Relatório da McAfee sobre Ameaças: Quarto trimestre de 2012

Transcrição

1 Resumo executivo Relatório da McAfee sobre Ameaças: Quarto trimestre de Por McAfee Labs

2 Ao término de, o cenário de ameaças continuava a evoluir em muitas frentes, de maneiras que ameaçavam tanto consumidores quanto empresas. As três principais tendências e eventos observados pelos pesquisadores do McAfee Labs durante o quarto trimestre foram: Crescimento súbito no malware voltado para dispositivos baseados em Android Surgimento de uma nova ameaça persistente avançada direcionada contra empresas de serviços financeiros e seus clientes Uma volta a taxas de crescimento de dois dígitos nas ameaças direcionadas para plataformas PC e o surgimento de ameaças e táticas novas e mais perigosas por parte das quadrilhas de criminosos cibernéticos Tendências das ameaças móveis Até muito recentemente acreditava-se que o cenário de ameaças de malware móvel evoluiria da mesma forma que o cenário de ameaças a PCs de uma década atrás. No entanto, essa impressão subestimava completamente as habilidades e ambições da comunidade de criminosos cibernéticos. Conforme mostra a figura 1, o segmento de ameaças de malware móvel não está, de forma alguma, evoluindo linearmente como o segmento de PCs. O número de amostras de malware móvel descobertas pelo McAfee Labs em foi 44 vezes maior que o número encontrado em. Isso significa que 95% de todas as amostras de malware móvel já vistas apareceram no ano passado. A outra mudança ocorrida em foi que os criminosos cibernéticos passaram a se dedicar exclusivamente a atacar o Android, com 97% das amostras de malware encontradas no ano passado voltadas contra essa única plataforma. Somente no quarto trimestre, o número de amostras de malware baseadas em Android subiu 85%. Total de amostras de malware móvel no banco de dados Figura 1. Novas amostras de malware móvel. 29 As razões para esse crescimento explosivo são várias, mas as principais motivações das quadrilhas de criminosos cibernéticos que desenvolvem e distribuem ameaças móveis são: O valor intrínseco das informações que podem ser encontradas em dispositivos móveis, incluindo senhas e catálogos de endereços Novas oportunidades de negócios que não estão disponíveis na plataforma PC, como cavalos de Troia que enviam mensagens SMS para serviços pagos que, por sua vez, cobram o usuário por cada mensagem A propensão de alguns usuários a fazer rooting em seus próprios celulares para personalizar a interface ou adicionar funcionalidades, permitindo que hackers explorem as vulnerabilidades subjacentes do dispositivo 2 Resumo executivo Relatório da McAfee sobre Ameaças: Quarto trimestre de

