A McAfee Inc. publicou nesta terça-feira, 26,seu Relatório do McAfee Labs sobre Ameaças: Setembro de 2017, que examina o aumento do malware de script, sugere cinco práticas recomendadas e comprovadas de caça a ameaças, apresenta uma análise dos recentes ataques de ransomware WannaCry e NotPetya, avalia ataques relatados em diversos setores e revela tendências de crescimento de malware, ransomware, malware móvel, e outras ameaças no segundo trimestre de 2017. O McAfee Labs viu o setor de saúde ultrapassar o setor público no relato do maior número de incidentes de segurança no segundo trimestre, enquanto o cavalo de Troia Faceliker ajudou a impulsionar o aumento geral do malware no trimestre no cenário das redes sociais.
O segundo trimestre de 2017 viu o Facebook emergir como um vetor de ataque notável, sendo a Faceliker responsável por até 8,9% das 52 milhões de amostras de malware recém-detectadas. Este Trojan infecta o navegador do usuário quando este visita sites mal-intencionados ou comprometidos. Ele então sequestra seus "likes" e promove o conteúdo sem o conhecimento ou permissão do proprietário da conta. Fazer isso em escala pode render dinheiro para as partes mal-intencionadas por trás do Faceliker, pois os cliques sequestrados podem fazer com que um site ou aplicativo pareça ser mais conhecido do que realmente é.
"O Faceliker alavanca e manipula as mídias sociais e as comunicações baseadas em aplicativos que usamos cada vez mais hoje", disse Vincent Weafer, vice-presidente da McAfee Labs. "Ao fazer aplicativos ou notícias parecerem mais populares, aceitos e legítimos entre os amigos, podem influenciar a forma como percebemos valor e até mesmo a verdade. Enquanto houver lucro nesses esforços, devemos esperar ver mais desses esquemas no futuro".
A análise trimestral de ameaças publicamente reveladas do McAfee Labs constatou que o setor público foi o setor mais afetado na América do Norte nos últimos seis trimestres, mas o setor de saúde ultrapassou no segundo trimestre, com 26% dos incidentes. Embora seja mais provável que as violações gerais de dados no setor de saúde se devam a divulgações acidentais e falhas humanas, os ataques cibernéticos no setor continuam a aumentar. A tendência começou no primeiro trimestre de 2016, quando vários hospitais em todo o mundo sofreram ataques de ransomware. Os ataques paralisaram vários departamentos e, em alguns casos, os hospitais precisaram transferir pacientes e adiar cirurgias.
"Seja físico ou digital, os vazamentos de dados em saúde mostram o valor das informações pessoais sensíveis em posse das organizações do setor", continuou Weafer. "Eles também reforçam a necessidade de políticas de segurança corporativas mais fortes que funcionem para assegurar o manuseio seguro dessa informação".
Atividade de ameaças no 2º trimestre de 2017
No segundo trimestre de 2017, a rede McAfee Labs Global Threat Intelligence registrou tendências notáveis no crescimento das ameaças cibernéticas e incidentes de ataques cibernéticos em todos os setores de atividade:
*Incidentes de segurança.O McAfee Labs contabilizou 311 incidentes de segurança divulgados publicamente no segundo trimestre, um aumento de 3% em relação ao primeiro trimestre. Setenta e oito por cento de todos os incidentes de segurança publicamente divulgados no segundo trimestre ocorreram nas Américas.
*Verticais Alvos.Os setores de saúde, educação e público representaram mais de 50% do total de incidentes em 2016-2017 em todo o mundo.
o América do Norte Os ataques ao setor de saúde lideraram os incidentes de segurança do segundo trimestre nas Américas.
o Ásia-Pacífico. Na Ásia, o setor público liderou os incidentes comunicados no segundo trimestre, seguido pelos setores de serviços financeiros e tecnologia.
o Europa, Oriente Médio e África. Na Europa, o setor público liderou substancialmente no segundo trimestre, seguido e entretenimento, saúde, finanças e tecnologia.
Vetores de ataque.O sequestro de contas liderou entre os vetores de ataque divulgados, seguido por DDoS, vazamentos, ataques dirigidos, malware e injeções de SQL.
Malware em geral.O número de novas amostras de malware cresceu no 2º trimestre, atingindo 52 milhões, um aumento de 67%. Este aumento do número de novos malwares no 2º trimestre se deve, em parte, a um aumento considerável do número de instaladores de malware e ao cavalo de Troia Faceliker. O número total de amostras de malware cresceu 23% nos últimos quatro trimestres, chegando a quase 723 milhões de amostras.
