A Intel Security lançou seu Relatório de Ameaças da McAfee Labs: dezembro de 2016 (PDF, em inglês), que traz percepções sobre como as empresas estão usando os centros de operações de segurança (SOCs), detalha os principais acontecimentos de 2016 em ransomware e ilustra como atacantes estão criando malware difíceis de detectar ao infectar códigos legítimos com Cavalos de Tróia e aproveitar a legitimidade para se manterem ocultos o máximo de tempo possível. O relatório de dezembro detalha também o crescimento de ransomware, malware móvel, malware de macro, malware para Mac OS e outras ameaças no terceiro trimestre de 2016.
“Um dos problemas mais difíceis do setor de segurança é identificar as ações mal-intencionadas de um código criado para agir como software legítimo, com poucos falsos positivos”, afirmou Vincent Weafer, VP da McAfee Labs, Intel Security. “Quanto mais autêntico o código parecer, mais chances haverá de ele ser ignorado. Assim como em 2016, vimos mais ransomwares tornarem-se a prova de sandboxes, essa necessidade de esconder a atividade maliciosa está gerando uma tendência para ‘Troianizar’ aplicações legítimas. Desenvolvimentos como esse sobrecarregam como nunca o SOC das organizações, onde o sucesso exige a capacidade de rapidamente detectar, encurralar e eliminar ataques em andamento.”
A Situação do SOC em 2016
Em meados de 2016, a Intel Security encomendou uma pesquisa para compreender mais profundamente as formas como as empresas utilizam SOCs, as mudanças sofridas ao longo do tempo e como será a sua configuração no futuro. Entrevistas realizadas com cerca de 400 profissionais de segurança em diversas regiões, setores e empresas de vários portes renderam valiosas informações sobre a situação do SOC em 2016:
- Alertas em excesso. Em média, as organizações são incapazes de investigar satisfatoriamente 25% de seus alertas de segurança, sem variações significativas de país para país ou no porte da empresa.
- Problema de triagem. Apesar de a maioria dos entrevistados reconhecer sua apreensão quanto aos alertas de segurança, quase 93% deles são incapazes de triar todas as ameaças potenciais.
- Incidentes em ascensão. Seja em virtude do crescimento de ataques ou de melhores recursos de monitoramento, 67% dos entrevistados relataram um aumento nos incidentes de segurança.
- Motivo do aumento. Dos entrevistados que relataram aumento de incidentes, 57% afirmam que estão sofrendo ataques com maior frequência, enquanto 73% acreditam ser capazes de identificar melhor tais eventos.
- Indícios da ameaça. Para grande parte das organizações (64%), os indícios de detecção das ameaças mais comuns se originam de pontos de controle de segurança tradicionais, como sistemas antimalware, firewall e de prevenção de intrusões.
- Proativo versus reativo. A maioria dos entrevistados garante que está fazendo progresso em relação à meta de operação de segurança proativa e otimizada, mas 26% ainda operam no modo reativo, com abordagens ad hoc às operações de segurança, caça a ameaças e resposta a incidentes.
- Mais de dois terços (68%) das investigações em 2015 envolveram uma entidade específica, seja na forma de ataque externo direcionado ou ameaça interna.
- Motivos para investigação. Segundo os entrevistados, malwares genéricos lideraram a lista de incidentes (30%) e resultaram em investigações de segurança, seguidos de ataques direcionados com base em malware (17%), ataques direcionados com base em rede (15%), incidentes provocados por agentes internos resultando em ameaças potenciais ou perda de dados (12%), ameaças mal intencionadas de agentes internos (10%), ataques diretos de estado-nação (7%) e ataques indiretos ou provocados por hacktivista de estado-nação (7%).
Os entrevistados afirmaram que a maior prioridade de crescimento e investimento dos SOCs é aprimorar a capacidade de reagir a ataques confirmados, o que inclui a capacidade de coordenar, corrigir, eliminar, aprender e impedir que eles ocorram novamente.