3 A oportunidade de criar rapidamente redes de bots móveis muito grandes A capacidade de instalar malware que bloqueie atualizações de software das operadoras dos usuários que possam remover outros elementos de malware instalados anteriormente Ameaças persistentes avançadas Após a leve calmaria que se seguiu ao surgimento do Stuxnet, o surgimento de novas ameaças persistentes avançadas (APTs) acelerou-se no segundo semestre de. O primeiro desenvolvimento de APT anunciado em foi a Operação High Roller. Ela foi originalmente desenvolvida para atacar sistemas de transferência automática na Europa, mas os pesquisadores do McAfee Labs observaram novos ataques baseados na High Roller voltados contra empresas de manufatura e importação/ exportação dos Estados Unidos e América Latina. A expectativa é de que novas variantes da High Roller visem a infraestrutura de compensação automática de pagamentos utilizada para processar a maioria das operações de comércio eletrônico do mundo. No quarto trimestre, surgiu uma nova APT chamada Blitzkrieg. Ao contrário da High Roller, que visava principalmente a infraestrutura de serviços financeiros, a Blitzkrieg ataca tanto consumidores quanto suas instituições bancárias. A Blitzkrieg primeiro ataca máquinas de usuários utilizando um ataque de phishing e instala um cavalo de Troia conhecido como Prinimalka. Em seguida, o cavalo de Troia monitora as ações e o tráfego de Web do usuário para detectar a utilização de credenciais de login em bancos. Os perpetradores da Blitzkrieg, então, exportam essas credenciais para um servidor de controle e as utilizam para realizar transferências eletrônicas de fundos ilícitas. Malware Após cair um pouco no terceiro trimestre, novas descobertas de malware apresentaram um crescimento considerável no quarto trimestre, com as novas amostras crescendo 35% em relação ao terceiro trimestre (figura 2). No ano, as descobertas de novas amostras de malware aumentaram 5%, havendo atualmente mais de 12 milhões de amostras no zoológico do McAfee Labs. Malware novo Figura 2. Novas amostras de malware. Além do maior volume de ameaças, a natureza das ameaças voltadas contra usuários de PC continua a se tornar mais perigosa e sofisticada. As ocorrências de novos cavalos de Troia exclusivos para roubo de senhas, por exemplo, cresceram 72% no quarto trimestre. Os criminosos cibernéticos evidentemente perceberam que as credenciais de autenticação dos usuários são um dos mais valiosos tipos de propriedade intelectual que se pode encontrar na maioria dos computadores. Os criminosos cibernéticos também determinaram que uma das melhores maneiras de se contornar uma segurança de sistema padrão é assinar eletronicamente o malware utilizando um certificado roubado ou fabricado. No quarto trimestre houve um crescimento pronunciado dessa tática, com um aumento de três vezes nas ocorrências de binários de malware assinados (figura 3). Resumo executivo Relatório da McAfee sobre Ameaças: Quarto trimestre de 3

4 Total de binários assinados maliciosos JAN 1 FEV 1 MAR 1 ABR 1 MAIO 1 JUN 1 JUL 1 AGO 1 SET 1 OUT 1 NOV 1 DEZ Figura 3. Total de binários assinados maliciosos. Além de ter como alvos habituais o sistema operacional e aplicativos, os criminosos cibernéticos estão avançando agressivamente contra camadas mais baixas do sistema, atacando o BIOS e pilhas de armazenamento. Ataques a subsistemas de armazenamento foram particularmente populares no quarto trimestre. Um dos métodos mais populares utilizados foi atacar o registro mestre de inicialização (MBR) da unidade de disco do sistema. Um ataque de MBR bem-sucedido costuma roubar dados ou fazer rooting do sistema para dar ao atacante controle suficiente para adicionar o sistema a uma rede de bots existente ou instalar algum outro malware. Por enquanto, os ataques de MBR são uma parcela relativamente pequena de todo o cenário de malware para PC, mas o McAfee Labs prevê que eles se tornem um dos principais vetores de ataque no próximo ano. Novas ameaças relacionadas ao registro mestre de inicialização (MBR) Componentes de MBR identificados Variantes de famílias com cargas de MBR conhecidas Figura 4. Novas amostras relacionadas a ataques de MBR. Uma das formas mais espúrias de ataque que apresentou um crescimento material em foi o ransomware. Os ataques de ransomware costumam se manifestar de duas formas. Na primeira forma de ataque, o criminoso cibernético expropria informações confidenciais do sistema de um usuário ou da infraestrutura de TI de uma empresa e, em seguida, exige um pagamento para não tornar públicos os dados. Na segunda forma de ataque, o criminoso cibernético estabelece controle sobre o sistema (ou dispositivo móvel) de um usuário, criptografa os dados do usuário e exige um pagamento em troca da chave de criptografia. Infelizmente, mesmo os usuários que concordam em pagar o resgate exigido não têm como saber se irão receber a chave de criptografia prometida. 4 Resumo executivo Relatório da McAfee sobre Ameaças: Quarto trimestre de

