseados em Java. O tempo total cumulativo entre a publicação de uma vulnerabilidade de dia zero e a publicação do patch necessário foi de 19 dias para as cinco principais vulnerabilidades de dia zero mais exploradas. O tempo médio entre a publicação e o patch foi de quatro dias. 0 NÚMERO DE DIAS APÓS A PUBLICAÇÃO DA VULNERABILIDADE 90 Mudanças em 2013 É interessante analisar os últimos anos para ver como as tendências de ataques anteriores se comparam às de Aumento de 42 por cento na taxa de ataques direcionados em comparação a Em 2013, a taxa de ataque parece ter caído 28 por cento, voltando aos níveis semelhantes vistos em Os ataques parecem ter se tornado mais concentrados conforme os invasores solidificaram e otimizaram seus métodos de ataque. Examinando as campanhas de ataques baseadas em 1, o número de campanhas individuais identificadas pela Symantec cresceu em 91 por cento a partir de 2012, e é quase seis vezes maior do que em No entanto, o número médio de ataques por campanha caiu, diminuindo em 76 por cento em comparação a 2012 e 62 por cento desde Isso indica que, embora cada campanha de ataque seja menor, houve um número maior delas em Uma campanha de ataque é definida como uma série de s que: A.) Mostra claramente que o destinatário e alvo foi escolhido deliberadamente. B.) Contém pelo menos 3 ou 4 correlações fortes com outros s, como assunto, endereço do remetente, domínio do destinatário, endereço IP de origem, etc. C.) É enviada no mesmo dia ou por vários dias. 14 I Symantec Corporation

15 Spear phishing (cont.) Ataques de spear phishing dependem bastante de engenharia social para aumentar sua chance de sucesso. Os s são ajustados pelos invasores para convencer o alvo a abri-los. Por exemplo, um invasor pode enviar a alguém que trabalhe no setor financeiro um de spear phishing que trate de novas regras financeiras. Em um exemplo agressivo de spear phishing, o invasor enviou um e depois fez uma ligação telefônica diretamente ao alvo. O invasor se fez passar por um funcionário superior e solicitou que o alvo abrisse o anexo imediatamente. Por exemplo, em 2013, 1 em 54 clientes do Symantec.cloud foi alvo de uma tentativa malsucedida de ataque por de spear phishing. A gravidade das tentativas de ataque de spear phishing fica ainda mais clara quando, usando-se a mesma metodologia, comparamos esses números ao risco anual de um incêndio no local de trabalho. A chance de um prédio pegar fogo, na pior das hipóteses, está em torno de uma em 161. Roubo no meio da noite Às vezes, a comprovação de um crime cibernético vem de uma fonte inesperada. Uma empresa de serviços financeiros observou uma transferência de fundos incomum, no início da manhã, em um dia específico, a partir de um determinado computador. A empresa verificou os vídeos de segurança e descobriu que não havia ninguém naquele computador no momento da transação. Um Cavalo de Troia de porta dos fundos foi encontrado no computador. A ameaça foi eliminada, mas somente depois que os invasores conseguiram mais de Em 2013, 1 em 54 clientes do Symantec.cloud foi alvo de pelo menos uma tentativa malsucedida de ataque por de spear phishing. A gravidade das tentativas de ataque de spear phishing fica ainda mais clara quando, usando-se a mesma metodologia, comparamos esses números ao risco anual de um incêndio no local de trabalho. A chance de um prédio pegar fogo, na pior das hipóteses, está em torno de uma em I Symantec Corporation

16 Spear phishing (cont.) ATAQUE DIRECIONADO ESTÁGIOS PRINCIPAIS Fonte: Symantec 01 INCURSÃO O invasor obtém acesso à organização desejada. Normalmente isso é precedido por atividades de reconhecimento em que o invasor busca uma tática de engenharia social adequada. 02 DESCOBERTA Após o invasor obter acesso, ele tentará manter esse acesso, além de descobrir dados e outros recursos valiosos que poderá vir a acessar. 03 CAPTURA Após a descoberta e identificação de dados importantes, o invasor descobrirá uma maneira de coletar e agrupar os dados antes de tentar exfiltrá-los. 04 EXFILTRAÇÃO O invasor descobrirá um mecanismo para roubar os dados de seu alvo. Para isso, ele pode carregar os dados em um servidor remoto ou site ao qual tenha acesso. Métodos mais clandestinos podem envolver criptografia e esteganografia a fim de disfarçar ainda mais o processo de exfiltração, como ocultar dados em pacotes de solicitações DNS. 16 I Symantec Corporation

