O ano de 2016 pode ser considerado um ano altamente bem sucedido, sob a perspectiva tanto de profissionais de segurança quanto, infelizmente, de cibercriminosos. Ao contrário dos anos anteriores, a SonicWall viu o volume de amostras de malware originais coletadas cair para 60 milhões em comparação com 64 milhões em 2015, uma queda de 6,25%. As tentativas de ataque de malware total caíram pela primeira vez em anos, para 7,87 bilhões de 8,19 bilhões em 2015. No entanto, os criminosos cibernéticos obtiveram ganhos rápidos com ransomware, alimentado em parte pela ascensão de Ransomware-como-Serviço (RaaS). Essas são as informações do Relatório Anual de Ameaças SonicWall 2017.
“Seria impreciso dizer que o cenário de ameaças diminuiu ou se expandiu em 2016 – em vez disso, parece ter evoluído e mudado”, disse Bill Conner, presidente e CEO da SonicWall. “A cibersegurança não é uma batalha de atrito; é uma corrida armamentista, e ambos os lados estão provando ser excepcionalmente inovadores.”
Avanços na Indústria de Segurança
Os ataques de malware no ponto de venda diminuíram 93% entre 2014 e 2016. As grandes rupturas no Varejo de 2014 levaram as empresas a adotar medidas de segurança mais proativas. Desde então, a indústria viu a implementação de sistemas de POS baseados em chip, especialmente nos Estados Unidos, e uma adoção mais abrangente de normativas como PCI-DDS (Payment Data Industry Standard) e outras relevantes medidas de segurança. Em 2014, a SonicWall GRID Threat Network observou um aumento de 333% no número de novas contramedidas de malware POS criadas e implantadas em comparação ao ano anterior. A tecnologia viu o número de novas variantes de malware POS diminuir 88% ano-a-ano e 93% desde 2014. Isso implica que os cibercriminosos estão cada vez menos interessados em dedicar tempo para malware focados em POS.
O tráfego criptografado Secure Sockets Layer / Transport Layer Security (SSL / TLS) cresceu 38%, em parte em resposta à crescente adoção de aplicativos em nuvem. A tendência para SSL / TLS criptografia tem aumentando por vários anos. À medida que o tráfego da Web cresceu ao longo de 2016, o mesmo ocorreu com a criptografia SSL/TLS, de 5,3 trilhões de acessos em 2015 para 7,3 trilhões em 2016, de acordo com a SonicWall GRID Threat Network. A maioria das sessões web detectada ao longo do ano foram SSL/TLS-criptografados, compreendendo 62% do tráfego da web. Uma das razões para o aumento na criptografia SSL/TLS é o crescente apetite de empresas por aplicativos em nuvem.
Apesar desta tendência de criptografia SSL/TLS ser globalmente positiva, também merece uma palavra de cautela. Ela torna mais difícil para os ladrões cibernéticos interceptar informações de pagamento dos consumidores, mas também fornece uma brecha não-inspecionada e confiável em redes corporativas, aonde os cibercriminosos podem se aproveitar para esgueirar-se na introdução de novos tipos de malware. A razão pela qual esta medida de segurança pode se tornar um vetor de ataque é que, infelizmente, a maioria das empresas ainda não têm a infraestrutura adequada para realizar inspeções profundas de pacotes (Depp Packet Inspection, DPI) para detectar malware escondido dentro de sessões web criptografadas com SSL/TLS.
Exlpoit kits dominantes como Angler, Nuclear e Neutrino desapareceram em meados de 2016. Assim como no começo de 2016, o mercado de malware foi dominado por um punhado de exploit kits, particularmente Angler, Nuclear e Neutrino. Após a prisão de mais de 50 hackers russos por alavancar o Trojan Lurk para cometer fraudes bancárias, a SonicWall GRID Threat Network viu o exploit kit Angler parar de aparecer, levando muitos a acreditar que os criadores de Angler estavam entre os presos. Durante algum tempo após o desaparecimento do Angler, observamos aumento no uso de kits como Nuclear e Neutrino, antes destes também desaparecerem rapidamente. A tecnologia notou que os exploit kits restantes começaram a se fragmentar em várias versões menores para preencher esse vazio. No terceiro trimestre de 2016, o kit Rig evoluiu em três versões, alavancando diferentes padrões de URL, criptografia em página de destino e criptografia no payload de dados.
