Relatório do McAfee Labs sobre ameaças Quarto trimestre de 213 Relatório Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213 1
Sobre o McAfee Labs O McAfee Labs é a maior fonte do mundo em pesquisa de ameaças, inteligência sobre ameaças e liderança em ideias sobre cibersegurança. Com dados de milhões de sensores nos principais vetores de ameaça arquivos, Web, mensagens e rede o McAfee Labs oferece inteligência sobre ameaças em tempo real, análises críticas e a opinião de especialistas para aprimorar a proteção e reduzir os riscos. www.mcafee.com/br/mcafee-labs.aspx Estamos trabalhando para tornar nosso relatório de ameaças mais claro e relevante. Esperamos que você goste das mudanças. Introdução Bem-vindo ao Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213. Já que estamos em um ano novo, vamos adotar uma abordagem nova em nossos relatórios sobre ameaças. A começar com esta edição, apresentaremos uma publicação mais resumida, com Tópicos em destaque abrangendo as principais ameaças ou problemas de segurança do trimestre. Também abordaremos (na forma de um rodízio) preocupações com ameaças relacionadas às quatro megatendências da TI: mobilidade, social, nuvem e grandes volumes de dados. O relatório agora está visualmente mais rico e de navegação mais fácil. Essa abordagem evolucionária não perdeu o rico conjunto de dados sobre ameaças que coletamos através de nossa rede McAfee Global Threat Intelligence. Com a continuidade da publicação desses dados, a maioria dos quais em uma série histórica, nossos leitores podem ter uma compreensão melhor da mudança do cenário de ameaças. Neste trimestre mostramos como a indústria do malware ajudou e estimulou os ataques a pontos de venda da Target e outros varejistas, examinamos como os binários assinados maliciosos violam o selo de aprovação das autoridades de certificação, descrevemos o impacto da descoberta de uma vulnerabilidade de dia zero no Microsoft Office pelo McAfee Labs e observamos a coleta excessiva de dados por aplicativos móveis e sua relação com o malware. Vincent Weafer, vice-presidente sênior do McAfee Labs Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213 2
Sumário Relatório do McAfee Labs sobre ameaças Quarto trimestre de 213 Este relatório foi preparado e redigido por: Benjamin Cruz Paula Greve Barbara Kay Haifei Li Doug McLean François Paget Craig Schmugar Rick Simon Dan Sommer Bing Sun James Walter Adam Wosotowsky Chong Xu Resumo executivo 4 Tópicos em destaque do trimestre A indústria do cibercrime e seu papel nos ataques contra PDVs 6 Binários maliciosos assinados: podemos confiar no modelo de autoridade de certificação? 9 Exploração de dia zero do Microsoft Office: descoberta pelo McAfee Labs 11 Malware móvel: a marcha continua 12 Estatísticas sobre ameaças Malware 15 Ameaças via Web 19 Ameaças em mensagens 21 Ameaças de rede 22
Resumo executivo Resumo executivo A indústria do cibercrime desempenhou um papel fundamental ao viabilizar e monetizar os resultados desses ataques contra pontos de venda. O rápido crescimento no número de binários maliciosos assinados está abalando a confiança do usuário no modelo de autoridade de certificação. Essa é a primeira exploração de dia zero conhecida do formato.docx. Ataques baseados nessa exploração continuam acontecendo. Parece haver uma relação entre aplicativos que fazem coleta excessiva de telemetria de dispositivos móveis e aplicativos que contêm ou permitem a execução de malware. O rastreamento da localização geográfica é uma grande preocupação. A indústria do cibercrime e seu papel nos ataques contra PDVs Nossa matéria de abertura aborda as notórias violações de dados de cartões de crédito que ocorreram neste trimestre e mostra como o ecossistema do cibercrime apoiou os esforços dos atacantes. As violações foram sem precedentes em número de registros roubados, mas ainda mais impressionante é o quão bem a indústria do malware atendeu seus clientes. Os atacantes adquiriram malware pronto para PDV, fizeram modificações simples para que pudessem atacar seus alvos e é provável que tenham testado as defesas de seus alvos e contornado essas defesas utilizando software comprado. Eles até tiveram