Ransomware. Novas amostras de ransomware aumentaram acentuadamente mais uma vez no segundo trimestre, em 54%. O número total de amostras de ransomware cresceu 47% nos últimos quatro trimestres, chegando a 10,7 milhões de amostras.
*Malware móvel.O total do malware móvel cresceu 61% nos últimos quatro trimestres, chegando a 18,4 milhões de amostras. O número mundial de infecções em aparelhos móveis aumentou 8% no segundo trimestre, sendo a Ásia a região mais afetada, com 18%.
*Malware para Mac.Com o declínio do excesso de adware, o malware para o Mac OS voltou aos níveis históricos, aumentando apenas 27 mil no segundo trimestre. Ainda pequeno em comparação às ameaças para Windows, o número total de amostras de malware para Mac OS aumentou apenas 4% no segundo trimestre.
*Malware de macro.O número de novos malwares de macro aumentou 35% no segundo trimestre. Noventa e uma mil novas amostras aumentaram o número total geral de amostras para 1,1 milhão.
*Campanhas de spam.O botnet Gamut assumiu novamente a liderança em termos de volume durante o segundo trimestre, continuando sua tendência de distribuição de spam relacionado a empregos e produtos farmacêuticos falsos. O botnet Necurs foi o mais perturbador, distribuindo vários golpes de valorização e venda de ações durante o trimestre.
WannaCry e NotPetya
A análise feita pela McAfee dos ataques WannaCry e NotPetya tem como base a pesquisa anterior da organização, gerando mais informações sobre como o atacante combinou de maneira criativa um conjunto de táticas relativamente simples, reunindo uma exploração de vulnerabilidade, um ransomware comprovado e a conhecida propagação de worms. A McAfee nota que ambas as campanhas de ataque não contavam com recursos de pagamento e descriptografia para extorquir com sucesso os resgates das vítimas e desbloquear seus sistemas.
"Foi dito que essas campanhas de ransomware não tiveram êxito devido à quantidade de dinheiro ganho", afirmou Raj Samani, cientista-chefe da McAfee. "No entanto, é igualmente provável que a motivação do WannaCry e do NotPetya não tivesse sido ganhar dinheiro, e sim algo mais. Se o motivo era perturbar, ambas as campanhas foram incrivelmente eficazes. Vivemos hoje num mundo em que o motivo por trás do ransomware é mais do que simplesmente ganhar dinheiro: seja bem-vindo ao mundo do pseudo-ransomware ".
A ascensão do malware por script
Os pesquisadores da McAfee também detectaram o aumento notável do malware por script nos últimos dois anos. A linguagem de script da Microsoft é usada para automatizar tarefas de administração, tais como executar comandos em segundo plano, verificar serviços instalados no sistema, encerrar processos e gerenciar configurações de sistemas e servidores. Os scripts mal-intencionados de PowerShell costumam chegar à máquina de um usuário por meio de e-mails de spam, ganhando seu espaço pela engenharia social mais do que por vulnerabilidades de software e, depois, aproveitando os recursos de scripts para comprometer o sistema.
A tendência do malware por script também inclui o uso do JavaScript, do VBScript e de outros tipos de módulos não executáveis como armas, usando os formatos .doc, PDF, .xls, HTML e outros formatos inofensivos de computação pessoal.
Melhores práticas de caça às ameaças
O relatório de setembro também indica técnicas para ajudar os caçadores de ameaças a detectar a presença de adversários em seu ambiente. Começando com os princípios do que o grupo Foundstone da McAfee chama de "três grandes conhecimentos" – "conheça o inimigo, conheça sua rede, conheça suas ferramentas" – o relatório apresenta as práticas recomendadas para a busca de comando e controle, persistência, escalada de privilégios, movimentação lateral e exfiltração.
"Um pressuposto fundamental é que, a cada momento, existe pelo menos um sistema comprometido na rede, um ataque que conseguiu evadir as medidas preventivas de segurança da organização", afirmou Ismael Valenzuela, engenheiro-chefe de caça a ameaças e análise de segurança da McAfee. "Os caçadores de ameaças devem encontrar rapidamente artefatos ou evidências que possam indicar a presença de um adversário na rede, ajudando a conter e eliminar um ataque antes que ele gere um alarme ou cause uma violação de dados".