Cibercriminosos mudam foco e ransomware cresce 167 vezes em 2016

Tecnologia como Arte

Cibercriminosos mudam foco e ransomware cresce 167 vezes em 2016

O volume de amostras de malware coletados pela rede SonicWall Global Response Intelligence Defense (GRID) Threat Network totalizou 60 milhões no ano passado na comparação com 64 milhões em 2015, uma queda de 6,25%. De acordo com o relatório anual de ameaças da empresa, as tentativas de ataque de malware total caíram pela primeira vez em anos, para 7,87 bilhões de 8,19 bilhões em 2015. No entanto, os criminosos cibernéticos obtiveram ganhos rápidos com ransomware, alimentado em parte pela ascensão da modalidade de ransomware como serviço (RaaS).

“Seria impreciso dizer que o cenário de ameaças diminuiu ou se expandiu em 2016. Em vez disso, parece ter evoluído e mudado”, diz Bill Conner, presidente e CEO da SonicWall. “A cibersegurança não é uma batalha de atrito. É uma corrida armamentista, e ambos os lados estão provando ser excepcionalmente inovadores.”

As grandes rupturas no varejo em 2014 levaram as empresas a adotar medidas de segurança mais proativas. Desde então, a indústria viu a implementação de sistemas de PoS baseados em chip, especialmente nos Estados Unidos, e uma adoção mais abrangente de normativas como PCI-DDS (Payment Data Industry Standard) e outras medidas de segurança.

Em 2014, a SonicWall GRID Threat Network observou um aumento de 333% no número de novas contramedidas de malware PoS criadas e implantadas na comparação com o ano anterior. O número de novas variantes de malware PoS, no entanto, diminuiu 88% ano sobre ano e 93% desde 2014. Isso implica que os cibercriminosos estão cada vez menos interessados ​​em dedicar tempo para malware focados em PoS.

O tráfego criptografado Secure Sockets Layer/Transport Layer Security (SSL/TLS) cresceu 38%, em parte em resposta à crescente adoção de aplicativos em nuvem. A tendência para criptografia SSL/TLS tem aumentando por vários anos, diz a empresa. À medida que o tráfego da web cresceu ao longo de 2016, o mesmo ocorreu com a criptografia SSL/TLS, de 5,3 trilhões de acessos em 2015 para 7,3 trilhões em 2016, de acordo com a SonicWall.

Uma das razões para o aumento na criptografia SSL/TLS é o crescente apetite de empresas por aplicativos em nuvem. O relatório aponta que o uso total de aplicativos em nuvem cresceu de 88 trilhões em 2014 para 118 trilhões em 2015, e para 126 trilhões em 2016.

A criptografia SSL/TLS torna mais difícil para os cibercriminosos interceptar informações de pagamento dos consumidores, mas também fornece uma brecha não inspecionada e confiável em redes corporativas, onde os cibercriminosos podem se aproveitar para esgueirar-se na introdução de novos tipos de malware. A razão pela qual esta medida de segurança pode se tornar um vetor de ataque é que, infelizmente, a maioria das empresas ainda não têm a infraestrutura adequada para realizar inspeções profundas de pacotes (Depp Packet Inspection, DPI) para detectar malware escondido dentro de sessões web criptografadas com SSL/TLS.

Trégua dos exlpoit kits

Assim como no começo de 2016, o mercado de malware foi dominado por um punhado de exploit kits, particularmente Angler, Nuclear e Neutrino. Após a prisão de mais de 50 hackers russos por alavancar o Trojan Lurk para cometer fraudes bancárias, a SonicWall GRID Threat Network viu o exploit kit Angler parar de aparecer, levando muitos a acreditar que os criadores de Angler estavam entre os presos. Durante algum tempo após o desaparecimento do Angler, observamos aumento no uso de kits como Nuclear e Neutrino, antes destes também desaparecerem rapidamente.

A empresa de segurança notou que os exploit kits restantes começaram a se fragmentar em várias versões menores para preencher esse vazio. No terceiro trimestre de 2016, o kit Rig evoluiu em três versões, alavancando diferentes padrões de URL, criptografia em página de destino e criptografia no payload de dados.