um mercado negro pronto e eficiente para vender as informações roubadas dos cartões de crédito, incluindo um sistema de pagamentos de PDV anônimo e baseado em moeda virtual. Matérias-primas, manufatura, mercado e suporte para transações tudo isso à disposição dos ladrões. Binários maliciosos assinados: podemos confiar no modelo de autoridade de certificação? A escalada rápida de binários maliciosos assinados, um trimestre após outro, ano após ano, levanta a questão da viabilidade do modelo de autoridade de certificação. Afinal, o modelo se baseia no pressuposto da confiança e, apesar disso, contabilizamos oito milhões de binários como suspeitos. Muitos destes podem ser programas potencialmente indesejados e não realmente maliciosos, mas mesmo assim, a má utilização de certificados legítimos de assinatura de código abala a confiança do usuário. É verdade que a maioria dos binários maliciosos assinados é obra de apenas algumas maçãs podres. Contudo, não é razoável esperar que as pessoas diferenciem certificados bons de certificados maliciosos. Em nossa opinião, a indústria de segurança deve conduzir os usuários para fora desse lamaçal. Em quais certificados confiar? Que nível de confiança podemos atribuir a eles? Exploração de dia zero do Microsoft Office: descoberta pelo McAfee Labs Em novembro, o McAfee Labs descobriu uma exploração de dia zero 1 que ataca uma vulnerabilidade no Microsoft Office. Identificamos ataques direcionados contra entidades do Oriente Médio e Ásia que tentaram roubar dados confidenciais. O McAfee Labs trabalhou incessantemente com a Microsoft para compreender a exploração e construir defesas contra ela. Neste tópico em destaque, fazemos uma exposição profunda da exploração e mostramos como é difícil detectar e deter alguns ataques de dia zero. Malware móvel: a marcha continua Neste trimestre, nosso tópico em destaque sobre megatendências de TI está relacionado ao malware móvel. Esse tópico foi extensamente discutido em nosso Relatório do McAfee Labs sobre ameaças: primeiro trimestre de 213 2 e no Relatório do McAfee Labs sobre ameaças: terceiro trimestre de 213 3, incluindo algumas famílias de malware móvel específicas e bastante perigosas e o caos que elas criam. Neste trimestre expomos a profusão de aplicativos móveis que coletam dados do usuário e telemetria dos dispositivos móveis, a relação entre a coleta excessiva por parte de aplicativos e malware e as atividades maliciosas comuns realizadas pelo malware móvel. O McAfee Labs registra 2 novas ameaças a cada minuto mais de três por segundo. Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213 4
tópicos em destaque do trimestre Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213 5
tópicos em destaque A indústria do cibercrime e seu papel nos ataques contra PDVs Em dezembro, começamos a ouvir falar de uma série de ataques contra pontos de venda (PDV) em várias cadeias varejistas dos Estados Unidos. O primeiro caso a ser divulgado foi específico da empresa Target. Esse ataque foi classificado entre os maiores incidentes de perda de dados de todos os tempos. 4 Breve ficamos sabendo de mais cadeias varejistas que foram afetadas pelos ataques contra PDV. Neiman Marcus, White Lodging, Harbor Freight Tools, Easton-Bell Sports, Michaels Stores e wichcraft sofreram violações de PDV semelhantes em 213. Embora não tenha havido reconhecimento público de que houve relação entre os ataques ou de que estes tiveram um único autor, muitos utilizaram malware pronto para executar os ataques. Embora os eventos deste trimestre sejam sem precedentes, o malware de PDV não é novidade. Nos últimos anos vimos um aumento notável nas famílias de malware POSCardStealer, Dexter, Alina, vskimmer, ProjectHook e outras, muitas das quais estão disponíveis para aquisição on-line. HISTÓRICO DE ATAQUES FAMOSOS CONTRA PONTOS DE VENDA WHITE LODGING HARBOR FREIGHT NEIMAN MARCUS WICHCRAFT MICHAELS STORES TARGET EASTON-BELL SPORTS Abril de 213 Maio Junho Julho Agosto Setembro Outubro Novembro Dezembro Janeiro de 214 White Lodging: 3 de março de 213 a 16 de dezembro de 213 Harbor Freight Tools: 6 de maio de 213 a 3 de junho de 213 Neiman Marcus: 16 de julho de 213 a 3 de outubro de 213 wichcraft: 11 de agosto de 213 a 2 de outubro de 213 Target: 27 de novembro de 213 a 15 de dezembro de 213 Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213 6