Tal como aconteceu com spam e outros métodos de distribuição em 2016, SonicWall viu os exploit kits tornarem-se parte da máquina de distibuição de ransomware, fazendo variantes como Cerber, Locky, CrypMic, BandarChor, TeslaCrypt e outros, suas principais formas de disseminação ao longo do ano. No entanto, os exploit kits nunca se recuperaram do enorme golpe que receberam no início do ano com a retirada de suas famílias dominantes.
Avanços no Crime Cibernético
O uso de Ransomware cresceu 167 vezes ao ano e foi o foco de campanhas de e-mail mal intencionados e exploit kits. Foi detectado um aumento de 3,8 milhões de ataques ransomware em 2015 para um surpreendente número de 638 milhões em 2016. A ascensão do RaaS (Ransomware -as–a-Service) fez com que ransomware fosse significativamente mais fácil de obter e implantar. O crescimento sem precedentes do malware foi provavelmente impulsionado por um acesso mais fácil no mercado oculto, o baixo custo de condução de um ataque de ransomware, a facilidade de distribuição e o baixo risco de ser pego ou punido.
O Ransomware continuou em alta ao longo de todo o ano, começando em março de 2016, quando as tentativas de ataque de ransomware subiram de 282 mil para 30 milhões ao longo deste mês continuando até o quarto trimestre, quando fechou em 266,5 milhões de tentativas de ataque ransomware neste último trimestre. A mais popular campanhas de e-mail mal intencionado em 2016 foi o ransomware, tipicamente Locky, que foi implantado em cerca de 90 por cento dos ataques de Nemucod e mais de 500 milhões de ataques totais ao longo do ano.
Nenhum segmento de indústria foi poupado das tentativas de ataque de ransomware. Todos os segmentos foram alvo de forma quase igualitária, incluindo a indústria de engenharia mecânica e industrial com 15% das tentativas de de ransomware, seguido por produtos farmacêuticos (13%) e serviços financeiros (13%) e setor imobiliário (12%) em terceiro lugar.
“Com a ascenção de ameaças como ransomware, esta pesquisa da SonicWALL mostra como é importante para as empresas avaliar a sua estratégia de defesa cibernética”, Mike Spanbauer, Vice-Presidente de Segurança, Teste & Advisory, NSS Labs. “Nós vimos grandes avanços dos cibercriminosos em 2016 e acreditamos que fabricantes como a SonicWALL que estão dispostos a investir no desenvolvimento de tecnologias e abordagens diferenciadas para lutar contra ransomware vão ajudar a indústria de segurança a chegar à frente deste método de ataque cada vez mais frequente.”
Os dispositivos de IoT foram comprometidos em grande escala devido a recursos de segurança mal projetados, abrindo a porta para ataques distribuídos de negação de serviço. Com sua integração nos principais componentes de nossos negócios e vidas, os dispositivos IoT forneceram um atraente vetor de ataque para criminosos cibernéticos em 2016. As lacunas na segurança nos diversos dispositivos IoT permitiram que os cibercriminosos lançassem os maiores ataques distribuídos de negação de serviço (DDoS) na história 2016, aproveitando centenas de milhares de dispositivos IoT com senhas fracas para lançar ataques DDoS usando a estrutura de gerenciamento de botnet Mirai.
Foram observadas vulnerabilidades em todas as categorias de dispositivos IoT, incluindo câmeras inteligentes, vestuário inteligente, casas inteligentes, veículos inteligentes, entretenimento inteligente e terminais inteligentes. Durante o auge da onda do Mirai, em novembro de 2016, os Estados Unidos eram de longe o país mais afetado, com 70% dos ataques DDoS, seguidos pelo Brasil (14%) e Índia (10%).
Os dispositivos Android TM aumentaram as proteções de segurança, mas permaneceram vulneráveis a ataques de sobreposição. O Google trabalhou duro em 2016 para corrigir as vulnerabilidades e recursos de exploração que os criminosos cibernéticos usaram contra o Android no passado, mas ainda assim, os atacantes usaram técnicas inovadoras para vencer essas melhorias de segurança. Os cibercriminosos alavancaram sobreposições de tela para imitar telas de aplicativos legítimos e enganar usuários para entrar informações de login e outros dados. Quando o Android respondeu com novos recursos de segurança para combater as sobreposições, a SonicWall observou que os invasores contornavam essas medidas ao persuadir os usuários a fornecer permissões que possibilitassem que as sobreposições continuassem sendo usadas.
Aplicativos centrados em conteúdo adulto foram recusados no Google Play, mas os cibercriminosos continuaram a encontrar vítimas em lojas de aplicativos de terceiros. Ransomware foi uma prática comum, assim como os aplicativos com auto-instalação. Mais de 4.000 aplicativos distintos com auto-instalação em questão de duas semanas.