Tal como aconteceu com spam e outros métodos de distribuição em 2016, a SonicWall viu os exploit kits tornarem-se parte da máquina de distibuição de ransomware, fazendo variantes como Cerber, Locky, CrypMic, BandarChor, TeslaCrypt e outros, suas principais formas de disseminação ao longo do ano. No entanto, os exploit kits nunca se recuperaram do enorme golpe que receberam no início do ano com a retirada de suas famílias dominantes.

Avanços do crime cibernético

Em contrapartida ao desaparecimentpo do Angler, Nuclear e Neutrino, o ransomware cresceu 167 vezes no ano e foi o foco de campanhas de e-mail mal intencionados e exploit kits.

A SonicWall detectou um aumento de 3,8 milhões de ataques ransomware em 2015 para nada menos que 638 milhões em 2016. A ascensão do RaaS fez com que fosse significativamente mais fácil de obter e implantar um ransomware. O crescimento sem precedentes do malware foi provavelmente impulsionado por um acesso mais fácil no mercado oculto, o baixo custo de condução de um ataque de ransomware, a facilidade de distribuição e o baixo risco de ser pego ou punido.

O ransomware continuou em alta ao longo de todo o ano, começando em março, quando as tentativas de ataque de ransomware subiram de 282 mil para 30 milhões ao longo deste mês  continuando até o quarto trimestre, quando fechou em 266,5 milhões de tentativas de ataque ransomware neste último ntrimestre.

Nenhum segmento de indústria foi poupado das tentativas de ataque de ransomware. Todos os segmentos foram alvo de forma quase igualitária, incluindo a indústria de engenharia mecânica e industrial com 15% das tentativas de de ransomware, seguido por produtos farmacêuticos (13%) e serviços financeiros (13%) e setor imobiliário (12%) em terceiro lugar.

IoT na mira dos hackers 

Os dispositivos de IoT foram comprometidos em grande escala devido a recursos de segurança mal projetados, abrindo a porta para ataques distribuídos de negação de serviço.

Com sua integração nos principais componentes de nossos negócios e vidas, os dispositivos IoT forneceram um atraente vetor de ataque para criminosos cibernéticos em 2016. As lacunas na segurança nos diversos dispositivos IoT permitiram que os cibercriminosos lançassem os maiores ataques distribuídos de negação de serviço (DDoS) na história 2016, aproveitando centenas de milhares de dispositivos IoT com senhas fracas para lançar ataques DDoS usando a estrutura de gerenciamento de botnet Mirai.

O SonicWall GRID Threat Network observou vulnerabilidades em todas as categorias de dispositivos IoT, incluindo câmeras inteligentes, vestuário inteligente, casas inteligentes, veículos inteligentes, entretenimento inteligente e terminais inteligentes.

Durante o auge da onda do Mirai, em novembro do ano pasado, a empresa observou que os Estados Unidos eram de longe o país mais afetado, com 70% dos ataques DDoS, seguidos pelo Brasil (14%) e Índia (10%).

Os dispositivos Android aumentaram as proteções de segurança, mas permaneceram vulneráveis ​​a ataques de sobreposição. O Google trabalhou duro em 2016 para corrigir as vulnerabilidades e recursos de exploração que os criminosos cibernéticos usaram contra o Android no passado, mas ainda assim, os atacantes usaram técnicas inovadoras para vencer essas melhorias de segurança.

A SonicWall observou cibercriminosos alavancando sobreposições de tela para imitar telas de aplicativos legítimos e enganar usuários para entrar informações de login e outros dados. Quando o Android respondeu com novos recursos de segurança para combater as sobreposições, a SonicWall observou que os invasores contornavam essas medidas ao persuadir os usuários a fornecer permissões que possibilitassem que as sobreposições continuassem sendo usadas.

Aplicativos centrados em conteúdo adulto foram recusados ​​no Google Play, mas os cibercriminosos continuaram a encontrar vítimas em lojas de aplicativos de terceiros. Ransomware foi uma prática comum, assim como os aplicativos com auto-instalação. Segundo relatório, mais de 4 mil aplicativos distintos com auto-instalação em questão de duas semanas.

Fonte: ComputerWorld