Artigos

ARTIGO: Segurança da informação: aprendendo com 30 anos de evolução dos ciberataques

Américo Spachacquercia, Analista de sistemas e consultor em Cibersegurança da Panda Security Brasil

Ciberataques estão continuamente evoluindo. Com a internet agora uma ferramenta cotidiana em nossas vidas, os ataques aumentaram tanto em frequência quanto em sofisticação. Por causa disso, eles têm um enorme impacto global nas economias, segurança nacional, eleições, roubo de dados e privacidade pessoal e da empresa.

Para desenvolver as melhores estratégias, ferramentas ou serviços para parar esses ataques ou minimizar seu impacto, é vital aprender com a história e incorporar o que ela pode nos ensinar sobre como os cibercriminosos agem.

Por isso, identificamos os ataques cibernéticos que mais causaram impacto nas últimas três décadas, que mostram a evolução dos ciberataques e a permanência de técnicas, como a de engenharia social e distribuição de malwares por meio de software pirata. Pode ser que você identifique outros ataques não listados neste artigo e suas observações serão bem-vindas. Confira:

Barrotes (1993): conhecido como o primeiro vírus espanhol, esse malware era enviado por meio de um disquete infectado, que eram comumente usados na época para compartilhar arquivos ou software pirata. Era um pequeno programa que, ao entrar em sistemas, escrevia seu código malicioso em arquivos executáveis (.com e .exe no MS-DOS), onde permaneceu escondido até 5 de janeiro, quando foi lançado e ativado para substituir o disco de inicialização. Como resultado, toda vez que o computador era iniciado, a tela era coberta por barras, impossibilitando o uso do dispositivo.

CIH/Chernobyl (1998): originário de Taiwan, este é considerado um dos vírus mais prejudiciais da história por causa dos milhões de dólares de perdas que causou em todo o mundo, e da rapidez com que se espalhou. Seu modus operandi era letal: uma vez instalado em um computador, ele excluía todas as informações de todo o computador, até mesmo corrompendo bios para que o sistema não pudesse inicializar. Estima-se que afetou mais de 60 milhões de usuários do Windows 95, 98 e ME.

Melissa (1999): um dos primeiros ataques cibernéticos realizados usando técnicas de engenharia social. Os usuários receberiam um e-mail com um anexo (chamado List.doc), que supostamente continha detalhes de login para acessar sites de pornografia. No entanto, uma vez que o documento aberto, o vírus acessava a agenda do Microsoft Outlook da vítima e encaminhava um e-mail para os primeiros 50 contatos da agenda de endereços.  Também infectava todos os documentos do Word no computador.

Eu te amo (2000): este worm, programado em Visual Basic Script, também usou engenharia social e e-mail para infectar dispositivos. O usuário recebia um e-mail com o tema “Eu TE AMO” e um anexo chamado “LOVE-LETTER-FOR-YOU” TXT.vbs”. Quando este documento era baixado e aberto, ele substituía uma infinidade de arquivos (.jpeg, .css, .jpg, .mp3, .mp2 e outros) por um Trojan que visava obter informações confidenciais. O impacto deste malware foi tão grande que infectou milhões de computadores em todo o mundo, incluindo dispositivos no Pentágono e no Parlamento britânico.

Mydoom (2004): outro pedaço de malware enviado por e-mail, mas desta vez usando uma mensagem de erro. Mydoom usava a maioria das ferramentas e opções de segurança do Windows para se espalhar pelo sistema e por cada arquivo. Teve consequências dramáticas, pois reduziu, na ocasião, o tráfego mundial de Internet em 10% e causou perdas de cerca de US$ 40 bilhões.

Stuxnet (2010): é o primeiro exemplo conhecido de uma arma de guerra cibernética, pois foi projetado para atacar a infraestrutura crítica iraniana. Este worm, que se espalhou através de dispositivos USB removíveis, realizou um ataque direcionado contra empresas com sistemas SCADA, com o objetivo de coletar informações e, em seguida, ordenar que o sistema se autodestruísse. Ele explorava a vulnerabilidade do Windows MS10-046, que afetou atalhos, para se instalar no computador, especificamente no Windows 2003, XP, 2000, NT, ME, 98 e 95. Ele também foi capaz de entrar em dispositivos que não estavam conectados à Internet ou a uma rede local.

Mirai (2016): é o mais conhecido botnet por trás de grandes ataques de negação de serviço (DDoS) até o momento. Isso afetou grandes empresas como Twitter, Netflix, Spotify e PayPal. Este malware infectou milhares de dispositivos IoT, permanecendo inativo dentro deles. Os criadores do Mirai o ativaram em 21 de outubro de 2016, usando-o para atacar o provedor de serviços DNS Dyn. Tanto seus serviços quanto seus clientes caíram ou enfrentaram problemas por horas.

WannaCry (2017): foi um  ataque de ransomware que começou  com  um  criptoworm dos  mesmos  computadores Windows, criptografou os dados e exigiu pagamentos de resgate de US$ 300 em bitcoins. Ele foi interrompido alguns dias depois, graças a patches de emergência lançados pela Microsoft e à descoberta de um kill switch que impediu que computadores infectados continuassem a espalhar o malware. Estima-se que o ataque tenha afetado mais de 200.000 computadores em cerca de 150 países.

