O ano de 2018 passou e nos deixou a lembrança de diversos incidentes referentes a segurança da informação no Brasil e no mundo. Listaremos neste artigo os acontecimentos que mais chamaram a atenção ao longo do ano, as ameaças digitais que mais foram detectadas no Brasil (de acordo com a telemetria ESET) e as tendências para o ano de 2019.
As ameaças mais detectadas ao longo do ano estão divididas em tópicos, que foram ordenados mostrando as ameaças com “maior” e “menor” ocorrência, de acordo com o tipo de cada uma delas.
# Vazamento de dados
Não é possível falar de Segurança da Informação em 2018 sem citar os vazamentos de informações pessoais de milhões de usuários.
Apesar dos incidentes de vazamentos não serem tão frequentes quanto as infecções por malwares, 2018 foi um ano em que milhões de usuários tiveram seus dados expostos, seja por ações criminosas ou por equivoco dos responsáveis na hora de manter essas informações a salvo.
Listamos abaixo os principais vazamentos de dados de 2018.
- Sicredi
Após deixarem servidores que continham informações sensíveis, como nome completo e CPF, diretamente expostos a Internet e sem as devidas configurações de segurança, a Sicredi teve os dados de 120 milhões de brasileiros vazados de suas bases. Os dados foram publicados no pastebin e alcançam a marca de 1.2 TB de tamanho.
- Marriott
A empresa de origem norte-americana com hotéis espalhados por várias cidades do Brasil foi atacada por cibercriminosos, que passaram um longo tempo dentro dos servidores da empresa sem que fossem notados. Segundo a empresa, a brecha que permitiu o acesso ocorreu na rede de hotéis Starwood em 2014, e esse acesso foi mantido até depois da fusão da Merriott com a Starwood, sendo descoberto apenas em setembro de 2018. Dentre os dados vazados estão, nomes, endereço de e-mail, número do passaporte, e data de nascimento. Investigadores particulares atribuíram o ataque a um grupo de inteligência chinês.
Meses após a Cambridge Analytica ter usado indevidamente os dados de 50 milhões de usuários do facebook (*) veio à tona uma brecha de segurança do Facebook em sua função “Ver como” (View as, em inglês). A função em si permitia que os usuários alterassem o modo de visualização de seu perfil para ver como pessoas desconhecidas, ou até como amigos específicos, visualizam as informações do seu perfil. Esta vulnerabilidade permitiu que os criminosos acessassem os perfis de mais de 50 milhões de usuários.
Imediatamente após o descobrimento da falha de segurança o facebook resetou todos os tokens de acesso das contas comprometidas e das que poderiam ter sido comprometidas. A exigência de login para acesso foi aplicada para aproximadamente 90 milhões de contas.
Outras empresas e serviços que também foram atingidos por incidentes de vazamento de dados em 2018:
# Aplicações potencialmente não desejadas
Dentre as ameaças que mais foram detectadas por nossas ferramentas no Brasil em 2018, diversas posições são ocupadas por aplicações potencialmente não desejadas (PUA, do inglês Potentially Unwanted Application). Ocupando o primeiro lugar está o JS/Mindspark.G. Trata-se de uma barra de ferramentas instalada no navegador de forma automática. Softwares deste tipo geralmente são instalados junto com algum outro software gratuito (freeware). Além da barra de ferramentas, o Mindspark tem como objetivo alterar as configurações do navegador do usuário, alterando a página inicial e a engine de busca.
Em primeiro lugar, como país da América Latina com maior incidência de detecções do Mindspark.G, está o Peru, com 28,49%, seguido por México com 20,21% e Brasil com 9,41%.
Imagem1: Incidência do MindSpark na América Latina.
Ocupando a terceira posição temos Win32/InstallCore.Gen.A. Ele infecta suas vítimas em conjunto com outros softwares, similar ao MindSpark, mas também pode se disfarçar de um pacote de atualização, como o Flash por exemplo. A ameaça faz com que o computador se comporte de forma não usual, adicionando programas a inicialização e até mesmo desabilitando o controle de acesso de usuário (UAC, do inglês User Access Control).
