Laboratórios de pesquisa em Cibersegurança têm reportado preocupantes avanços de três grandes apostas do crime cibernético: Spywares, Emotet e o ransomware Rorschach. Analistas apontam estratégias de resposta a esses novos riscos e avaliam o posicionamento das autoridades públicas nessa luta
O ano de 2023 começou com grandes mudanças na comunidade Cyber, tanto para líderes de Segurança da Informação quanto para os grupos de hacking. Essas novas características da SI foram dadas também pela sofisticação de ferramentas hostis, capazes de consolidar o cibercrime em um patamar inédito de complexidade e risco.
Entre essas ameaças, uma das que mais se destacou recentemente foram os spywares. Apesar de não ser um recurso novo ou amplamente aplicado contra os ambientes digitais dos negócios, o seu uso, especialmente em tarefas de Segurança nacional, colocam essa ameaça entre os malwares mais alarmantes no cenário global.
“Posso dizer que todo tipo de usuário já teve contato com algum programa espião capaz de varrer o ambiente em busca de dados relevantes. Três em cada dez ameaças na internet hoje são spywares. Seu grande perigo é enviar informações pessoais para terceiros ou mudar características nos desktops”, definiu Alexandre Freire, Technical Sales Engineering da Nozomi Networks LATAM, em entrevista à Security Report.
Entretanto, o cibercrime rapidamente substituiu os spywares como ferramenta de roubos de credenciais por outros meios mais rentáveis e eficientes em larga escala. Assim, ele passou a ser usado em ações mais direcionadas a alvos específicos, o que o fez entrar no radar de algumas organizações governamentais para fins de espionagem de adversários geopolíticos.
Diante do risco representado por esses elementos à defesa interna, poderes públicos por todo o mundo iniciaram processos de moderação aos spywares. Recentemente, um comitê do Parlamento Europeu emitiu um reporte pedindo que o bloco econômico restrinja essa ferramenta nos países membros, ressaltando o uso pelos governos da Hungria e Polônia para atingir a liberdade de expressão e de imprensa nesses países, bem como monitorar opositores e críticos ao governo.
Na visão do Diretor de Engenharia da Fortinet, Alexandre Bonatti, as ocorrências de espionagem mostram que o enfrentamento a esse recurso é determinante não somente à Segurança Nacional, mas também à preservação das democracias.
“Independentemente da restrição imposta por qualquer país, esse malware continuará disponível no mercado. Por estamos falando essencialmente de pessoas, com objetivos específicos, o real combate a esse tipo de ameaça está em como controlar esses usos muito individuais. É um problema bastante complexo, que não pode se encerrar apenas nas importantes restrições das autoridades”, afirmou Bonatti.
Nova campanha do Emotet
Outra ameaça de volta ao radar da Cibersegurança é o Emotet. Nos primeiros meses de 2023, especialistas da Kaspersky detectaram uma nova campanha do malware, preservando esse método de ação. Todavia, o grande problema desse novo avanço é um foco muito maior na América Latina. Além disso, por ser um backdoor, há grande preocupação de que esses acessos desconhecidos sejam vendidos para grupos de ransomware.
“Hoje, o Emotet é uma ferramenta de mil e uma utilidades, justamente pela sua enorme capacidade de se adaptar a cada alvo. Seus acessos podem ser aplicados em ataques DDoS, Ransomware, roubo de dados financeiros, entre outros. Se na América Latina isso tem se tornado uma preocupação, no Brasil o cenário é ainda mais preocupante. Em 2022, o país estava em segundo lugar como maior vítima do Emotet, atrás apenas do México. Mas hoje, já saltamos para o primeiro lugar, com uma taxa de infecções acima do dobro do segundo colocado, que é a Itália”, alertou Fábio Assolini, Diretor da Equipe Global de Pesquisa e Análise da Kaspersky LATAM.
Na visão de Assolini, além da solução conhecida de se preservar uma infraestrutura de segurança robusta, é também importante treinar os usuários para não abrirem arquivos zipados ou de contextos muito suspeitos. Também é válido manter uma política de aplicação de patches de segurança.
“O grande problema dessa última solução está obviamente nas capacidades das empresas de reagir; com organizações pequenas e médias usando sistemas pirateados e as grandes corporações sendo obrigadas a atualizar tudo com cautela. Ainda assim, essa é uma ação essencial contra um adversário conhecido justamente pela sua versatilidade”, conclui.
Novo ransomware mais veloz
Apelidado de Rorschach, essa ameaça apresentou características e modos de ação notavelmente singulares. Além de manter um processo de criptografia duas vezes mais rápido que o do LockBit, ele também aparenta ser parcialmente autônomo e carrega notas de ransomware diferentes para cada ataque promovido.
“Também temos investigado uma versão do Rorschach focada em criptografia de servidores Linux. É uma mudança de postura também dos atacantes, pois esses sistemas são mais sensíveis e preservam informações mais críticas do que os endpoints. Especialmente nesse começo de ano, ações nesse sentido têm se tornado uma tendência no mercado cibercriminosos”, disse Sergey Shykevich, gerente do Grupo de Inteligência de Ameaças da Check Point Software.
Apesar de ainda não ser um recurso encontrado com facilidade no mercado, de acordo com Shykevich, é possivelmente um dos Ransomwares mais sofisticados que que a Check Point já detectou. Portanto, reagir a esse risco é uma missão complexa sem a melhor infraestrutura de segurança possível, especialmente para os níveis de endpoints.
“No momento, não é possível dizer o quanto de impacto o Rorschach pode gerar no mercado. Seria necessário esperar o malware se consolidar, sempre acompanhando os estragos gerados nas empresas. Mas podemos dizer que ele pode se colocar entre as três famílias de ransomware mais perigosas e pode auxiliar os grupos cibercriminosos a continuar desenvolvendo seus métodos de ataque”, encerrou ele.