17 Spear phishing (cont.) Quanto maior a empresa, maior o seu risco de receber um de spear phishing. Em 2013, mais de 50 por cento dos anexos de usados em ataques de spear phishing continham arquivos executáveis. Documentos em PDF e do Microsoft Word foram usados com regularidade, representando respectivamente 5,3 por cento e 7,9 por cento dos anexos. No entanto, essas porcentagens diminuíram em relação a Uma em 2,3 organizações com mais de funcionários foi alvo de pelo menos um ou mais ataques de spear phishing, enquanto 1 em 5 pequenas ou médias empresas foi alvo desse tipo de ataque. Arquivos.class Java também representaram 4,7 por cento dos anexos de usados em ataques de spear phishing. Análise de s de spear phishing usados em ataques direcionados Fonte: Symantec Tipo de executável exe 31,3% 39%.scr 18,4% 2%.doc 7,9% 34%.pdf 5,3% 11%.class 4,7% <1%.jpg 3,8% <1%.dmp 2,7% 1%.dll 1,8% 1%.au3 1,7% <1%.xls 1,2% 5% 17 I Symantec Corporation

18 Watering holes

19 Watering holes Em 2013, a forma mais sofisticada de ataques direcionados fez uso de watering-holes. Essa técnica de ataque requer que os invasores infiltrem um site legítimo visitado por seu alvo, insiram código mal-intencionado e depois aguardem a visita do alvo. Por exemplo, os ataques do grupo Hidden Lynx 2 infectaram aproximadamente usuários em um único mês. Em alguns casos, outros visitantes de um site de watering hole podem não ser o alvo desejado e, portanto, tornam-se vítimas de outras formas de malware ou de nenhum malware, em vez de ficarem sujeitos ao ataque reservado ao alvo principal. Isso mostra que, embora ataques eficazes de watering hole possam ser usados como uma tática de longo prazo, eles exigem um certo grau de paciência dos invasores enquanto aguardam que o alvo desejado visite o site. Para preparar um ataque de watering hole, os invasores normalmente precisam encontrar e explorar uma vulnerabilidade em um site legítimo para obter controle e inserir sua carga mal-intencionada no site. Para muitos, comprometer um site legítimo pode parecer um desafio, mas verificações de vulnerabilidades em sites públicos realizadas em 2013 pela divisão Website Security Solutions da Symantec 3 descobriram que 78 por cento dos sites continham vulnerabilidades. Isso significa que, quando um invasor procura um site para comprometer, um em oito sites torna relativamente fácil conseguir acesso. Quando um site é comprometido, os invasores são capazes de monitorar os logs do site comprometido para ver quem o visita. Por exemplo, se seu alvo for uma organização do setor de defesa, eles podem procurar os endereços IP de empreiteiros de defesa conhecidos. Se esses endereços IP forem encontrados nos logs de tráfego, eles poderão usar o site como um watering hole. Entre elas, 16 por cento foram classificadas como vulnerabilidades críticas que permitiam aos invasores acessar dados confidenciais, alterar o conteúdo do site ou comprometer os computadores dos visitantes. Os ataques do grupo Hidden Lynx 2 infectaram aproximadamente usuários em um único mês I Symantec Corporation

20 Watering holes Vulnerabilidades de dia zero, 2013 Fonte: Symantec DIA J F M A M J J A S O N D Watering holes dependem bastante da exploração de vulnerabilidades de dia zero porque a chance de o ataque ser descoberto é baixa. O número de vulnerabilidades de dia zero que foram usadas em ataques no ano de 2013 aumentou, com 23 novas vulnerabilidades descobertas durante o ano (14 descobertas em 2012), o maior número desde que a Symantec iniciou o rastreamento, em No entanto, com o número de vulnerabilidades aumentando em 2013, uma exploração de dia zero nem sempre é necessária para a preparação de um ataque de watering hole. Um motivo por que os ataques de watering hole têm se tornado mais populares é que os usuários não suspeitam instintivamente de sites legítimos que conhecem e nos quais confiam. Em geral, esses ataques são preparados em sites legítimos com conteúdo específico de interesse do indivíduo ou grupo que é o alvo. O uso de vulnerabilidades de dia zero em sites legítimos tornou os watering holes um método atraente para os invasores que possuem os recursos necessários para orquestrar esse tipo de ataque. O número de vulnerabilidades de dia zero que foram usadas em ataques no ano de 2013 aumentou, com 23 novas vulnerabilidades descobertas durante o ano. 20 I Symantec Corporation

21 Descoberta de rede e captura de dados Se os invasores tiverem êxito em comprometer uma organização, eles podem atravessar a rede, tentar obter acesso ao controlador do domínio, localizar documentos de seu interesse e exfiltrar os dados. Em 2013, os downloaders foram ferramentas populares usadas para obter maior controle dentro da rede de uma organização. Normalmente chamados de portas dos fundos de primeiro estágio, essas formas extremamente versáteis de código mal-intencionado permitem o download de outros malwares diferentes, dependendo de o que pode ser preciso para executar seus objetivos. O motivo principal do uso de downloaders pelos invasores é que são leves e fáceis de propagar. Depois que um downloader entra em uma rede, ele irá, por definição, fazer o download de cargas mais tradicionais, como Cavalos de Troia para verificar a rede, keyloggers para roubar as informações digitadas em computadores comprometidos e portas dos fundos que podem enviar dados roubados de volta ao invasor. A meta de um invasor que já entrou na rede normalmente é aprofundar-se nela e obter acesso a vários sistemas. Cavalos de Troia que roubam informações são uma das cargas mais comuns que o invasor utilizará. Esses Cavalos de Troia permanecem discretamente em computadores comprometidos coletando detalhes de contas. Ferramentas de despejo de senhas também são usadas, especialmente quando é encontrado um cache de senhas criptografado. Com essas ferramentas, um invasor pode copiar senhas criptografadas (ou protegidas por hash ) e tentar vencer o hash para explorar sistemas potencialmente vulneráveis na rede. O objetivo do invasor é obter privilégios elevados em sistemas de interesse na rede, como acesso FTP, servidores de , controladores de domínio, etc. Os invasores podem usar esses detalhes para acessar esses sistemas, continuar a atravessar a rede ou exfiltrar dados. 21 I Symantec Corporation