Petya/NotPetya (2016-2017): ransomware Petya, descoberto em 2016, é executado em computadores, criptografando certos arquivos, enquanto bloqueia o setor de inicialização do sistema comprometido. Dessa forma, impede que os usuários acessem seus próprios computadores a menos que digitem um código de acesso, depois de terem pagado o resgate, o que restaura o sistema operacional como se nada tivesse acontecido.  A variante NotPetya, que surgiu em 2017, teve como alvo principalmente o setor empresarial. Uma coisa que o tornou particularmente notório foi o fato de que, mesmo quando o resgate foi pago, os arquivos da vítima não foram recuperados. Apesar desse ransomware ter infectado redes em vários países, os pesquisadores suspeitam que ele realmente pretendia esconder um ataque cibernético direcionado a instituições ucranianas.

Ryuk (2019): o ransomware  Ryuk colocou em risco a infraestrutura crítica de grandes empresas nacionais e internacionais no último trimestre de 2019. Entre suas vítimas estão a prefeitura do condado de Jackson, na Geórgia (EUA). Este malware, cujas origens são associadas ao grupo russo Grim Spider, criptografa os arquivos em dispositivos infectados, e só permite que a vítima recupere seus arquivos se pagar um resgate em bitcoins. Ryuk parece ser derivado de Hermes, um pedaço semelhante de malware que pode ser comprado na dark web e personalizado para atender às necessidades do comprador.

Incidentes como esses permitiram acumular décadas de experiência para o desenvolvimento de modelos únicos de cibersegurança, baseados na lógica contextual gerada com aprendizado de máquina para revelar padrões comportamentais maliciosos e criar defesas cibernéticas avançadas contra ameaças conhecidas e desconhecidas. As modernas soluções são baseadas em tecnologias como inteligência artificial, big data e cloud computing.

 

Read More
Releases

Segurança da informação: Ransomware Ryuk continua a atacar

Em 2019, os ransomwares foram uma das principais armas usadas pelo cibercrime. Empresas e organizações em todo o mundo foram atingidas por ataques cibernéticos que usaram esse tipo de malware para criptografar seus arquivos e exigir um resgate. As ondas de ransomware usam uma série de variantes para realizar os ataques. No entanto, há uma variante que foi usada na época e que ainda é vista hoje alerta o PandaLabs, laboratório de detecção e análise de malware da Panda Security. Trata-se do ransomware Ryuk.

Os estudos da PandaLabs apontam que o Ryuk é uma das variantes de ransomware mais notórias dos últimos anos. “Desde que apareceu pela primeira vez no verão de 2018, este malware tem conquistado uma lista impressionante de vítimas, especialmente em ambientes de negócios, que são o foco principal de seus ataques”, explica Américo Spachacquercia, Analista de sistemas e consultor em Cibersegurança da Panda Security Brasil.

Dados da Panda apontam que, em meados de 2019, um grande número de empresas espanholas de diferentes setores sofreu sérios ataques que fizeram uso de Ryuk para criptografar seus sistemas. Entretanto, a Espanha não é o único país que sofreu nas mãos desse ransomware. Outros países que foram mais atingidos por Ryuk são Alemanha, China, Argélia e Índia. Nos últimos três anos, Ryuk afetou milhões de usuários, comprometendo grandes quantidades de dados e causando perdas econômicas significativas.

Como ryuk funciona

Como outros tipos de ransomware, uma vez que Ryuk terminou de criptografar os arquivos de suas vítimas, ele deixa uma nota de resgate afirmando que, para recuperar seus arquivos, eles precisam fazer um pagamento em bitcoins para o endereço indicado na nota.

Na amostra analisada pela Panda Security, Ryuk entrou no sistema através de uma conexão remota feita em um ataque via RDP (Remote Desktop Protocol). O hacker consegue fazer login remotamente. Uma vez logado, ele cria um executável com a amostra.

O Ryuk tenta permanecer no sistema pelo maior tempo possível. Uma das maneiras que ele usa para fazer isso é criando executáveis e lançando-os em segredo no sistema.

Para ser capaz de criptografar os arquivos da vítima, ele também precisa ter privilégios. De um modo geral, Ryuk começa com um movimento lateral, ou seja, é lançado por outro tipo de malware, como Emotet ou Trickbot. Estes são responsáveis por aumentar os privilégios antes de concedê-los ao ransomware.

“Ryuk tem uma lista de truques para entrar, ganhar persistência e criptografar os arquivos das vítimas. Como é o caso de todos os ransomwares, se a empresa não tem a proteção adequada e não segue as diretrizes apropriadas, essa ameaça pode ser difícil de conter”, completa Américo.

