Você já se perguntou quantas informações são espalhadas a cada segundo? Ou quantos novos dispositivos e computadores são ligados, conectados a internet todos os dias? Não temos tempo para pensar nesses números. Contudo, as consequências da aceleração e adesão instantânea da tecnologia podem ser notadas na segurança, principalmente no ambiente empresarial.
Assim como milhares de computadores e dispositivos são utilizados diariamente, milhares de ciberameaças atuam e se movimentam nessa superfície digital diariamente, como os malwares.
Diversos programas maliciosos ameaçam a segurança das informações e a integridade das marcas. Chegou a hora de destrinchamos os principais tipos de malwares, os riscos que eles representam e como utilizar a estratégia e a inteligência para combater essas ameaças.
O termo malware é a abreviação de software malicioso e refere-se a uma ampla categoria de códigos, scripts ou outras formas de softwares, criadas com alguma intenção maligna. Seja qual for a estratégia, os malwares são desenvolvidos para executar ações maliciosas em computadores e dispositivos.
Por ser uma categoria ampla, os malwares possuem várias partes, e podem ser utilizados para diferentes fins maliciosos. Destacamos aqui seis desses componentes, para exemplificar como eles são utilizados nos diferentes tipos de malwares:
Playload - parte central do malware, que atua como o cérebro, permitindo a execução de diferentes funcionalidades, tais como: roubar dados como logins, senhas, dados bancários, executar e instalar outros malwares, exibir anúncios para um usuário sem o seu consentimento.
Esse componente envolve diversas categorias de malwares, a saber:
Ofuscador / Packers - é componente que possibilita a ofuscação dos dados do malware, dificultando que os softwares antivírus realizem sua detecção. Os dados são comprimidos, facilitando sua movimentação pela rede.
Persistência - componente que mantém o malware em sistema para que o mesmo seja executado quando o sistema for reiniciado, atuando antes mesmo do usuário começar a utilizar o mesmo.
Stealth / Furtividade - permite que o malware esteja oculto para o usuário e o antivírus, processando e registrando as atividades. Um dos tipos de malwares que mais utilizam esse componente são os malwares sem arquivos.
Os malwares sem arquivos são ameaças que se apropriam das ferramentas e softwares legítimos de um sistema para executar suas ações. Diferentemente dos malwares tradicionais, os malwares sem arquivos são gravados na memória RAM - memória de acesso aleatório, que não possui traços tradicionais de sua existência.
Esses softwares maliciosos são mais incomuns, quando comparados com outras ameaças, mas são bem perigosos. Mais tarde voltaremos a analisar suas ações.
Os dois últimos componentes dos malwares:
Armoring - também conhecido como blindagem, é a camada que protege o malware de ser facilmente identificado pelos pesquisadores. Por fim, temos o comando e controle (C&C) - este é o centro de controle do malware.
Esses são os componentes básicos dos malwares e alguns exemplos mais utilizados.
Existem diversos episódios ao longo da história que comprovam o alto potencial de destruição que os malwares possuem. Não à toa, várias dessas ciberameaças ganharam fama e repercussão nos últimos anos. Separamos três ciberataques utilizando malwares e os impactos causados por eles.
No dia 12 de maio de 2017, ocorria um dos piores ataques ransomware da história, o WannaCry. Esse episódio aconteceu através da combinação de alguns fatores, a saber:
O alcance e os impactos do WannaCry conferiram-lhe o título de uns dos piores ataques ransomwares da história. Foram mais de 200 mil sistemas infectados em 150 países e, ironicamente, o pedido de resgate do ataque foi de apenas US$ 300Segundo os dados da Symantec, o custo de recuperação foi de aproximadamente US$ 4 bilhões, muito próximo dos quase US$ 4,9 bilhões em custos com o ransomware para todos os incidentes em 2020.
O nosso segundo exemplo é o Emotet, um trojan bancário bem perturbador. Ele foi identificado por pesquisadores de segurança pela primeira vez em 2014, como um malware desenvolvido para roubar dados bancários, mas foi sendo aprimorado ao longo dos anos e transformado em um malware polifórmico. Um malware polifórmico é aquele capaz de se modificar sempre que é descarregado, evitando a detecção baseada em assinatura, utilizada em antivírus tradicionais.
Em 2018, o Emotet causou muitos problemas a instituições financeiras, como o episódio do Banco Consorcio do Chile. No ataque, os cibercriminosos adulteraram as transferências internacionais da organização, gerando um prejuízo de quase US$ 2 milhões. A disseminação do malware ocorreu por e-mails fraudulentos.
