Cenário de ameaças cibernéticas
Ao fazermos previsões para 2020, não poderíamos ter previsto como a nova realidade que derrubou a economia global afetaria nossas vidas. No entanto, agora podemos fazer um balanço da primeira metade do ano e mostrar como o cenário de ameaças cibernéticas mudou durante esse período.
O número de ameaças bloqueadas pela Trend Micro Smart Protection Network no primeiro semestre de 2020. Fonte aqui e abaixo: Trend Micro
No primeiro semestre de 2020, as soluções de segurança da Trend Micro bloquearam mais de 27 bilhões de e-mails fraudulentos contendo anexos maliciosos e links de phishing. O segundo trimestre viu um aumento significativo no número de mensagens maliciosas em comparação com o início do ano.
Tipos de anexos maliciosos em campanhas de spam no primeiro semestre de 2020
Os arquivos PDF se tornaram o tipo mais popular de anexos maliciosos no primeiro semestre de 2020, respondendo por mais de 50% das correspondências. O segundo tipo de anexo mais popular são os arquivos HTML. Cerca de seis por cento dos e-mails continham anexos XLS, um pouco menos populares eram arquivos JavaScript, executáveis e documentos do MS Word.
O número de ransomware-ransomware nas campanhas de 2019 e 2020
Uma característica de 2020 foi a popularidade crescente do ransomware ransomware. Em relação a 2019, o número aumentou 45% - de janeiro a junho deste ano, foram descobertas 68 novas famílias desse tipo de malware.
Número de amostras de malware móvel detectadas em seis meses
As ameaças móveis também continuam a crescer, com as campanhas se tornando mais sofisticadas. Por exemplo, no final de março, descobrimos um ataque cibernético fraudulento denominado Operação Poisoned News. Foi um ataque watering hole contra usuários iOS em Hong Kong. Os usuários de dispositivos iOS receberam links para notícias em diversos fóruns nas redes sociais e mensageiros. Esses links levavam a sites de notícias relevantes, mas continham iframes ocultos com código malicioso explorando vulnerabilidades no iOS 12.1 e 12.2. Os ataques infectaram dispositivos com LightSpy, que permitiu que os invasores executassem comandos e manipulassem arquivos nos dispositivos.
A fraude publicitária continua sendo o tipo de ataque mais popular contra usuários móveis. Aplicativos maliciosos no Google Play se disfarçam como utilitários úteis e, após a instalação, eles exibem anúncios para o usuário e realizam outras ações indesejadas, incluindo roubo de dados de cartão bancário e dados pessoais do usuário.
Mudança no número de ataques de BEC em 2019-2020 no gráfico
Outra característica de 2020 é o aumento do número de ataques que visam comprometer a correspondência comercial (Business Email Compromise, BEC). Em relação ao segundo semestre de 2019, o número de campanhas de BEC aumentou 19%.
O alvo mais popular para ataques de BEC era o CEO da empresa. Esta categoria de funcionários é responsável por 30% de todos os incidentes
Curiosamente, o número de cartas “do CEO” diminuiu: em 2019, a participação dessas cartas era de 41%. Os golpistas podem estar experimentando outros empregos para avaliar sua eficácia.
Naturalmente, as pessoas mais procuradas são pessoas relacionadas a finanças, por exemplo, gerentes financeiros e CFOs.
Crescimento em ataques com a marca COVID-19
Entre janeiro e junho de 2020, a Trend Micro Smart Protection Network (SPN) identificou quase 9 milhões de ameaças COVID-19. Essas ameaças consistiam em mensagens de e-mail contendo links e arquivos maliciosos, explorando direta ou indiretamente o tema da pandemia. Podem ser, por exemplo, aplicativos informativos ou notificações sobre atrasos na prestação de serviços devido a um vírus.
O número de ataques com a marca COVID e sua distribuição por país
O líder em número dessas ameaças - 38% dos casos - foram os Estados Unidos. Os três “líderes” também incluíram a Alemanha com 14,6% e a França com 9,2%. A maioria dos casos detectados ocorreu em abril, que corresponde ao pico de incidência em muitos países.
Distribuição de tipos de conteúdo malicioso em e-mails fraudulentos em campanhas COVID-19
A grande maioria das ameaças de e-mail - 93,5% - continha um anexo malicioso e um link malicioso. Havia significativamente menos cartas contendo um link ou um arquivo.
O tema COVID-19 também foi amplamente utilizado em ataques de BEC. A eficácia dessas travessuras foi reforçada pelo fato de que a mudança para o teletrabalho tornou difícil rastrear as comunicações entre os funcionários e as organizações.
O número de campanhas de BEC relacionadas ao COVID-19
Por exemplo, durante um dos ataques de BEC, os criminosos enviaram uma notificação aos funcionários de uma vítima potencial sobre a mudança de banco em conexão com a pandemia, indicando a conta do destinatário na conta "mula" em Hong Kong.