tópicos em destaque A Target confirmou a presença de malware em seus sistemas de PDV. Em cooperação com várias agências, o McAfee Labs conseguiu determinar exatamente o malware utilizado nesse ataque. Até hoje, a Target é a única varejista sobre a qual podemos afirmar isso com certeza. Sabemos que a Target emprega um aplicativo de PDV personalizado. 5 Trata-se de um detalhe fundamental porque significa que os atacantes não tiveram meios de conhecer o sistema offline, através de vazamentos disponíveis de aplicativos de PDV comerciais. Sabemos que, embora o malware da Target tenha sido baseado no BlackPOS, várias personalizações permitiram um comportamento específico dentro do ambiente da Target. Detalhes relacionados a nomes de domínio do Active Directory, contas de usuário e endereços IP de compartilhamentos de SMB foram pré-codificados em scripts inseridos por alguns dos componentes do malware. O malware para a Target incluía scripts pré-codificados para roubar nomes de domínio, contas de usuário e outros dados. O script seguinte foi responsável por enviar para um servidor remoto os dados registrados de rastreamento de cartões de crédito. O script foi chamado pelos comandos da imagem anterior. Este script enviou dados de cartões de crédito para os indivíduos que atacaram a Target. Observe que esse script era em texto simples. Além disso, nenhum dos dados de cartão transmitidos foi criptografado. Eles foram enviados por FTP em texto simples por todo o caminho até seu destino, sem criptografia. Todos esses ataques foram amplamente divulgados nos meios de comunicação e, por algum tempo, podemos não compreender completamente suas implicações. Contudo, precisamos reconhecer que essa classe de ataque está longe de ser avançada. A família de malware BlackPOS é um kit de exploração pronto, à venda, que pode ser facilmente modificado e redistribuído com poucas habilidades em programação ou conhecimentos sobre funcionalidade de malware. O códigofonte do BlackPOS também já foi vazado várias vezes. Assim como no caso do Zeus/Citadel, Ghst, Poison Ivy e muitos outros kits vazados, qualquer um pode empregá-los, modificá-los e utilizá-los para seus próprios objetivos. Vendedores oferecem o BlackPOS (interceptador de dados de descarga e memória cache) para compra on-line. Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213 7
tópicos em destaque Os mercados on-line para números de cartões de crédito roubados estão prosperando. Além disso, evadir controles e aplicativos antimalware bem conhecidos é uma prática padrão. Testar e assegurar que aplicativos de segurança populares não detectem cavalos de Troia gerados por esses kits é algo trivial e os adversários adotam plenamente essa disciplina. A cada dia encontramos novas ferramentas de criptografia, compactação e outros métodos de ocultação que buscam evitar a detecção. O software para testar as defesas de seus alvos e os kits de exploração para evitar essas defesas estão prontamente disponíveis on-line. O que aconteceu com os milhões de números de cartões de crédito roubados da Target? Nós os rastreamos e continuamos a vê-los aparecer em grandes quantidades (lotes) nos principais mercados de carding. Os ladrões costumam desovar os dados em lotes de um a quatro milhões de números. Um mercado negro de cartões de crédito popular é o Lampeduza Republic. Sua hierarquia bem organizada e constituição documentada fazem dele um mercado disciplinado e funcional. A rede de sites de vendas do Lampeduza é bastante ativa e contém muitos lotes específicos desses ataques recentes contra varejistas. Ladrões pagam pelos cartões de crédito roubados utilizando um dos vários mecanismos anônimos de moeda virtual, como o Bitcoin. Acreditamos que essas violações terão repercussões duradouras. Esperamos ver mudanças em abordagens de segurança, mandatos de conformidade e, naturalmente, processos judiciais. Porém, a grande lição é que enfrentamos uma indústria do cibercrime vigorosa e crescente que desempenhou um papel fundamental ao viabilizar e monetizar os resultados desses ataques. Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213 8
