A equipe de pesquisas da Netskope divulgou uma pesquisa com destaque para as ameaças em nuvem no setor de varejo. O levantamento comprovou que botnets de Internet das Coisas (IoT), ferramentas de acesso remoto e infostealers foram as principais famílias de malware implementadas por atacantes que visaram o varejo no ano passado. A pesquisa também aponta que no mesmo período os usuários deste setor, que antes utilizavam em maioria aplicações baseadas no Google Cloud, passaram a utilizar mais Microsoft, como o Outlook.
Infostealers contra o varejo
Os Infostealers são uma família de malware proeminente para este setor, pois os invasores tentam roubar dados valiosos, como detalhes de transações de pagamento de empresas e de clientes. Os infostealers também alimentam o ecossistema mais amplo do crime cibernético, com venda de credenciais e dados financeiros.
Malware em câmeras de segurança
A família de botnets Mirai mira cada vez mais os dispositivos de redes expostos que executam Linux, como roteadores, câmeras e outros dispositivos de IoT no ambiente de varejo.
Os dispositivos de IoT costumam ser ignorados como um risco à segurança, mas podem fornecer informações visuais ou de sensores que facilitam crimes cibernéticos ou até mesmo serem usados para lançar ataques DDoS contra outros alvos. Da mesma forma, os trojans de acesso remoto (RAT) se popularizaram, permitindo o acesso a navegadores e câmeras remotas, enviando informações aos atacantes ou recebendo comandos.
Desde o vazamento do código-fonte do malware Mirai, o número de variantes desse malware aumentou consideravelmente e representa um risco para o varejo como um setor com vários endpoints vulneráveis.
Programas Microsoft mais visados
No relatório do ano passado, as aplicações do Google eram muito mais populares no setor de varejo do que em outros setores, mas no decorrer do ano os pesquisadores observaram um aumento no uso de Microsoft. Isso é particularmente evidente para fins de armazenamento, com uma porcentagem média de usuários passando de 43% para 51% para o OneDrive e caindo de 34% para 23% para o Google Drive. A equipe da Netskope observou tendências semelhantes com o Outlook (21%) substituindo o Gmail (13%) como a ferramenta mais popular de e-mail.
O Microsoft OneDrive continua sendo a aplicação de nuvem mais popular para a distribuição de malware em todos os setores, inclusive no varejo. Os atacantes preferem táticas que capitalizam a confiança e a familiaridade dos usuários com o OneDrive, aumentando a probabilidade de eles clicarem nos links e baixarem o malware.
No varejo, os ataques via Outlook têm mais sucesso do que em outros setores, registrando duas vezes mais downloads de malware via Outlook (10%) do que a média de outros setores (5%).
Popularidade do WhatsApp
O WhatsApp foi considerado três vezes mais popular no varejo (14%) do que em outros setores (5,8%), tanto em termos de uso médio quanto de downloads. No entanto, ele não foi listado entre as principais aplicações atuais para downloads de malware. Isso pode mudar se os agentes de ameaças começarem a perceber que esta popularidade justifica o argumento econômico para direcionar mais ataques por meio do WhatsApp. Apps de redes sociais como X (12%), Facebook (10%) e Instagram (1,5% para uploads) foram todos mais populares no varejo do que as médias de outros setores.
Paolo Passeri, diretor de Inteligência Cibernética da Netskope, relembra que a Mirai não é uma ameaça recente e que, desde sua descoberta em 2016, existem diversas variantes usadas atualmente. O executivo ressalta como um risco o fato de os invasores continuarem a usá-lo para atacar dispositivos de IoT, pois isso mostra que muitas empresas continuam a ignorar a postura de segurança de seus dispositivos conectados à Internet.
“Isso representa um risco significativo não apenas para os alvos dos ataques lançados pela botnet de IoT, mas também para a empresa cujos dispositivos de IoT são escravizados pela botnet, o que pode facilmente levar a interrupções que afetam o funcionamento dos negócios. Essa vulnerabilidade, juntamente com o uso de infostealers e malware de acesso remoto para extrair credenciais e dados financeiros de clientes, torna o setor de varejo um alvo potencialmente lucrativo”, alerta o executivo.
Paolo também ressalta que achou interessante o fato de o Qakbot estar entre as principais ameaças para os varejistas e embora essa operação tenha sido derrubada pelo FBI no final de agosto de 2023, a infraestrutura desta rede de malware foi rapidamente reequipada e algumas campanhas isoladas do Qakbot foram detectadas mesmo após sua interrupção.
“O fato de botnets como a Mirai e infostealers como o Quakbot permanecerem entre os principais métodos que os atacantes usam para atingir empresas de varejo mostra que os líderes de segurança ainda têm muito a fazer para fortalecer sua infraestrutura e seus endpoints. Felizmente, seguir as práticas recomendadas fundamentais de higiene cibernética, como inspecionar o tráfego da Web e da nuvem e garantir que você possa bloquear o tráfego mal-intencionado e isolar endpoints ou domínios comprometidos, reduz os riscos de se tornar uma vítima desses ataques.”
A equipe do Netskope Threat Labs recomenda que as empresas do varejo analisem sua postura de segurança e faz várias recomendações de práticas para combater essas ameaças:
- Inspecione todos os downloads HTTP e HTTPS, incluindo todo o tráfego da Web e da nuvem, para evitar que o malware se infiltre em suas redes.
- Certifique-se de que os tipos de arquivos de alto risco, como executáveis e arquivos, sejam inspecionados minuciosamente usando uma combinação de análise estática e dinâmica antes de serem baixados.
- Configure políticas para bloquear downloads e uploads de aplicações e instâncias que não são usados em sua empresa para reduzir a superfície de riscos e minimizar os perigos de uma exposição acidental ou deliberada de dados por usuários internos ou de ações de invasores.
- Use um sistema de prevenção de intrusões (IPS) que possa identificar e bloquear padrões de tráfego mal-intencionados, como o tráfego de comando e controle associado a malwares populares. O bloqueio desse tipo de comunicação pode evitar mais danos, pois limita a capacidade do invasor de realizar outras ações.
- Use a tecnologia Remote Browser Isolation (RBI) para obter proteção adicional quando houver necessidade de visitar sites que se enquadram em categorias que podem apresentar maior risco, como domínios recém-observados e recém-registrados.
O relatório baseia-se em dados de uso anônimos coletados sobre um subconjunto do setor de varejo dos mais de 2.500 clientes da Netskope, com autorização prévia para que os dados sejam analisados dessa forma.