O surgimento de “Cavalos de Troia” camuflados em softwares legítimos
O relatório detalhou também algumas das inúmeras maneiras pelas quais os hackers injetam Cavalos de Troia em códigos comumente aceitos, de modo a ocultar suas intenções maliciosas. A McAfee Labs identificou uma variedade de abordagens com os seguintes objetivos:
- Aplicar patches executáveis tão logo sejam baixados por meio de ataques de interceptação (MITM)
- Agrupar arquivos “limpos” e “sujos” usando associadores ou ligações
- Modificar executáveis através de patches, mantendo perfeitamente o uso do aplicativo
- Modificar por meio de código aberto, interpretado ou descompilado
- Envenenar o código-fonte principal, especialmente em bibliotecas redistribuídas
2016: O ano do ransomware?
Até o fim do 3º trimestre deste ano, o número de novas amostras de ransomware foi de 3.860.603, gerando um aumento de 80% em relação ao total calculado desde o início do ano. Além do aumento vertiginoso no volume, os ransomwares exibiram notáveis avanços técnicos e isso inclui criptografia de disco total ou parcial, criptografia de sites usados por aplicativos legítimos, antisandboxing, kits de exploração mais sofisticados para disseminação de ransomware e mais desenvolvimentos de ransomware como serviço.
“No ano passado, previmos que o crescimento de ataques de ransomware em 2015 se estenderia em 2016”, disse Weafer. “O ano de 2016 pode ser decididamente lembrado como ‘o ano do ransomware’, apresentando um incrível aumento no número de ataques de ransomware, com vários ataques sofisticados cujos desdobramentos atraíram grande interesse da mídia e significativos avanços técnicos nesse tipo de ocorrência. Do lado oposto dos ataques de ransomware, vimos uma maior cooperação entre o setor de segurança e a legislação, além de uma colaboração construtiva envolvendo concorrentes do mercado para gerar de fato resultados no combate aos criminosos. Como resultado, nossa expectativa é constatar uma queda no crescimento de ataques de ransomware em 2017.”
Atividade das ameaças no terceiro trimestre de 2016
No terceiro trimestre de 2016, a rede Global Threat Intelligence da McAfee Labs registrou notáveis aumentos de ransomware, malware móvel e malware de macro.
- A soma total de ransomware aumentou em 18% no 3º trimestre de 2016 e 80% desde o início do ano.
- Malware de Mac OS. O número de novos malwares de Mac OS disparou vertiginosamente em 637% no 3º trimestre, mas esse aumento é fruto principalmente de uma única família de adware, o Bundlore. O número total de malwares de Mac OS se mantém relativamente baixo em relação a outras plataformas
- Novo Malware. O crescimento de novos malwares exclusivos sofreu uma queda de 21% no 3º trimestre.
- Malware móvel. Catalogamos mais de dois milhões de novas ameaças de malware móvel no 3º trimestre. As taxas de infecção na África e na Ásia registraram quedas de 1,5%, enquanto na Austrália houve um aumento de 2% no 3º trimestre.
- Malware de Macro. O aumento de malwares de macro no novo Microsoft Office (principalmente no Word) que foi constatado a princípio no 2º trimestre manteve a tendência.
- Redes de bots para envio de spams. O botnet Necurs multiplicou seu volume no 2º trimestre cerca de sete vezes, tornando-se o botnet disseminador de spams de maior volume do 3º trimestre. Constatamos também uma queda acentuada no envio de spams pelo Kelihos, o que resultou na primeira diminuição de volume do trimestre observada em 2016.
- Predomínio das redes de bots em nível global.O Wapomi, que dissemina worms e downloaders, manteve a primeira posição no 3º trimestre, mas sofreu uma queda de 45% no 2º trimestre. O ransomware CryptXXX, que tem suporte de redes de bots, assumiu a segunda colocação e foi responsável por apenas 2% do tráfego no último trimestre.