5 Novas amostras de ransomware (vírus sequestrador) Figura 5. Novas amostras de ransomware. A última área de crescimento de malware voltado para PC detectada pelo McAfee Labs no quarto trimestre de é um nítido aumento nas ameaças com base na Web. O mecanismo básico de infecção permite que um criminoso cibernético faça download de malware de um site sub-repticiamente, sem o conhecimento do usuário. O malware, então, adiciona o sistema a uma rede de bots ou expropria dados do sistema do usuário. A distribuição de malware a partir de sites infectados tornou-se uma tática cada vez mais popular em devido às operações policiais que derrubaram algumas das maiores redes de bots. O McAfee Labs também detectou uma nova tendência, na qual uma quadrilha criminosa constroi um superdomínio de sites infectados. Utilizando essa técnica, centenas ou milhares de sites separados podem ser colocados por trás de um único endereço IP. O endereço pode, então, ser alterado frequentemente para evitar detecção e o tráfego pode ser roteado para ele através de envenenamento de DNS e outras técnicas. Uma das vantagens dessa abordagem, do ponto de vista de uma empresa, é que a quadrilha que opera o parque de Web resultante pode utilizá-lo para distribuir seu próprio malware ou alugá-lo para outras quadrilhas criminosas como um serviço à base de nuvem. O McAfee Labs monitoriza e categoriza milhões de sites por dia com base em seu perfil de risco. O serviço Global Threat Intelligence de reputação na Web da McAfee detectou um aumento de dois terços em novos endereços de URL suspeitos no quarto trimestre, identificando quase 4,5 milhões de URLs suspeitos em operação. Novos URLs suspeitos URLs Domínios associados Figura 6. URLs suspeitos. Resumo executivo Relatório da McAfee sobre Ameaças: Quarto trimestre de 5

6 Outras tendências de ameaças no quarto trimestre de Embora as três tendências discutidas acima representem a maior parte das novidades no cenário de ameaças para o quarto trimestre, houve também três outros desdobramentos dignos de nota. O primeiro foi o declínio continuado no volume de spam e o número de sistemas infectados controlados por operadores de redes de bots. A tendência das redes de bots é determinada parcialmente pelas operações policiais citadas anteriormente, mas também pelo apelo decrescente do modelo de negócios das redes de bots. Os volumes de spam costumam ser uma indicação da atividade das redes de bots, e o quarto trimestre refletiu isso (figura 7). A tendência de queda continuada no volume de spam indica que muitos spammers estão recorrendo a outras formas de crime cibernético ou concentrando seus esforços em ataques de phishing muito mais direcionados contra grupos específicos de vítimas. Volume de global, em trilhões de mensagens 1,6 1,4 1,2 1, Spam mensal legítimo,8,6,4,2 JAN FEV MAR ABR MAIO JUN JUL AGO SET OUT NOV DEZ Figura 7. Volume de spam trilhões de mensagens. Segundo, o McAfee Labs descobriu um crescimento material no uso da Internet para vender documentos falsos, como passaportes, documentos de identidade e contas de serviços públicos, além de outros tipos de documentos emitidos pelo governo. Embora seja preocupante, essa tendência evidencia pouco mais que a aplicação da tecnologia de comércio eletrônico, por parte de quadrilhas criminosas, a um ramo de atividade já existente várias gerações antes do advento da Internet. Finalmente, a atividade hacktivista aumentou modestamente no quarto trimestre, com ataques observados contra alvos dos setores público e privado em Israel, Síria, Reino Unido e Estados Unidos. Embora os ataques realizados por hackers supostamente ligados ao grupo Anonymous provavelmente continuem sendo uma característica do cenário de ameaças ao longo de 213, o McAfee Labs prevê o declínio desses ataques ao longo do ano, dando lugar a ataques patrocinados e executados por países. McAfee do Brasil Comércio de Software Ltda. Av. das Nações Unidas, andar CEP São Paulo - SP - Brasil Telefone: +55 (11) Fax: +55 (11) McAfee, o logotipo McAfee e McAfee Global Threat Intelligence são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros países. Outros nomes e marcas podem ser propriedade de terceiros. Os planos, especificações e descrições de produtos aqui contidos são fornecidos apenas para fins informativos, estão sujeitos a alterações sem notificação prévia e são fornecidos sem garantia de qualquer espécie, expressa ou implícita. Copyright 213 McAfee, Inc. 674exs_quarterly_threat_q4_213_fnl_ETMG