FortiGuard aponta o botnet Bitcoin como a principal ameaça neste trimestre

0

O Laboratório FortiGuard observou que o botnet mining Bitcoin ZeroAccess, o qual recentemente invadiu os servidores da Bitcoin, foi a ameaça número um neste trimestre. O relatório também revela uma nova análise dos ciberataques na Coreia do Sul e duas novas variantes de adwares (programas que exibem propagandas e anúncios sem a autorização do usuário, tornando o computador mais lento) para Android, que subiram na lista de observação nos últimos 90 dias.

"No primeiro trimestre de 2013, vimos os administradores do botnet ZeroAccess manterem e expandirem o número de bots sob seu controle", disse Richard Henderson, estrategista de segurança e pesquisador de ameaças da Fortinet para o FortiGuard Labs. "Nos últimos 90 dias, os proprietários do ZeroAccess enviaram aos seus hospedeiros infectados 20 atualizações de software."

Com base nos relatórios obtidos a partir de dispositivos FortiGate espalhados em todo o mundo, a Fortinet considerou o ZeroAccess a principal ameaça botnet observada. O ZeroAccess é usado principalmente em fraudes de "clique" e foi detectado na invasão do site Bitcoin. O valor da moeda negociada pelo site, que é de código aberto e baseado em moeda digital, segue aumentando, o que pode significar que a quantidade de dinheiro sendo levantada pelo ZeroAccess seja da ordem de milhões de dólares ou mais.

"À medida que a popularidade e o valor do Bitcoin aumenta, podemos ver outros proprietários de botnets tratam também de utilizar suas botnets em modelos semelhantes ou atrapalhando o mercado da Bitcoin", afirma Henderson.

Em março e em abril, a Mt. Gox, maior bolsa de troca de Bitcoin do mundo, enfrentou uma batalha contínua contra ataques de negação de serviço (DDoS), numa tentativa de desestabilizar a moeda e/ou obter lucro com isso. O FortiGuard Labs, em sua análise sobre o ZeroAccess, verificou que a ameaça tem a capacidade de carregar módulos DDoS nas máquinas infectadas e que o botnet não tem, atualmente, um módulo de DDoS integrado em seu arsenal. Isto sugere que outros proprietários de botnets estão tentando lucrar com flutuações na moeda Bitcoin.

O crescimento de novas infecções pelo ZeroAccess manteve-se constante nos últimos 90 dias. Desde que o FortiGuard Labs começou a acompanhar ativamente o botnet em agosto de 2012, a equipe percebeu uma quantidade praticamente linear de crescimento de novas infecções. Mais recentemente, a equipe notou um escalonamento de 100 mil novas infecções por semana e quase 3 milhões de endereços IP reportando novas infecções. Estima-se que o ZeroAccess pode estar gerando aos seus proprietários até US$ 100.000 por dia em receitas de publicidade fraudulenta.

Ataque Wiper atinge empresas da Coreia do Sul

Um ataque maciço de malware em redes de televisão da Coreia do Sul e instituições financeiras causou enormes danos em março, eliminando informações de milhares de discos rígidos. O FortiGuard Labs, aproveitando suas parcerias com o setor público e privado na Coreia do Sul, revelou informações relativas à natureza dos ataques e como o malware se espalhou. A pesquisa mostra que os invasores foram capazes de assumir o controle de sistemas de gerenciamento de patches e usar a natureza confiável desses sistemas para distribuir malware dentro das redes.

"Durante a investigação descobrimos que uma versão do malware wiper foi capaz de infectar os servidores de gestão de segurança interna e usar a confiança natural que se tem por estes servidores para espalhar infecções dentro da rede da vítima", disse Kyle Yang, gerente sênior de antivírus do FortiGuard Labs.

Os ataques e as restaurações continuam, porém os responsáveis ??não foram identificados.

Duas novas variações de Adware para Android se propagam

Duas novas variantes de adwares para Android, o Android.NewyearL.B e o Android.Plankton.B, têm sido vistas em grande parte das infecções globais nos últimos 90 dias.

