A equipe de pesquisas da Netskope divulgou uma pesquisa com destaque para as ameaças em nuvem no setor de varejo. O levantamento comprovou que botnets de Internet das Coisas (IoT), ferramentas de acesso remoto e infostealers – uma categoria de malware focada em coletar informações pessoais como senhas, logins, dados de cartões, wallets, cookies e documentos – foram as principais famílias de malware implementadas por atacantes que visaram o varejo no ano passado. A pesquisa também aponta que no mesmo período os usuários deste setor, que antes utilizavam em maioria aplicações baseadas no Google Cloud, passaram a utilizar mais Microsoft, como o Outlook.
Confira abaixo os principais destaques da pesquisa.
Uso de infostealers para atingir o varejo
Os Infostealers são uma família de malware proeminente para este setor, pois os invasores tentam roubar dados valiosos, como detalhes de transações de pagamento de empresas e de clientes. Os infostealers também alimentam o ecossistema mais amplo do crime cibernético, com venda de credenciais e dados financeiros.
Malware em câmeras de segurança e outros dispositivos de redes
A família de botnets Mirai mira cada vez mais os dispositivos de redes expostos que executam Linux, como roteadores, câmeras e outros dispositivos de IoT no ambiente de varejo.
Os dispositivos de IoT costumam ser ignorados como um risco à segurança, mas podem fornecer informações visuais ou de sensores que facilitam crimes cibernéticos ou até mesmo serem usados para lançar ataques DDoS contra outros alvos. Da mesma forma, os trojans de acesso remoto (RAT) se popularizaram, permitindo o acesso a navegadores e câmeras remotas, enviando informações aos atacantes ou recebendo comandos.
Desde o vazamento do código-fonte do malware Mirai, o número de variantes desse malware aumentou consideravelmente e representa um risco para o varejo como um setor com vários endpoints vulneráveis.
Programas da Microsoft estão cada vez mais visados
No relatório do ano passado, as aplicações do Google eram muito mais populares no setor de varejo do que em outros setores, mas no decorrer do ano os pesquisadores observaram um aumento no uso de Microsoft. Isso é particularmente evidente para fins de armazenamento, com uma porcentagem média de usuários passando de 43% para 51% para o OneDrive e caindo de 34% para 23% para o Google Drive. A equipe da Netskope observou tendências semelhantes com o Outlook (21%) substituindo o Gmail (13%) como a ferramenta mais popular de e-mail.
O Microsoft OneDrive continua sendo a aplicação de nuvem mais popular para a distribuição de malware em todos os setores, inclusive no varejo. Os atacantes preferem táticas que capitalizam a confiança e a familiaridade dos usuários com o OneDrive, aumentando a probabilidade de eles clicarem nos links e baixarem o malware.
No varejo, os ataques via Outlook têm mais sucesso do que em outros setores, registrando duas vezes mais downloads de malware via Outlook (10%) do que a média de outros setores (5%).
A popularidade do WhatsApp e outras redes sociais no varejo
O WhatsApp foi considerado três vezes mais popular no varejo (14%) do que em outros setores (5,8%), tanto em termos de uso médio quanto de downloads. No entanto, ele não foi listado entre as principais aplicações atuais para downloads de malware. Isso pode mudar se os agentes de ameaças começarem a perceber que esta popularidade justifica o argumento econômico para direcionar mais ataques por meio do WhatsApp. Apps de redes sociais como X (12%), Facebook (10%) e Instagram (1,5% para uploads) foram todos mais populares no varejo do que as médias de outros setores.
Paolo Passeri, diretor de Inteligência Cibernética da Netskope, relembra que a Mirai não é uma ameaça recente e que, desde sua descoberta em 2016, existem diversas variantes usadas atualmente. O executivo ressalta como um risco o fato de os invasores continuarem a usá-lo para atacar dispositivos de IoT, pois isso mostra que muitas empresas continuam a ignorar a postura de segurança de seus dispositivos conectados à Internet. “Isso representa um risco significativo não apenas para os alvos dos ataques lançados pela botnet de IoT, mas também para a empresa cujos dispositivos de IoT são escravizados pela botnet, o que pode facilmente levar a interrupções que afetam o funcionamento dos negócios. Essa vulnerabilidade, juntamente com o uso de infostealers e malware de acesso remoto para extrair credenciais e dados financeiros de clientes, torna o setor de varejo um alvo potencialmente lucrativo”, alerta o executivo.
Paolo também ressalta que achou interessante o fato de o Qakbot estar entre as principais ameaças para os varejistas e embora essa operação tenha sido derrubada pelo FBI no final de agosto de 2023, a infraestrutura desta rede de malware foi rapidamente reequipada e algumas campanhas isoladas do Qakbot foram detectadas mesmo após sua interrupção.
“O fato de botnets como a Mirai e infostealers como o Quakbot permanecerem entre os principais métodos que os atacantes usam para atingir empresas de varejo mostra que os líderes de segurança ainda têm muito a fazer para fortalecer sua infraestrutura e seus endpoints. Felizmente, seguir as práticas recomendadas fundamentais de higiene cibernética, como inspecionar o tráfego da Web e da nuvem e garantir que você possa bloquear o tráfego mal-intencionado e isolar endpoints ou domínios comprometidos, reduz os riscos de se tornar uma vítima desses ataques.”
A equipe do Netskope Threat Labs recomenda que as empresas do varejo analisem sua postura de segurança e faz várias recomendações de práticas para combater essas ameaças:
- Inspecione todos os downloads HTTP e HTTPS, incluindo todo o tráfego da Web e da nuvem, para evitar que o malware se infiltre em suas redes.
- Certifique-se de que os tipos de arquivos de alto risco, como executáveis e arquivos, sejam inspecionados minuciosamente usando uma combinação de análise estática e dinâmica antes de serem baixados.
- Configure políticas para bloquear downloads e uploads de aplicações e instâncias que não são usados em sua empresa para reduzir a superfície de riscos e minimizar os perigos de uma exposição acidental ou deliberada de dados por usuários internos ou de ações de invasores.
- Use um sistema de prevenção de intrusões (IPS) que possa identificar e bloquear padrões de tráfego mal-intencionados, como o tráfego de comando e controle associado a malwares populares. O bloqueio desse tipo de comunicação pode evitar mais danos, pois limita a capacidade do invasor de realizar outras ações.
- Use a tecnologia Remote Browser Isolation (RBI) para obter proteção adicional quando houver necessidade de visitar sites que se enquadram em categorias que podem apresentar maior risco, como domínios recém-observados e recém-registrados.
CYBERSECURITY FORUM 2024
A TI INSIDE promove no dia 24 de abril, no WTC-SP, a 3a edição do Cybersecurity Forum. Veja a grade e faça sua inscrição no site https://cybersecurityforum.com.br/
