A evolução do malware está sendo em grande parte motivada pela proliferação da Internet das Coisas. De acordo com os dados do Gartner, existiam cerca de 8 bilhões de “coisas” conectadas em 2017. Mas esse número deve aumentar quase três vezes e ultrapassar 20 bilhões nos próximos dois anos, o que significa cerca de três dispositivos conectados por pessoa na Terra. Em outras palavras, a oportunidade para os cibercriminosos de entrar na rede e roubar dados ou manter segmentos da rede, ou a rede inteira, como refém está crescendo de forma exponencial, sem sinais de desaceleração.
O relatório da Fortinet sobre o cenário de ameaças publicado no quarto trimestre de 2017 confirma essa conclusão, principalmente no que se refere a explorações de IoT, que aumentaram quatro vezes nesse período. Durante o quarto trimestre de 2017, o FortiGuard Labs detectou uma média de 274 ataques por empresa, o que representa um aumento significativo de 82% em relação ao trimestre anterior. As descobertas deste relatório são baseadas nos bilhões de eventos e incidentes de ameaças coletados pela rede global de dispositivos e sensores da Fortinet implementados em ambientes de produção ao vivo.
Ataques a dispositivos IoT em alta
Três dos 20 principais ataques identificados no quarto trimestre visaram dispositivos IoT. Ao contrário dos ataques anteriores à IoT, que exploravam apenas uma vulnerabilidade, os novos botnets de IoT, como o Reaper e Hajime, podem explorar várias vulnerabilidades simultaneamente. Esta abordagem de múltiplos vetores é muito mais difícil de combater. A estrutura flexível do Reaper, criada com scripts e mecanismo Lua, tem seu código facilmente atualizado, ao contrário dos ataques estáticos e pré-programados como as explorações IoT anteriores. Isso permite uma invasão mais rápida, executando ataques novos e mais mal-intencionados à medida que eles se tornam disponíveis em um botnet ativo já instalado.
O potencial deste tipo de evolução é alarmante. Por exemplo, o volume de exploração do Reaper no início de outubro aumentou de 50.000 para 2,7 milhões em apenas alguns dias e depois voltou ao normal.
O que vem pela frente
As consequências do aumento no número de ataques focados em IoT que visam dispositivos vulneráveis e sem correções provavelmente assumirão a forma de botnets enormes que vão piorar ainda mais o efeito de invasão generalizada observado no passado (por exemplo, os ataques causados pelo malware Mirai sofridos pela empresa Dyn). Essas “colmeias”, ou hivenets, usam métodos de aprendizado de máquina e múltiplos vetores para identificar e atingir sistemas vulneráveis com supervisão humana mínima. Enquanto os botnets tradicionais aguardam comandos de um bot controlador, os dispositivos dos hivenets analisam um alvo, determinam suas possíveis vulnerabilidades e depois, operando de forma independente, escolhem a exploração mais provável para comprometer o alvo, espalhando-se com rapidez e causando os mais devastadores resultados.
Conforme descrito em nosso relatório Previsões para o cenário de ameaças de 2018, os hivenets poderão usar grupos de dispositivos comprometidos para identificar e assaltar diferentes vetores de ataque de uma só vez. À medida que identifica e compromete mais dispositivos, um hivenet poderá crescer de forma exponencial, ampliando sua capacidade de atacar várias vítimas simultaneamente, superando a capacidade das equipes de TI de aplicar correções ou novas assinaturas de prevenção de invasões ou antimalware. Portanto, é essencial que as organizações avaliem o que as atuais defesas de negação de serviço distribuídas podem gerenciar agora, para evitar problemas depois que um ataque do tipo “enxame” cruzar o seu caminho.
Proteger o que importa
Para se defender melhor contra as explorações da IoT, as práticas recomendadas começam com a identificação e o inventário dos dispositivos conectados à rede, documentando como eles estão configurados e controlando como eles se autenticam nos pontos de acesso da rede. Assim que tiver visibilidade completa, as organizações podem então segmentar de forma dinâmica os dispositivos IoT em zonas de rede protegidas com políticas personalizadas.
Porém, para uma segurança eficaz, será necessário vincular esses segmentos de maneira dinâmica usando um sistema de segurança integrado e automatizado que possa cobrir toda a rede, principalmente os pontos de acesso, e então verificar os segmentos do tráfego da rede movimentando-se lateralmente pela rede, mesmo na multinuvem.
O crescimento dramático das famílias de malware que visam a IoT ilustra a natureza incrivelmente prolífica dessa ameaça. A estratégia de “proliferar para penetrar” não é nova, mas é outro lembrete de que o antimalware de assinatura de ponto único simplesmente não consegue processar o volume, a velocidade e a variedade de malwares modernos. Para aumentar a proteção da rede e dos seus dados, as organizações precisam integrar as proteções de malware capazes de detectar ameaças conhecidas e desconhecidas nas várias camadas do ambiente de rede distribuído e dinâmico atual, desde os dispositivos de usuários até o núcleo e os ambientes na nuvem.
*Por Anthony Giandomenico, Estrategista de Segurança Sênior da Fortinet