tópicos em destaque Os usuários não podem mais simplesmente confiar em um certificado. Eles precisam confiar na reputação do fornecedor que assinou o binário e na capacidade deste de proteger seus dados. Binários maliciosos assinados O acesso seguro a informações pela Internet é possibilitado por um esquema que recruta terceiros de confiança, conhecidos como autoridades de certificação (CAs), para fornecer certificados digitais aos provedores de serviços que fornecem as informações. Nesse modelo de confiança, um aplicativo, ou binário, precisa ser assinado, o que significa obter de uma CA ou de seu representante um certificado que confirme que o provedor de serviços é dono do aplicativo. Se um atacante pode obter um certificado para um aplicativo malicioso (um binário malicioso assinado), torna-se mais fácil executar um ataque, porque os usuários contam com certificados para estabelecer confiança com o provedor de serviços. Mas e se milhares ou milhões de aplicativos maliciosos obtiverem certificados? Em um determinado ponto, os usuários não poderão mais confiar na segurança dos aplicativos, levantando a questão da viabilidade do modelo de autoridade de certificação. O McAfee Labs rastreou durante vários anos o crescimento do malware assinado digitalmente. Essa ameaça não só está se expandindo com rapidez crescente, como também está se tornando mais complexa. Durante este trimestre, descobrimos mais de 2,3 milhões de binários maliciosos assinados, novos e não repetidos. Trata-se de um aumento de 52% em relação ao trimestre anterior. Anualmente, o número dos descobertos em 213 (quase 5,7 milhões) mais que triplicou em relação a 212. NOVOS BINÁRIOS MALICIOSOS ASSINADOS O número de binários maliciosos assinados em nossa biblioteca triplicou em 213, atingindo mais de 8 milhões. 2.5. 2.. 1.5. Os atacantes assinam o malware em uma tentativa de induzir usuários e administradores a confiar no arquivo, mas também fazem isso para evitar detecção por software de segurança e burlar políticas de sistema. A maior parte desse malware é assinada com certificados comprados ou roubados, enquanto outros binários são autoassinados ou assinados para testes. Às vezes, a assinatura para testes é usada como parte de um ataque de engenharia social ou direcionado. 1.. 5. T3 T4 T1 T2 T3 T4 T1 T2 T3 T4 211 212 213 Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213 9
tópicos em destaque 8.. 7.. 6.. 5.. 4.. 3.. TOTAL DE BINÁRIOS MALICIOSOS ASSINADOS Da mesma forma, programas assinados por Tuguu SL, Payments Interactive SL e Lunacom Interactive Ltd. fazem referência a secdls.com, tuguu.com e domaiq.com, todos os quais pertencentes à mesma entidade. Essas entidades promovem agregação na instalação, pagamento por instalação, análises, anúncios e outros serviços. Levando-se em conta essas constatações, os dois principais transgressores do trimestre, Tuguu SL e DownloadMR, representam um terço de todo o novo malware malicioso assinado. Esta não é, de forma alguma, uma lista completa porque há muitos outros certificados associados a essas CDNs. No entanto, reconhecer essa prática por parte dos desenvolvedores de malware nos dá uma explicação para o rápido crescimento do malware assinado. 2.. 1.. EMISSORES DE CERTIFICAÇÕES EM BINÁRIOS MALICIOSOS ASSINADOS T3 T4 T1 T2 T3 T4 T1 T2 T3 T4 211 212 213 14% De onde vem todo esse malware assinado? Embora o total seja composto por certificados roubados, comprados ou corrompidos, a grande maioria do crescimento se deve a redes de distribuição de conteúdo dúbio (CDNs). Existem sites e empresas que permitem aos desenvolvedores fazer upload de seus programas, ou de um URL que aponta para um aplicativo externo, e que os acondiciona em um instalador assinado. Isso não somente dá aos desenvolvedores inescrupulosos um canal de distribuição, como também lhes confere um ar de legitimidade. O gráfico seguinte mostra os principais emissores de certificações associados a binários maliciosos assinados. Investigando mais a fundo, descobrimos que diferentes emissores de certificações de binários maliciosos assinados correspondem às mesmas CDNs suspeitas. Por exemplo, os binários assinados por Firseria SL e outros assinados por PortalProgramas obtêm conteúdo de downloadmr.com. 5% Firseria SL AND LLC Tuguu SL Payments Interactive SL Corleon Group Ltd. 4% 3% 3% 3% 3% PortalProgramas ITNT SRL Lunacom Interactive Ltd. Artur Kozak Outros 8% 6% 6% Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213 1