"Os novos kits publicitários que estamos monitorando sugerem que os autores estão trabalhando duro para não serem detectados", disse David Maciejak, pesquisador sênior do Laboratório Fortiguard da Fortinet. "Também é possível que o Newyear e o Plankton estejam sendo programados pelo mesmo autor, porém estão sendo mantidos separados para provocarem mais infecções."

Os dois malwares são incorporados em várias aplicações e têm a capacidade de exibir anúncios, rastrear usuários através do número do telefone – IMEI -, e modificar a programação do telefone.

"O aumento de adwares no Android pode provavelmente ser atribuído a usuários instalando o que eles acreditam serem aplicativos legítimos, mas que na verdade contêm o código adware embutido", disse Guillaume Lovet, gerente sênior do FortiGuard Labs. "Isso sugere que alguém, ou algum grupo, tem sido capaz de lucrar com estas infecções, provavelmente através de programas de publicidade."

Usuários podem se proteger prestando muita atenção nas características apresentadas pelos aplicativos no momento da instalação. Recomenda-se também o download de aplicativos móveis que foram previamente avaliados.

Recapitulando as ameaças do primeiro trimestre

NBC.com

Em fevereiro, usando um popular conjunto de ferramentas de cibercrime disponível no submundo cibernético, invasores tiraram vantagem de correções recentes nas plataformas baseadas em Java, da Oracle, e nas aplicações PDF, da Adobe, para instalar o trojan bancário Citadel e o botnet ZeroAccess em computadores que visitaram sites sob domínio da NBC. No momento do ataque, apenas três dos 46 aplicativos antivírus mais populares foram capazes de detectar e combater esta ameaça – um deles foi o FortiClient, da Fortinet.

"Os relatos de combate com base em assinatura de antivírus foram muito exagerados", disse Derek Manky, estrategista de segurança global para a Fortinet Labs. "A assinatura é muitas vezes utilizada para referir-se a um padrão simples para combinar-se com um vírus. Mas, como temos visto recentemente, este não é sempre o caso. Assinaturas Fortinet, por exemplo, são altamente inteligentes e trabalham alinhadas com o nosso motor antivírus identificando a intenção de um vírus. Em um caso como o ataque ao NBC.com, assinaturas avançadas provaram ser proativas e ajudam no combate contra ameaças avançadas persistentes (APTS) e ataques de dia zero".

No caso particular da NBC, camadas de segurança para além da NGFW tradicional se aplicam aqui – filtragem de rede, antivírus, prevenção de intrusão, controle de aplicativos e participou ativamente.

As APTs de hoje são capazes de se sobrepor a muitas tecnologias, incluindo firewalls de próxima geração. A construção de uma estratégia de defesa da rede que inclua vários níveis de segurança é a melhor maneira de se proteger a infraestrutura de um ataque. No caso da NBC, os níveis de segurança vão para além do tradicional se aplicam aqui – filtros web, antivírus, previsão de invasão e controle de aplicativos, toda essa estrutura foi envolvida.

Spamhaus

Em março, o verificador global de spam The Spamhaus Project colocou o CyberBunker em sua lista negra de spam, fazendo com que alguns grupos simpatizantes ao provedor holandês de hospedagem web lançassem um ataque DDoS contra Spamhaus. Por conta disso, o Spamhaus recorreu ao CloudFlare, provedor de entrega de conteúdo, para ajudá-lo a manter disponível os seus serviços de listas negras, porém o CloudFlare também foi atacado. No seu auge, o ataque ao Spamhaus, ao CloudFlare e a outros grupos chegou a um escalonamento de 300.bilhões de bits por segundo (Gbps), o maior ataque online já registrado. No que se refere a um ataque de amplificação DNS, um bot invasor envia um pedido falso a um servidor DNS aberto e pede para que este envie de volta um grande arquivo DNS.

"Enquanto existirem servidores DNS mal configurados ou que sejam intencionalmente deixados abertos, esses ataques irão continuar e vai ser difícil de se proteger contra eles", disse  Henderson. "Como os administradores de botnets estão sempre aumentando o tamanho de seus exércitos e diversificando a maneira de lançar seus ataques, estaremos propensos a ver ataques ainda maiores que este no futuro", conclui.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.