As tentativas de navegar em sites maliciosos relacionados ao COVID-19 aumentaram ao longo do ano, com pico em abril. A maioria desses sites foi usada para algum tipo de golpe de pandemia, por exemplo:
- aplicativos que supostamente protegiam seus usuários da infecção por coronavírus, mas adicionavam o dispositivo da vítima ao botnet;
- venda de kits de vacinas aprovados pela OMS não existentes por apenas US $ 4,95;
- emitir indenizações falsas para vários tipos de danos da pandemia;
- roubo de credenciais e detalhes de cartão bancário para obter "benefícios fiscais" nos Estados Unidos.
Adaptando-se a uma nova realidade
Diante das restrições de quarentena, as empresas foram forçadas a transferir uma parte significativa de seus funcionários para o trabalho remoto. Para garantir a segurança de tal regime, vários problemas tiveram que ser resolvidos de uma vez:
- - ;
- ;
- , ;
- -;
- .
Os cibercriminosos também usaram a nova realidade e começaram a atacar ativamente os roteadores e dispositivos domésticos
Número de ataques a dispositivos de usuários domésticos em 2019-2020, a
maioria de todos os ataques - uma força bruta - ataques a uma variedade de serviços de acesso remoto: RDP, SSH, FTP. A participação desses ataques foi de quase 90%.
Distribuição de tipos de ataques a dispositivos de usuários domésticos O
comprometimento de roteadores e outros dispositivos que trabalham remotamente em usuários domésticos fornece aos invasores a oportunidade de usá-los para atacar redes corporativas.
Zumbombing e outros ataques a serviços de videoconferência
A necessidade de comunicação constante alimentou um crescimento explosivo no uso de Zoom, Cisco Webex, Google Meet, Microsoft Skype e outras plataformas de videoconferência. Um dos fenômenos sensacionais que até causaram o surgimento de um novo termo foram os ataques de trolls a conferências realizadas usando o serviço Zoom. Durante esses ataques, estranhos acessavam chamadas e reuniões privadas e, em seguida, encenavam um show de vários graus de obscenidade, como reproduzir vídeos pornôs ou insultar outros participantes.
A popularidade dos serviços de vídeo também foi explorada de outra forma: os golpistas registraram domínios de phishing cujo nome estava de alguma forma conectado com o Zoom ou outro serviço semelhante, após o que eles se ofereceram para baixar o Zoom ou o kit de distribuição do Skype carregado com um aditivo malicioso.
Campanhas de ransomware
O número de incidentes de ransomware neste ano caiu significativamente em comparação com o ano passado, mas sua qualidade mudou.
Número de componentes detectados, associados a ataques de ransomware em 2019-2020 Os
operadores de ransomware não perdem mais seu tempo com ninharias, enviando milhares de e-mails de spam para todos e exigindo uma pequena quantia de resgate. Os atacantes modernos preferem almejar grandes empresas, organizações de saúde ou agências governamentais e exigir grandes resgates. Essa abordagem aumenta a probabilidade de que o resgate seja obtido, o que significa que o ataque terá muitos retornos.
A "velha" e a nova variante do ataque de ransomware
O sensacional WannaCry coletou muito menos na forma de resgate durante todo o período de sua operaçãoo que, digamos, o ransomware Ryuk pode ganhar em um ataque.
Ryuk ataca empresas em setores críticos. A importância dos dados armazenados e processados por essas organizações permite que os operadores de malware exijam enormes resgates: de acordo com um relatório da Coveware, no primeiro trimestre de 2020, o resgate médio para Ryuk aumentou para US $ 1,3 milhão .
Outra mudança característica no ransomware moderno é a distribuição predominante por meio de campanhas direcionadas que exploram vulnerabilidades ou credenciais roubadas para hackers.
Conclusões e Recomendações
A pandemia mudou não apenas nossas vidas, mas também o estilo de pensamento das empresas de software. Reconhecendo as novas realidades, eles adotaram uma nova abordagem para a segurança.
- Microsoft , Windows 7, Windows 10: 2020 99, ( — 129 Patch Tuesday);
- Zoom ;
- .
Os tempos difíceis exigem tecnologias de segurança confiáveis. Ferramentas separadas e proteção de um nível de componentes individuais do sistema de informações de uma empresa não são mais suficientes. Somente as soluções em camadas podem fornecer proteção combinada contra ameaças de múltiplos componentes e plataformas múltiplas para e-mail, dispositivos de usuários, servidores, rede e infraestrutura em nuvem.
Idealmente, essas soluções devem fornecer uma ampla gama de métricas e análises que permitem que a equipe de TI tenha uma visão geral sem ter que dedicar uma parte significativa de seu tempo e recursos para filtrar montanhas de alertas e outros dados.
Os métodos que os invasores usam para extrair lucro da pandemia permanecem os mesmos. A engenharia social tornou-se ainda mais eficaz devido ao medo e à incerteza causados pelo vírus. No ambiente atual, as organizações simplesmente precisam prestar atenção especial à educação de usuários remotos sobre comportamento seguro por meio de programas de conscientização sobre segurança cibernética.
Por sua vez, os usuários devem exercer vigilância e bom senso ao interagir remotamente com os recursos de informação da empresa.
Outro problema que requer uma solução obrigatória é a entrega imediata de atualizações para os dispositivos pessoais dos usuários. Com o crescente número de ataques direcionados a usuários remotos, manter seus dispositivos atualizados aumentará a segurança da rede corporativa.