tópicos em destaque Exploração de dia zero do Microsoft Office No início de novembro de 213, o McAfee Labs detectou uma exploração de dia zero 6 que tinha como alvo o Microsoft Office. 7 Observamos os primeiros exemplares que visavam organizações importantes do Oriente Médio e Ásia (incluindo órgãos militares do Paquistão). Esses ataques direcionados tentavam roubar dados confidenciais localizando e vazando tipos de arquivo específicos (como.pdf,.txt,.ppt,.doc e.xls) no ambiente da vítima. Essa vulnerabilidade, CVE-213-396 8, foi corrigida no patch de dezembro da Microsoft como MS13-96. Os produtos de segurança da McAfee também foram atualizados para bloquear ataques que utilizam essa exploração. 9 Esse ataque de dia zero explora o formato Word Open XML (docx) 1 e, aparentemente, um controle ActiveX para o chamado heap spray. 11 O heap spray no Office através de objetos ActiveX é um truque novo de exploração. Anteriormente, os atacantes costumavam optar pelo Flash Player para fazer o heap spray no Office. É mais uma prova de que as técnicas de ataque estão sempre evoluindo. Desde que o McAfee Labs identificou essa ameaça, temos trabalhado com outros pesquisadores e identificamos mais de 6 variantes exclusivas, o que indica que essa vulnerabilidade é bastante aproveitada por vários atacantes. Observamos até mesmo variantes do cavalo de Troia Citadel 12 distribuídas através dessa exploração. Nossa coleção contém atualmente aproximadamente 5 exemplares exclusivos de malware baseados nessa exploração. A amostra mais antiga que encontramos data de meados de julho de 213. A vulnerabilidade CVE-213-396 é a primeira exploração à solta (in the wild) a aproveitar o Open XML. Antigamente, muitas pessoas acreditavam que o.docx era seguro em comparação com o formato de arquivo binário quebrado do Office. 13 Agora elas não creem mais nisso. Esse elemento-surpresa pode ser um grande motivo para ninguém ter detectado a ameaça: como os arquivos.docx não eram considerados vulneráveis, eles não eram executados em um ambiente de área restrita. A exploração também empregou uma técnica nova de heap spray sem script algum, pois as ações dos scripts são mais facilmente reconhecidas e bloqueadas por aperfeiçoamentos de segurança no Office 27 e em versões posteriores. O mais importante (e mais preocupante) é que essa falha está completamente documentada e que existe uma exploração de prova de conceito ativa, tornando muito mais fácil que outros agentes incorporem a exploração em novos ataques, kits de exploração e afins. Durante nossa análise, também constatamos que a prevenção de execução de dados (DEP) não é ativada por padrão no Office 27. 14 Isso é mais um motivo de preocupação. Sem a DEP, mesmo um ataque de heap spray menos complexo que este pode explorar com sucesso um alvo. Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213 11
tópicos em destaque O malware malicioso aproveita-se do consentimento do usuário quanto ao compartilhamento de dados de aplicativos móveis para rastrear informações de localização e obter dados pessoais. Malware móvel: a marcha continua Coletamos 2,47 milhões de novas amostras de malware móvel em 213, sendo 744. apenas neste trimestre. Nosso zoológico de malware móvel totalizou 3,73 milhões de amostras no final do ano, representando um aumento impressionante de 197% em relação ao final de 212. O malware pode chegar em um dispositivo móvel através de praticamente qualquer vetor de ataque normalmente associado a outros dispositivos terminais normalmente como um aplicativo obtido por download, mas também visitas a sites maliciosos, spam, mensagens de SMS maliciosas e anúncios com malware. É interessante explorar a profusão de aplicativos móveis que coletam dados do usuário e telemetria dos dispositivos móveis, a relação entre a coleta excessiva por parte de aplicativos e malware e as atividades maliciosas comuns realizadas pelo malware móvel. 