Retrospectiva 2017: O ano do despertar – Parte 1

Acabei de terminar a nossa bola de cristal e destacando algumas das tendências que esperamos dominar a paisagem cibernética no próximo ano, ofereceremos uma imagem do que era 2017. De certa forma, isso pode ser considerado o “ano da chama a atenção “. Os alarmes quase não pararam de sonar enquanto continuávamos a acordar com a realidade de uma explosão de novos incidentes cibernéticos. De forma surpreendente, essas incursões proporcionaram a todos os que usam a Web um material importantíssimo para refletir sobre a insegurança de nossos mundos online. No lugar de “sentar e relaxar”, é melhor “estar atento”.

Como parte de nossa narrativa, nos focamos em eventos chave e destacaremos características comuns, baseando as principais tendências e temas que definiram este ano. Além disso, analisaremos algumas das previsões para 2017 realizadas pelos nossos especialistas há um ano atrás.

Caindo na toca com o Ransomware

A atenção obtida pelo ransomware ou ataques do estilo (como wipers e alguns golpes de suporte técnico) neste ano, também nos deixa concluir que 2017 será lembrado como “o ano do ransomware”. Na verdade, você provavelmente já ouviu essa frase antes, incluída com cautela em nossa análise realizada em 2016.

No entanto, a imagem pode não ser tão clara. A fim de não ser ofuscado por malwares simples, as violações de segurança em larga escala abundaram – e até atingiram o pico – este ano, demonstrando que ser afetado por uma brecha de segurança não é mais uma questão de “e se …”, mas “quando”. O Ransomware e as brechas de segurança continuam sendo os grandes espinhos que envolvem usuários e empresas em todo o mundo e, muitas vezes, burlam suas defesas sem muito esforço. Na verdade, às vezes, ambas as ameaças estão entrelaçadas, resultando em uma combinação de ingredientes altamente voláteis de insegurança cibernética.

Embora os problemas representados pelo ransomware tenha caído para os níveis mais baixos nos últimos anos, os lucros – e, portanto, as demandas deles – atingiram um ponto alto na direção oposta. Tanto que o incentivo para obter lucros cada vez maiores continuou a encorajar o florescimento de kits de “Ransomware como um serviço” (RaaS, por sua sigla em inglês), permitindo que os cibercriminosos que não são necessariamente especialistas em tecnologia atinjam os seus objetivos. Em poucas palavras, basta ter más intenções e algum dinheiro. Contrastando essas despesas insignificantes com os possíveis lucros: O FBI estima que o montante total dos pagamentos feitos por resgates cibernéticos é próximo a um trilhão de dólares por ano.

Em uma nova mudança de paradigma do ransomware, muitos ataques agora são sofisticados e até mesmo personalizados, campanhas envolvem setores e vítimas deliberadamente selecionados e não tentativas gerais de obter qualquer quantia de dinheiro de vítimas aleatórias.

Ransomware, brechas de segurança e DDoS…

O Ransomware também evoluiu de muitas outras maneiras, resultando em ameaças híbridas. A rentabilidade do “modelo de negócios” com base na extorsão cibernética também é evidenciada pelo fato de que essas táticas foram transferidas para outras plataformas (Android) há algum tempo atrás e são também a coluna de ataques seguidas de ameaças de extorsão sob o pena de divulgar os dados roubados. A rede de televisão HBO e a plataforma de transmissão da Netflix foram o centro da questão no início do ano, devido aos consequentes vazamentos do conflito da Sony em 2014, o que efetivamente é igual à militarização de seus próprios dados.

Os desenvolvimentos nos últimos anos também validaram algumas das nossas preocupações em relação a algum grau de cruzamento entre extorsão, DDoS (negação de serviço) e/ou exploração de vulnerabilidades da IoT, pois as ameaças futuras são apoiadas sobre o ransomware criptográfico. Em um avanço um pouco surpreendente desta evolução, uma desagradável combinação de extorsão e DDoS foram atrativos para os criminosos ainda mais expectantes neste ano, especialmente após uma exitosa campanha de extorsão que concedeu aos organizadores US$1 milhão em bitcoins, em junho deste ano.

