A inteligência de ameaças do primeiro trimestre de 2018 revelou que 98,8% das variantes de malware aparentemente comuns do Linux/Downloader foram, na verdade, projetadas para entregar um popular minerador de criptomoedas baseado em Linux. Este é apenas um dos diversos sinais que o malware malicioso de mineração de criptografia está se tornando uma das principais táticas entre os criminosos cibernéticos. O relatório Internet Security Report, da WatchGuard, detalha os mecanismos de distribuição para esses ataques, e explora outras ameaças predominantes de segurança que visam pequenos e médios negócios (SMBs) e empresas distribuídas.
“Nossa equipe do Laboratório de Ameaça descobriu vários indicadores que sugerem que mineradores maliciosos de criptomoedas estão se tornando um dos pilares dos arsenais dos criminosos cibernéticos, e continuarão a crescer mais no segundo trimestre”, diz Corey Nachreiner, Chief Technology Officer da WatchGuard Technologies. “Enquanto o ransomware e outras ameaças avançadas ainda são uma grande preocupação, estes novos ataques de mineradores de criptomoedas ilustram que os criminosos estão constantemente ajustando suas táticas para encontrar novas maneiras de tirar proveito de suas vítimas. Na verdade, mais uma vez, no primeiro trimestre, vimos quase metade de todo o malware passar por soluções de antivírus básicas, baseadas em assinaturas, devido a vários métodos de ofuscação. Uma forma de cada organização se tornar mais segura contra essas ameaças sofisticadas e evasivas é implantar defesas habilitadas com prevenção avançada de malware, como o nosso serviço APT Blocker”.
O estudo traz insights profundos das principais ameaças de cada trimestre, além de recomendações de defesa para que as pequenas e médias empresas possam se proteger. As descobertas são baseadas em dados milhares de dispositivos Firebox UTM ativos em todo o mundo. Os principais tópicos do relatório incluem:
Mineradores de criptomoedas estão em alta
Vários mineradores de criptomoeda apareceram pela primeira vez na lista da WatchGuard das 25 principais variantes de malware. Os appliances Firebox têm uma regra chamada Linux/Downloader, que captura vários programas “dropper” e “downloader” de Linux que fazem o download e executam malware. Geralmente, esses droppers baixam uma ampla variedade de malwares, mas no Q1 de 2018, 98,8% deles estavam tentando fazer o download do mesmo minerador de criptomoedas baseado em Linux. As evidências do segundo trimestre até agora indicam que o malware de mineração de criptomoedas permanecerá na lista e pode até chegar ao top 10 até o final do trimestre.
Trojan Ramnit retorna à Itália
A única amostra de malware na lista do Top 10 da WatchGuard que não apareceu em um relatório anterior foi o Ramnit, um trojan que surgiu pela primeira vez em 2010 e reapareceu brevemente em 2016. Quase todas (98,9%) as detecções do Ramnit pela WatchGuard vieram da Itália, indicando uma campanha de ataque direcionado. Como as versões anteriores do Ramnit tinham como alvo credenciais bancárias, a WatchGuard aconselha os italianos a tomarem precauções extras com suas informações bancárias e permitir a autenticação multifator para quaisquer contas financeiras.
Pela primeira vez, a APAC relata o maior volume de malware
Em relatórios anteriores, a APAC ficou atrás da EMEA e da AMER no número de acessos de malware reportados por uma ampla margem. No Q1 de 2018, a APAC recebeu o maior número de malware em geral. A grande maioria desses ataques foram malwares baseados em Windows e 98% foram destinados à Índia e a Cingapura.
Quase metade de todo o malware escapa das soluções básicas de antivírus
Os appliances UTM da WatchGuard bloqueiam o malware usando técnicas de detecção baseadas em assinaturas legadas e uma solução de detecção comportamental – APT Blocker. Quando o APT Blocker captura uma variante de malware, isso significa que as assinaturas AV legadas deixaram ela escapar. Este malware de dia zero (termo usado para o malware que é capaz de evitar os AVs tradicionais baseados em assinatura) foi responsável por 46% de todo o malware no primeiro trimestre. Este nível de malware de dia zero sugere que os criminosos continuam a usar técnicas de ofuscação para superar os serviços de AVs tradicionais, enfatizando a importância das defesas baseadas em comportamento.
Mimikatz visa os Estados Unidos
O malware de roubo de credenciais, Mimikatz Windows, reapareceu na lista da WatchGuard dos 10 principais malwares após vários trimestres de ausência. Dois terços da detecção desse malware ocorreu nos Estados Unidos e menos de 0,1% das detecções foram na APAC, possivelmente devido à complexidade dos caracteres de dois bytes em países como o Japão que usam uma linguagem baseada em símbolos para senhas.
O Internet Security Report completo apresenta uma análise detalhada do recorde do ataque DDoS do GitHub de 1,35 Tbps, assim como a análise dos principais ataques de malware e rede do trimestre e as principais táticas de defesa para PMEs.