1.. MALWARE MÓVEL NOVO 8. 2,4 milhões de novas amostras de malware móvel foram adicionadas em 213, em um aumento de 197% em relação a 212. 6. 4. 2. T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T4 211 212 213 TOTAL DE MALWARE MÓVEL A começar com o Relatório do McAfee Labs sobre ameaças: terceiro trimestre de 213 15, mudamos nosso relatório de malware móvel. Em vez de contar o número de famílias de malware, passamos a contar amostras não repetidas (uma contagem de hashes). Fizemos isso por dois motivos: primeiro, queremos que o método utilizado para malware móvel seja consistente com a maneira como reportamos todo malware. Segundo, ao informar o número total de variantes em vez do número total de famílias de malware móvel, apresentamos um cenário mais preciso de como o malware móvel afeta os usuários. 4.. 3.5. 3.. 2.5. 2.. 1.5. 1.. 5. T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T4 211 212 213 Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213 12
tópicos em destaque Conforme observamos no recém-publicado McAfee Mobile Security Report (Relatório de segurança móvel da McAfee) 16, descobrimos que impressionantes 82% dos aplicativos móveis monitoram quando você utiliza Wi-Fi e redes de dados, quando você liga o seu dispositivo ou sua localização atual ou a última; 8% dos aplicativos coletam informações sobre localização; e 57% rastreiam a utilização do telefone. Evidentemente, a maior parte do rastreamento é benigna. Nós abrimos mão de nossa privacidade e de nossos dados de identificação em troca de conveniência, acesso e personalização. Mas e quanto ao restante aplicativos cujo comportamento de coleta de dados é inconsistente com outros aplicativos da mesma categoria? O McAfee Labs mantém um banco de dados de reputações de aplicativos móveis. Quando um aplicativo se comporta de maneira significativamente diferente de outros da mesma categoria, podemos aumentar a classificação de risco refletida por seu índice de compartilhamento de privacidade. Quanto maior o índice, mais dados privados são compartilhados, em comparação com seus similares. Um índice baixo, dentro de cada categoria e para cada aplicativo, significa que o aplicativo coleta muito poucas informações ou se comporta como o usuário espera, com base na descrição do aplicativo. Também descobrimos que parece haver uma relação entre aplicativos que fazem coleta excessiva de telemetria de dispositivos móveis (conforme as medições de nossos índices de compartilhamento de privacidade) e aplicativos que contêm ou permitem a execução de malware. Quanto mais dados um aplicativo coleta em relação aos similares de sua categoria, mais você deve se preocupar com a perda de dados e o potencial de roubo. De fato, quando examinamos os dez aplicativos de nosso banco de dados de reputações de aplicativos móveis que apresentaram os mais altos índices de compartilhamento de privacidade, descobrimos que seis deles continham malware. Todos esses dez aplicativos liam a identificação do dispositivo e rastreavam a última localização conhecida do dispositivo. Com um aprofundamento no comportamento do malware móvel, vimos duas coisas interessantes. Primeiro, o comportamento mais comum, apresentado por mais de um terço do malware, consiste em coletar e enviar telemetria do dispositivo. O malware envia dados que podem ser utilizados para construir um perfil do comportamento do proprietário do dispositivo móvel. Há também um grande número de atos frequentemente associados ao sequestro de dispositivos, como transformar o dispositivo móvel em um bot e instalar outros elementos de malware, talvez até mais maliciosos. Segundo, do ponto de vista das tendências, o malware móvel parece estar evoluindo da exploração de vulnerabilidades para comportamentos de construção de perfis e sequestro de dispositivos. Os movimentos do proprietário do dispositivo parecem estar sendo cada vez mais valorizados. O compartilhamento de informações de rastreamento com um dispositivo móvel pode parecer benigno ou, no máximo, uma