No grande plano das coisas, a fome por intimidar vítimas para pagar sob a ameaça de um ataque DDoS também é impulsionada pela disponibilidade de ambos os “serviços” – RaaS e DDoS para alugar. Embora esses pagamentos, juntamente com as ameaças DDoS, geralmente sejam muitas palavras, mas poucas ações, a prevalência de DDoS torna esses assaltos uma das principais ameaças que as empresas enfrentam. Para piorar as coisas, tais ataques geralmente se apresentam como uma cortina de fumaça para alcançar outros objetivos, principalmente ataques de malware ou roubo de informações.

Somado aos conflitos está a proliferação de dispositivos IoT (Internet das Coisas). Deixando de lado as provas de conceito, ainda precisamos ver um ataque totalmente desenvolvido que envolve demandas aleatórias em troca de liberação das “coisas inteligentes” sequestradas. No entanto, as pistas geralmente não são tão claras. Embora esse sequestro não seja tão simples quanto as mídias às vezes mostram, não podemos deixar de replicar nossas preocupações frequentes sobre o que pode acontecer se/quando um método de ataque da moda, como o Ransomware, se junta a inúmeros dispositivos IoT sem estar pronto para ser explorado.

Os ataques de DDoS – como o que causou uma interrupção generalizada da atividade da Internet nos Estados Unidos um pouco mais de um ano atrás – geralmente são conduzidos por máquinas recrutadas por botnets. Os desenvolvimentos no campo das botnets marcaram um marco há algumas semanas, quando uma operação internacional de desmontagem destruiu centenas de botnets que operavam há muito tempo gerenciadas por uma família de malwares chamada Wauchos (também conhecido como Gamarue ou Andromeda) seguindo um esforço que durou mais de um ano e envolveu assistência técnica de pesquisadores da ESET.

Wannacryptor

O dia 12 de maio de 2017 era uma sexta-feira normal, até que milhares de bloqueios de computadores começaram a ser relatados em todo o mundo, que apenas serima liberados em troca do valor de $300 em bitcoin. A infecção sem precedentes – o ransomware chamado WannaCryptor (detectado por ESET como WannaCryptor.D e também chamado WannaCry e Wcrypt) – se expandiu rapidamente, afetando cerca de 300.000 computadores em aproximadamente 150 países. Em contrapartida, os pagamentos não foram significativos considerando o alcance da epidemia.

Como as vítimas tentaram encontrar significado no meio do caos e tentaram recuperar suas informações – o que, de fato, parecia uma piada tola – o surto foi interrompido logo depois que um pesquisador de segurança registrou um domínio para desativar o ataque, terminando o desenvolvimento do ransomware. Em pouco tempo, o domínio foi colocado em alerta máxima, considerando que alguns cibercriminosos procuravam ressuscitar o WannaCryptor através de ataques DdoS com a pretenção de derrubar o domínio e deixá-lo offline, usando versões exatamente iguais a botnet Mirai no processo.

O Wannacryptor se propagou explorando vulnerabilidades na implementação do protocolo Server Small Block (SMB) do Windows, usando as ferramentas EternalBlue e DoublePulsar desenvolvidas pela National Security Agency (NSA). Atualmente, a Microsoft apresentou uma atualização de segurança para versões compatíveis com o Windows para corrigir as brechas exploradas pelo EternalBlie dois meses antes da explosão e um mês antes de um grupo de cibercriminosos conhecido como Shadow Brokers lançar as duas ferramentas na web. Para evitar repetições subsequentes do ataque, a Microsoft decidiu emitir patches de emergência para sistemas que não recebem mais suporte, como o Windows XP. Ao contrário dos relatórios iniciais, descobriu-se que praticamente todas as vítimas de WannaCryptor usavam sistemas Windows 7 (obviamente sem patches).