 Como se proteger contra Ryuk

A Panda Security lida com esse problema por meio de uma combinação de proteção avançada de endpoint em sua solução Panda Adaptive Defense: a capacidades de EDR, o monitoramento de todos os endpoints no sistema e seu serviço de classificação 100%. Baseia-se em uma abordagem de Zero Trust (confiança zero): qualquer processo ou aplicativo desconhecido é bloqueado até que possa ser analisado. Dessa forma, ele é capaz de parar qualquer ameaça antes que possa ser executada, mesmo os ataques mais avançados, como Ryuk.

Saiba mais detalhes técnicos sobre Ryuk o relatório sobre este ransomware, escrito pela PandaLabs (em inglês).

 

Read More
Releases

Campanhas de ataque cibernético explorando a COVID-19 têm impacto global, alerta a Panda Security

A doença Covid-19 está sendo usada como gancho para campanhas maliciosas de engenharia social, incluindo spam, malware, ransomware e domínios maliciosos. À medida que o número de casos continua a crescer no mundo, as campanhas que usam a doença como isca também aumentam. Pesquisadores do Panda Security têm identificado campanhas maliciosas relacionadas ao coronavírus, incluindo países como Estados Unidos, Japão, Rússia, China, Itália e Brasil.

Muitos desses e-mails, supostamente de organizações oficiais, afirmam conter atualizações e recomendações relacionadas à doença. Como a maioria das campanhas de spam, eles também incluem anexos maliciosos.

Um exemplo é uma campanha de spam supostamente enviada pelo Ministério da Saúde no Reino Unido. Ela contém recomendações sobre como prevenir infecções e vem com um anexo que supostamente contém as últimas atualizações sobre a Covid-19. No entanto, ele realmente contém um pedaço de malware. “Corona Virus Últimas Atualizações” como assunto.

Outros e-mails utilizados nessas campanhas estão relacionados às entregas de produtos, que supostamente foram adiadas ou modificadas por causa da propagação da doença. Tem ainda uma mensagem em português que promete notícias sobre uma suposta vacina para a Covid-19. Os cibercriminosos estão aproveitando ainda os mapas de monitoramento de coronavírus online, substituindo-os por sites falsos que facilitam o download e a instalação de malware.

Uma variante do ransomware CoronaVirus usa um site falso de otimização de sistema para se espalhar. As vítimas, sem saber, baixam um downloader para dois tipos de malware: o ransomware CoronaVirus e o roubo de senhas. Esta campanha faz parte de uma tendência recente vista no ransomware: combina criptografia de dados com roubo de informações.

Além disso, outra peça de ransomware, desta vez afetando os usuários de dispositivos móveis, chamada CovidLock, que supostamente ajuda a rastrear casos da Covid-19. O ransomware bloqueia os celulares de suas vítimas, dando-lhes 48 horas para apagar todos os dados no telefone e vazando detalhes de suas contas de mídia social.

Atenção deve ser dada aos domínios maliciosos que usam a palavra corona, como os que listamos a seguir:

  • corona [.] com
  • contra-coronavirus [.] com;
  • alphacoronavirusvaccine [.] com
  • corona-blindado [.] com
  • anticoronaproducts [.] com
  • corona-crisis [.] comcorona [.] com
  • corona-emergencia [.] com
  • beatingcoronavirus [.] com
  • corona explicada [.] com
  • bestcorona [.] com
  • corona-iran [.] com
  • betacoronavirusvaccine [.] com
  • corona-ratgeber [.] com
  • buycoronavirusfacemasks [.] com
  • coronadatabase [.] com
  • byebyecoronavirus [.] com
  • coronadeathpool [.] com
  • cdc-coronavirus [.] com
  • coronadetect [.] com
  • combatcorona [.] com
  • coronadetection [.] com

Como se defender dessas e outras ameaças cibernéticas

O fato é que todos esses ataques usam vetores de entrada que poderiam ser considerados “tradicionais”. “Na Panda Security, temos esses vetores mais do que cobertos com nossas soluções para endpoint. Graças os bloqueios de quaisquer binários maliciosos, temos soluções de grande valor para parar essas campanhas, entre outras”, esclarece Américo Spachacquercia, Analista de sistemas e consultor em Cibersegurança da Panda Security Brasil.

As soluções Panda Adaptive Defense e o Panda Adaptive Defense 360 são serviços que oferecem um modelo de proteção baseado em confiabilidade, classificação de arquivos e controle de execução de aplicativos. O modo Bloqueio, que pode ser escolhido pela equipe de TI do usuário, impede a execução de todos os programas desconhecidos até que eles sejam classificados e avaliados se oferecem ameaças à rede.

“Este serviço permite um mecanismo altamente eficiente e automatizado para detectar e bloquear malware e ransomware, mesmo antes de serem executados, independentemente de serem novas variantes ou novos domínios de download, como é o caso das variantes de malware relacionadas ao COVID-19”, completa Américo.

As soluções Panda analisam os indicadores comportamentais e contextuais de ataque (IoAs) em dispositivos protegidos, mapeando os comportamentos comuns e incomuns que podem incluir baixar um executável de um Word ou acessar uma URL desconhecida ou maliciosa. Qualquer tentativa de comprometer o dispositivo é imediatamente bloqueada, na qual a execução e conexão dessas atividades maliciosas são interrompidas.

 

Read More