questão de privacidade, mas traz profundas implicações de segurança para o mundo do BYOD ( bring your own device, traga seu próprio dispositivo). Um elemento de malware inteligente instalado direta ou indiretamente no telefone de um CEO por um aplicativo móvel de reputação duvidosa, ainda que nada fizesse além de rastrear informações de localização, poderia denunciar seus movimentos para concorrentes, fornecedores, analistas financeiros, chantagistas ou mesmo alguém que quisesse agredi-lo fisicamente. NOVO MALWARE MÓVEL COM COMPORTAMENTO DE ADULTERAÇÃO DE DISPOSITIVOS 45% 4% 35% 3% 25% 2% 15% Dez/212 Dez/213 1% 5% % Envia informações sobre o aparelho Spyware Adware Envia SMS Premium Fraude Exploração Malware de rooting Porta dos fundos / rede de bots Ferramenta para hackear Ferramenta de download / instalador Destrutivo Spam por SMS Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213 13
Estatísticas sobre ameaças Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213 14
ESTATÍSTICAS SOBRE AMEAÇAS Malware MALWARE NOVO 3.. 25.. 2.. 15.. 1.. 5.. T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T4 211 212 213 TOTAL DE MALWARE 25.. 2.. O zoológico do McAfee Labs cresceu 15% no trimestre. Ele agora contém mais de 196 milhões de amostras de malware exclusivas. 15.. 1.. 5.. T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T4 211 212 213 Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213 15
ESTATÍSTICAS SOBRE AMEAÇAS NOVO RANSOMWARE 4. 35. 3. 25. O volume de novas amostras de ransomware (vírus sequestrador) dobrou do quarto trimestre de 212 ao quarto trimestre de 213. O McAfee Labs adicionou um milhão de novas amostras em 213. 2. 15. 1. 5. T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T4 211 212 213 TOTAL DE RANSOMWARE (VÍRUS SEQUESTRADOR) 1.8. 1.6. 1.4. 1.2. 1.. 8. 6. 4. 2. T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T4 211 212 213 Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213 16
ESTATÍSTICAS SOBRE AMEAÇAS NOVO MALWARE DE ROOTKIT 25. 2. Os novos rootkits caíram em 73% no trimestre, dando continuidade a um declínio que começou em 211. 15. 1. 5. T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T4 211 212 213 TOTAL DE MALWARE DE ROOTKIT 1.8. 1.6. 1.4. 1.2. 1.. 8. 6. 4. 2. T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T4 211 212 213 Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213 17
ESTATÍSTICAS SOBRE AMEAÇAS NOVAS AMEAÇAS RELACIONADAS AO REGISTRO MESTRE DE INICIALIZAÇÃO (MBR) 8. O McAfee Labs adicionou 2,2 milhões de novas amostras relacionadas a ataques de MBR em 213. 7. 6. 5. 4. 3. 2. 1. T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T4 211 212 213 Variantes de famílias com cargas virais de MBR conhecidas Componentes de MBR identificados TOTAL DE AMEAÇAS RELACIONADAS AO REGISTRO MESTRE DE INICIALIZAÇÃO (MBR) 6.. 5.. 4.. 3.. 2.. 1.. T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T4 211 212 213 Variantes de famílias com cargas virais de MBR conhecidas Componentes de MBR identificados Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213 18
ESTATÍSTICAS SOBRE AMEAÇAS Ameaças via Web NOVOS URLS SUSPEITOS 16.. 14.. 12.. Registramos um aumento de 4% no número de URLs suspeitos em 213. 1.. 8.. 6.. 4.. 2.. T2 T3 T4 T1 T2 T3 T4 212 213 URL Domínios associados LOCALIZAÇÃO DOS SERVIDORES QUE HOSPEDAM CONTEÚDO SUSPEITO 3,2% 31,9% América do Norte África,4% 8,4% 55,9% Ásia-Pacífico Austrália Europa e Oriente Médio América Latina,1% Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213 19
ESTATÍSTICAS SOBRE AMEAÇAS NOVOS URLS DE PHISHING 45. 4. 35. 3. 25. 2. 15. URL Domínios associados 1. 5. T2 T3 T4 T1 T2 T3 T4 212 213 PRINCIPAIS PAÍSES QUE HOSPEDAM URLs DE PHISHING PRINCIPAIS PAÍSES QUE HOSPEDAM URLs DE SPAM 27% 24% 3% 3% 4% 5% 5% 6% 47% 3% 4% 5% 5% 12% 47% Estados Unidos Brasil Rússia Reino Unido República Tcheca França Japão Outros Alemanha Canadá Holanda Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213 2
ESTATÍSTICAS SOBRE AMEAÇAS Ameaças em mensagens VOLUME GLOBAL DE E-MAIL Trilhões de mensagens 1 9 8 7 6 5 4 3 2 1 T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T4 211 212 213 Spam E-mail legítimo INFECÇÕES GLOBAIS POR REDES DE BOTS DE MENSAGENS 2.. 18.. 16.. 14.. 12.. 1.. 8.. 6.. 4.. 2.. T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T4 211 212 213 Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213 21