Outro ataque global

Cerca de seis semanas depois, com a nota de resgate vermelho e branco de Wannacryptor ainda fresca na memória, todos os olhos se voltaram para outra ameaça virulenta com suas peculiaridades. Em 27 de junho, o ransomware detectado pela ESET como Diskcoder.C também chamado de ExPetr, PetrWrap ou Not-Petya) começou a circular e atacou empresas em todo o mundo. A maioria das empresas afetadas estava na Ucrânia.

O malware Diskcoder.C exemplificou o quão decepcionante as aparências no mercado de cibercriminosos podem ser. A partir das tendências anteriores e contrárias às crenças iniciais, este malware acabou por ser um limpador destrutivo, ao invés de um ransomware que, pelo menos em teoria, poderia ser capaz de rever suas próprias mudanças.

O Diskcoder.C usou uma versão modificada do exploit EternalBlue, assim como o WannaCryptor, mas foi mais adiante nos sistemas das vítimas. Em vez de criptografar arquivos individuais, sua carga substituiu o Master Boot Record (MBR) do disco rígido e solicitou uma reinicialização. Como resultado, embora a nota de resgate e a demanda por uma chave de desbloqueio aparecessem na tela, apenas o malware era executado após o processo de reinicialização da máquina e, por isso, não havia como recuperar os arquivos.

Na raiz desta epidemia global, houve um compromisso bem sucedido do software de contabilidade M.E.Doc, popular em várias indústrias na Ucrânia. Várias empresas executaram uma atualização trojadizada do M.E.Doc e sofreram a infecção, com o malware se espalhando para sistemas globais através de empresas interligadas com seus parceiros ucranianos. As multinacionais globais relataram danos de centenas de milhões de dólares americanos. Embora esse dano possa ser considerado como colateral, expôs a magnitude da ameaça que os ataques de malware representam para as infraestruturas e as cadeias de abastecimento.

Na toca do Bad Rabbit

Em 24 de outubro, uma variante da família Diskcoder com capacidades semelhantes aos de um worm, trouxe consigo outro colapso para a cibersegurança, mesmo que a infecção fosse confinada principalmente à Rússia e à Ucrânia. O denominado Diskcoder.D, também chamado Bad Rabbit, se espalhou com a aparência de uma atualização falsa do Flash mostrada como um pop-up em sites legítimos de notícias – porém infectados. Além de forçar seu caminho através das redes, a ameaça também usou o EternalRomance, outro exploit SMB de filtragem pelo Shadow Brokers.

Os dispositivos móveis não ficaram de fora

A plataforma Android, com quase uma década de idade, continua sendo o principal alvo de criminosos que atacam dispositivos móveis e, especificamente, o ransomware direcionado para dispositivos móveis vem crescendo continuamente como uma ameaça global há muito tempo. Os trojanos bancários permanecem como outro pilar no espaço Android. De fato, ambas as funcionalidades poderiam se juntar, como foi descoberto por Lukáš Štefanko, malware researcher da ESET, no início deste ano.

Štefanko descobriu um tipo de ransomware para Android com duas pontas. De um lado, o DoubleLocker não só criptografava os arquivos do usuário, mas também bloqueiava o dispositivo modificando o PIN. Por sua vez, também é o primeiro ransomware que se propaga usando serviços de acessibilidade incorretos da plataforma. O DoubleLocker deriva de uma família de malware bancária já estabelecida e pode se tornar o que Štefanko chama de “ransom-bancario”, capaz de limpar a conta bancária ou de PayPal do usuário antes de bloquear o dispositivo e os dados e exigir um resgate. Uma prova desse “ransom-bancario”foi detectada em maio de 2017.

Na segunda parte da retrospectiva de segurança 2017, o foco será a (in)segurança dos dados, as vulnerabilidades e os perigos de enfrentar a infraestrutura crítica.

Autor , ESET

Siga-nos