Não à toa, no mesmo ano o Emotet foi classificado pelo Departamento de Segurança Interna dos EUA como um dos malwares mais perigosos e destrutivos dos últimos tempos.
As ações do cibercriminosos não se limitam apenas a ganhos financeiros. Existem muitos ataques que ocorrem por questões e conflitos políticos, como foi o caso do worm Stuxnet. Esse malware foi desenvolvido para atacar o sistema operacional SCADA que realizava o controle das centrífugas de enriquecimento de urânio iranianas.
O Stuxnet ocorreu em 2010, e ganhou as manchetes por ser o primeiro worm conhecido a ter como alvo infraestrutura industrial crítica. Sua origem ainda é desconhecida, apesar das muitas especulações. Além do Irã, esse worm afetou a Indonésia, Estados Unidos, Austrália, Inglaterra, Malásia e Paquistão.
Das muitas informações interessantes envolvendo esse episódio, destaca-se o meio de propagação do malware, dividido em várias partes nos pendrives e se infiltrando em computadores com Microsoft Windows.
Todos esses episódios expõem os impactos que os malwares causam para as empresas e organizações.
Os cibercriminosos utilizam os softwares maliciosos para diversos fins, desde roubar informações até recrutar sistemas. Seja qual for objetivo, uma coisa é certa: não existem infecções inofensivas.
Entre os diversos impactos causados pelos malwares para empresas, ressaltamos os três principais:
Além das estratégias e caminhos que foram analisados até aqui, os malwares são elementos comumente utilizados nas fraudes digitais contra as marcas. As fraudes ocorrem de formas diferentes, envolvendo:
Uso indevido da marca: domínios similares, perfis e aplicativos falsos. Essa categoria envolve o uso de páginas falsas, com malwares embutidos e outras ameaças. Objetivo é roubar os dados e enganar os clientes.
Nosso mais recente relatório sobre fraudes apontou um crescimento de 11,4% no último trimestre de 2021 dessa prática.
SMishing: o uso do phishing, o malware da pescaria, por mensagens de texto, com objetivo de roubar dados e senhas bancárias.
Perfis falsos em redes sociais: é o roubo da identidade de uma marca e prejudica diretamente a relação entre a empresa e o consumidor.
Aplicativos falsos: possuem uma contribuição significativa nas ações fraudulentas contra as marcas. Essas ameaças utilizam interfaces muito similares às das organizações verdadeiras, enganando os consumidores e ainda podem abrigar malwares ocultos em suas operações.
Não podemos finalizar essa análise sobre os malwares sem falar de um elemento muito importante e muito visado por cibercriminosos: as credenciais corporativas. Apesar dos cibercriminosos não utilizarem os malwares para capturar credenciais corporativas, eles usam esses logins para escalar privilégios administrativos e obter sucesso na execução de ciberataques como o ransomware.
Classificado como Credential Stuffing, o roubo de credenciais corporativas é um tipo ciberameaça onde o criminoso utiliza nomes de usuários e senhas de uma corporação para acessar as contas e o sistema de uma organização.
Em um ataque ransomware, as credenciais administrativas facilitam a movimentação lateral do invasor no sistema, a desabilitação de regras do firewall, garantindo também o acesso remoto à área de trabalho e outros servidores da rede.
Algumas caminhos utilizados pelos cibercriminosos para obter credenciais corporativas:
O roubo de credenciais corporativas e todas essas estratégias utilizando malwares sinalizam uma verdade: o cibercrime dos nossos dias utiliza inteligência e táticas elaboradas. Portanto, precisamos apresentar medidas de segurança equivalentes a esses desafios.
Diante de um cenário com diversas ameaças aprimoradas, realizar uma gestão de riscos superficial é como velejar em uma tempestade com uma canoa pequena e apenas dois remos. Além de ser improvável o enfrentamento da força das ondas, o volume e força da chuva afundará a embarcação.
De maneira similar, utilizar apenas um antivírus para lidar com os malwares não será suficiente. Lembra do malwares sem arquivos? Pois é, eles podem burlar a detecção realizada pelos antivírus. Esse exemplo é um lembrete da necessidade de uma estratégia abrangente contra malware.
Nossa análise pelos tipos e táticas dos malwares mostram que essas ameaças podem surgir de vários lugares, com várias formas. A superfície digital é como o oceano, é necessário ter uma visão mais ampla do que apenas o perímetro pequeno de uma canoa em alto mar.
Realizar a gestão de ameaças com inteligência é olhar o cenário de maneira completa, aplicando visibilidade, monitoramento, automatização, com respostas rápidas e eficientes contra as ameaças.