ESTATÍSTICAS SOBRE AMEAÇAS REDES DE BOTS DE SPAM PREDOMINANTES NO MUNDO 3% 4% 12% 35% Cutwall Kelihos 15% Slenfbot Darkmailer Festi 31% Outras Ameaças de rede PRINCIPAIS ATAQUES DE REDE Os ataques contra navegadores, que exploram principalmente vulnerabilidades no Internet Explorer e no Firefox, têm sido a principal ameaça de rede durante os últimos seis trimestres. 8% 9% 12% Navegador Chamada de procedimento remoto XSS (Cross-Site Scripting) 45% Injeção de SQL 26% Outros Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213 22
ESTATÍSTICAS SOBRE AMEAÇAS AMEAÇAS DE REDE 16.. 14.. 12.. 1.. 8.. 6.. Ataques contra navegadores XSS (Cross-Site Scripting) Chamada de procedimento remoto Injeção de SQL Outras 4.. 2.. T1 T2 T3 T4 T1 T2 T3 T4 212 213 TOTAL DE AMEAÇAS DE REDE 4.. Ataques contra navegadores 35.. 3.. 25.. 2.. 15.. XSS (Cross-Site Scripting) Chamada de procedimento remoto Injeção de SQL Outras 1.. 5.. T1 T2 T3 T4 T1 T2 T3 T4 212 213 Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213 23
Sobre a McAfee A McAfee, uma subsidiária pertencente à Intel Corporation (NASDAQ: INTC), capacita as empresas, o setor público e os usuários domésticos a experimentar com segurança os benefícios da Internet. A empresa fornece soluções e serviços de segurança proativos e comprovados para sistemas, redes e dispositivos móveis em todo o mundo. Com sua visionária estratégia Security Connected, sua abordagem inovadora para a segurança aprimorada por hardware e a rede exclusiva do Global Threat Intelligence, a McAfee está sempre empenhada em manter seus clientes em segurança. http://www.mcafee.com/br 1 http://blogs.mcafee.com/mcafee-labs/mcafee-labs-detects-zero-day-exploit-targetingmicrosoft-office-2 2 http://www.mcafee.com/br/resources/reports/rp-quarterly-threat-q1-213.pdf 3 http://www.mcafee.com/br/resources/reports/rp-quarterly-threat-q3-213.pdf 4 Estimativas atuais chegam a 11 milhões de registros de transações. 5 http://www.microsoft.com/casestudies/case_study_detail.aspx?casestudyid=4947 6 http://blogs.mcafee.com/mcafee-labs/mcafee-labs-detects-zero-day-exploit-targetingmicrosoft-office-2 7 http://blogs.mcafee.com/mcafee-labs/mcafee-labs-detects-zero-day-exploit-targetingmicrosoft-office-2 8 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-213-396 9 http://blogs.mcafee.com/business/updates-and-mitigation-to-cve-213-396-zero-day-threat 1 http://msdn.microsoft.com/en-us/library/aa33825%28v=office.12%29.aspx 11 Heap spray: um método de entrega de carga de malware que injeta um fragmento de código em um endereço de memória previsível e relocável. O código malicioso pode tentar isso no espaço de endereços de um outro processo para obter controle sobre um sistema. 12 http://www.mcafee.com/br/resources/white-papers/wp-citadel-trojan-summary.pdf 13 http://msdn.microsoft.com/en-us/library/cc31315%28office.12%29.aspx 14 https://blogs.mcafee.com/mcafee-labs/solving-the-mystery-of-the-office-zero-day-exploit-and-dep 15 http://www.mcafee.com/br/resources/reports/rp-quarterly-threat-q3-213.pdf 16 http://www.mcafee.com/br/resources/reports/rp-mobile-security-consumer-trends.pdf As informações deste documento são fornecidas somente para fins educacionais e para conveniência dos clientes da McAfee. As informações aqui contidas estão sujeitas a alterações sem aviso prévio, sendo fornecidas no estado, sem garantia de qualquer espécie quanto à exatidão ou aplicabilidade das informações a qualquer circunstância ou situação específica. McAfee e o logotipo da McAfee são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros países. Outros nomes e marcas podem ser propriedade de terceiros. A McAfee oferece os planos, especificações e descrições de produtos aqui contidos apenas para fins informativos, sujeitos a alterações sem notificação prévia e fornecidos sem garantia de qualquer espécie, expressa ou implícita. Copyright 214 McAfee, Inc. 6989rpt_qtr-q4_314_fnl_PAIR Relatório do McAfee Labs sobre ameaças: quarto trimestre de 213 24