A Websense, Inc. divulgou o Relatório de Ameaças 2015 do Websense Security Labs que analisa as tendências na evolução dos ataques virtuais, táticas e vulnerabilidades de defesa. Ele analisa como os cibercriminosos estão se tornando cada vez mais poderosos com a adoção de ferramentas de ponta em vez de conhecimento técnico.
Correntes redirecionadas, reciclagem de código e várias outras técnicas permitem que se mantenham no anonimato, tornando a atribuição da autoria um processo demorado, difícil e, em última análise, não confiável. O amplo uso de padrões antigos em vez de opções mais novas e mais seguras continua deixando os sistemas vulneráveis e expostos. Uma estrutura precária permite que as ameaças se estendam até a própria estrutura da rede, inclusive para as bases dos códigos Bash, OpenSSL e SSLv3.
"As ameaças cibernéticas em 2014 combinaram técnicas novas e antigas, causando ataques altamente evasivos que representaram um risco significativo ao roubo de dados", disse Charles Renert, vice-presidente de pesquisas de segurança da Websense. "Nessa era em que o MaaS (Malware-as-a-Service) implica em mais agentes responsáveis por ameaças do que nunca, e que têm à disposição ferramentas e técnicas capazes de violar as defesas de uma organização, é necessário fazer a detecção em tempo real em toda a cadeia de destruição de ameaças."
O Relatório de Ameaças 2015 do Websense Security Labs detalha as oito principais tendências baseadas em técnicas e comportamento, assim como informações úteis e orientações, que visam auxiliar os profissionais do setor de segurança a planejarem sua estratégia de defesa da rede. Entre as principais descobertas estão:
Tornou-se mais fácil cometer crimes cibernéticos: Hoje, até mesmo os mais inexperientes cibercriminosos podem criar e iniciar com sucesso ataques para roubo de dados devido ao maior acesso a MaaS, kits de exploração e outras oportunidades para comprar ou subcontratar partes de um ataque complexo de várias etapas. Além do acesso mais fácil a ferramentas de ponta, os autores de malware estão também combinando técnicas antigas com novas, o que resulta em técnicas altamente evasivas. Mesmo quando o código fonte e a exploração são exclusivos e avançados, uma grande parte da outra infraestrutura utilizada nos ataques é reciclada e reutilizada pelo criminoso.
Por exemplo: no ano passado, 99,3% dos arquivos maliciosos usavam uma ULR de Comando e Controle que havia sido utilizada anteriormente por uma ou mais amostras de malware. Além disso, 98,2% dos autores de malware usaram o Comando e Controle encontrado em cinco outros tipos de malware.
Novidade ou déjà vu? Os hackers estão combinando táticas antigas, como macros em e-mails indesejados, com novas técnicas de evasão. Ameaças antigas estão sendo "recicladas" e transformadas em novas ameaças enviadas através de e-mails e canais da web, desafiando até as mais robustas táticas de defesa. O e-mail, que era o principal vetor de ataque dez anos atrás, continua sendo um veículo poderoso para o envio de ameaças, apesar do papel agora predominante da web nos ataques cibernéticos.
Por exemplo: em 2014, 81% de todos os e-mails escaneados pela Websense foram identificados como maliciosos, resultando em 25% a mais em relação ao ano anterior. A Websense detectou também 28% de mensagens de e-mail maliciosas antes da disponibilização de uma assinatura de antivírus; o Websense Security Labs identificou mais de 3 milhões de anexos de e-mails com macros embutidos apenas nos últimos 30 dias de 2014.
Darwinismo digital
Os cibercriminosos se concentraram mais na qualidade dos seus ataques do que na quantidade. O Websense Security Labs registrou 3,96 bilhões de ameaças à segurança virtual em 2014, o que representou 5,1% a menos que em 2013. Porém, as inúmeras invasões a grandes empresas com investimentos vultosos em segurança confirmam a eficácia das ameaças do ano passado.
Os invasores reestruturaram a metodologia dos ataques para reduzir seu perfil de risco. Isso é realizado através da atuação de forma menos linear na tradicional cadeia de destruição de ameaças. Essas ameaças são mais difíceis de detectar, já que algumas etapas são omitidas, repetidas ou apenas parcialmente aplicadas, diminuindo o perfil da ameaça. A atividade em qualquer etapa da cadeia de destruição de ameaças apresentou grande variação. As atividades para detecção de spam se concentram apenas nas primeiras etapas da cadeia de destruição de ameaças, mas outras etapas da cadeia revelaram níveis variados de atividade. Algumas etapas apresentaram mais atividade e outras muito menos que no ano anterior.
E-mails suspeitos, por exemplo, tiveram um aumento de 25% em relação a 2013; arquivos dropper apresentaram redução de 77%; atividades de "call home" aumentaram 93%; e o uso do "exploit kit" apresentou queda de 98%, ao passo que a atividade maliciosa redirecionada permaneceu a mesma.
Evite a armadilha da atribuição de autoria: A atribuição de autoria é particularmente difícil, considerando-se a facilidade com que os hackers falsificam informações, burlam os procedimentos de log-in e de rastreamento ou outra forma de manterem o anonimato. A análise das mesmas evidências circunstanciais pode frequentemente levar a conclusões extremamente diferentes. Use o tempo precioso gasto no rastreamento de ataques para tomar medidas de remediação.
Outros tópicos abordados no relatório:
Como elevar o conhecimento de TI: Com a previsão de que até 2017 haverá uma carência de 2 milhões de profissionais especializados em Segurança da Informação em âmbito mundial, são necessárias novas abordagens para a utilização de recursos e adoção de tecnologia. Caso contrário, as empresas ficarão inevitavelmente em desvantagem em relação aos seus adversários.
Informações sobre ameaças internas: As ameaças internas continuarão sendo um dos principais fatores de risco para o roubo de dados, tanto por ações acidentais quanto por ações maliciosas por parte de funcionários.
Infraestrutura precária: Em 2014, o cenário de ameaças expandiu-se até a própria infraestrutura da rede, quando vulnerabilidades ocultas foram reveladas dentro das bases de códigos do Bash, OpenSSL, SSLv3 e outros que são populares há décadas.
IoT – multiplicadora de ameaças: A Internet das Coisas (IoT) aumentará exponencialmente as oportunidades de exploração, já que a previsão é de que existirão de 20 a 50 bilhões de dispositivos conectados no mundo até 2020. A IoT oferece aplicações e conectividade nunca antes imaginadas, mas a facilidade de uso e o desejo de inovação geralmente se sobrepõem às preocupações com segurança.
Os dados para o Relatório de Ameaças 2015 do Websense Security Labs foram coletados e avaliados através do ThreatSeeker Intelligence Cloud, que recebe até cinco bilhões de solicitações diárias de todo o mundo. A interpretação técnica foi fornecida pelo Websense Security Labs com base em entrevistas e pesquisas conduzidas por pesquisadores e engenheiros na Europa, Oriente Médio, Ásia e América do Norte, que analisaram as atividades de ataques e seus impactos em toda a cadeia de destruição de ameaças.