22 Violações de dados Consequências de uma violação de dados O roubo de dados não é um crime sem vítimas. Violações de dados trazem graves consequências para as empresas onde ocorrem e para os consumidores que são suas vítimas. Riscos para as empresas Se uma empresa sofrer uma grande violação de dados, ela poderá enfrentar repercussões que podem afetar seriamente seus negócios. Primeiro, existem os dados de reputação inerentes a uma violação de dados. O incidente pode fazer com que os consumidores percam a confiança na empresa e migrem para um concorrente. Se a empresa sofrer uma grande violação de dados, provavelmente haverá ampla cobertura na mídia, prejudicando ainda mais a sua reputação. Por exemplo, nos Estados Unidos uma empresa de segurossaúde está sendo processada pelo roubo de dois computadores laptop não criptografados que armazenavam os dados de de seus membros. Uma empresa de prontuários médicos dos EUA foi à falência após um arrombamento que expôs endereços, números de previdência social e diagnósticos médicos de pessoas. Ao explicar sua decisão de requerer falência, a empresa declarou que o custo de lidar com a violação de dados era proibitivo. Por fim, o diretor-executivo da Target (uma varejista baseada nos EUA) renunciou ao cargo, sinalizando os danos causados pela violação de informações dos clientes ocorrida em Riscos para os consumidores Os consumidores são as verdadeiras vítimas das violações de dados, pois enfrentam muitos riscos graves como resultado desse crime cibernético. Um risco para os consumidores que tiveram seus dados roubados dessa forma é que suas outras contas online também podem ter sido comprometidas. Os invasores usam os detalhes pessoais das vítimas para obter acesso a outras contas mais valiosas; por exemplo, por meio de recursos de redefinição de senha em sites. Dependendo das informações roubadas, os invasores podem usar os dados para autorizar transferências de contas bancárias para contas sob o seu controle. Eles também podem usar os detalhes financeiros das vítimas para criar cartões de débito ou crédito fraudulentos e roubar seu dinheiro. Os hábitos de senha relaxados dos clientes também podem fazer com que várias de suas contas sejam comprometidas como resultado de uma violação de dados. Se um invasor conseguir obter os endereços de e as senhas de um serviço devido a uma violação de dados, ele poderá usar esses dados para acessar outros serviços online. Preocupações com a privacidade digital Se alguma vez houve dúvidas de que os governos monitoram o tráfego da Internet, o assunto ganhou destaque em Uma variedade de vazamentos mostrou que existem agências que coletam absolutamente todas as informações que podem, no mundo inteiro. A partir de junho de 2013, foram divulgados relatórios contendo novas informações sobre os programas de espionagem de dados da agência NSA (National Security Agency) dos Estados Unidos. Outros relatórios ainda devem surgir, considerando a magnitude dos documentos vazados por Edward Snowden, o ex-empreiteiro da NSA que divulgou os dados. Os documentos alegam que, durante vários anos, a NSA coletou metadados de ligações telefônicas e grandes serviços online, acessou as redes de fibra óptica que conectam data centers globais, tentou se esquivar de tecnologias de criptografia amplamente usadas na Internet e armazenou imensas quantidades de metadados coletados como parte desses programas. A Symantec desmascarou um grupo de hackers profissionais com capacidades avançadas, conhecido como Hidden Lynx. O grupo pode ter trabalhado para Estados-nações, já que as informações que procuravam incluíam conhecimentos e tecnologias que beneficiariam outros países. As forças de inteligência da Rússia também foram acusadas de obter acesso a redes corporativas dos EUA, da Ásia e da Europa. Ao contrário de invasores externos, profissionais dentro das empresas podem já ter acesso privilegiado a informações confidenciais dos clientes, o que significa que eles não precisam roubar as credenciais de login de outra pessoa. Eles também têm conhecimento do funcionamento interno da empresa e, por isso, se souberem que sua organização tem práticas de segurança relaxadas, eles poderão achar que têm mais facilidade para roubar dados. A pesquisa da Symantec realizada em colaboração com o Ponemon Institute informa que 51 por cento dos funcionários acredita ser aceitável transferir dados corporativos para seus computadores pessoais, já que suas organizações não aplicam políticas de segurança de dados com rigidez. Os profissionais internos podem ganhar muito dinheiro vendendo detalhes dos clientes, o que pode ser motivação suficiente para que arrisquem suas carreiras. 22 I Symantec Corporation