Na sétima e na nona posições temos duas variantes do WebCompanion. O software que promete deixar a navegação na internet mais segura aumentando as defesas do browser do usuário, no entanto algumas de suas características o colocaram em nossa lista, dentre elas estão a instalação sem consentimento do usuário e estar normalmente vinculado a outros softwares.
# Trojans
Ocupando o segundo lugar em nosso ranking está o JS/Adware.Agent.AA. Apesar da sua principal função ser divulgar propagandas e abrir páginas web com conteúdo específico que, em geral, também contém anúncios.
A oitava posição da nossa lista é ocupada pelo ataque HTML/ScrInject.B. Essa detecção refere-se a uma parcela do código que redireciona o browser da vítima para um endereço de destino que contém um software malicioso. O código do malware normalmente fica embutido dentro de códigos HTML.
Ameaças classificadas como trojans podem não aparentar ter um nível de periculosidade muito alto, no entanto sua funcionalidade secundária é permitir que softwares adicionais sejam instalados no sistema da vítima. Os sistemas inseridos pelos trojans costumam ter objetivos mais nocivos que trojans em si, os objetivos destes malwares podem variar de capturar informações digitadas pelas vítimas até o sequestro de seus dispositivos para fins maliciosos ou extorsão.
# Exploits
Figurando a quarta e sexta posições estão os exploits SMB/Exploit.DoublePulsar.B e Win32/uTorrent.C, respectivamente.
Double Pulsar é um dos exploits que vieram a público em 2017 e se aproveitava de uma falha na primeira versão do Server Message Block (SMBv1) e foi usado para compor o ataque WannaCry. Mesmo sendo uma falha antiga muitos usuários não atualizaram adequadamente suas máquinas e continuam vulneráveis a ela.
Já o uTorrent, um conhecido cliente de BitTorrent, teve uma de suas versões afetada por uma falha de segurança que permitia a execução de códigos remotamente (Remote Code Execution). A falha descoberta pelos pesquisadores do Google foi prontamente tratada pela empresa, mas nem todos os usuários atualizaram suas versões do programa.
Quanto a ameaça do uTorrent, infelizmente, o Brasil desponta como primeiro colocado no ranking de detecções com 21,04% de todo montante, seguido por México com 15,18% e Peru detendo 15,12%, de todas as detecções na América Latina.
Imagem 2: Detecções da versão com vulnerabilidade do uTorrent por toda a América Latina no ano de 2018.
É sempre importante manter o sistema operacional e todos os softwares atualizados. Softwares de proteção sempre atualizados ajudam a impedir que falhas ocasionadas por outros softwares se tornem nocivas aos usuários.
# Criptojacking
A onda crescente de malwares de mineração de criptomoedas não passaria desapercebida pelas nossas soluções de proteção. Na quinta posição está o JS/CoinMiner.D e na décima posição está o JS/CoinMiner.F, softwares maliciosos que tem como foco o Criptojacking.
O Criptojacking, nome dado ao ataque efetuado pelos CoinMiners, tem sido cada vez mais comum devido ao seu retorno financeiro imediato aos atacantes. O software não causa danos alarmantes as vítimas, apenas consome o processamento e CPU/GPU do dispositivo para a mineração de criptomoedas que são creditadas diretamente ao atacante.
O ranking mundial de detecção dos malwares de mineração de criptomoedas mostra que a Rússia é o país mais afetado por esta ameaça, estando em primeiro lugar na lista. Mostramos também a incidência em países da América Latina.
Imagem 3: Países afetados por Criptojacking em 2018.
# Ransomware
Apesar do número de ocorrências ser significantemente menor que o do início da propagação da ameaça em 2017, não é possível falar do cenário de ameaças de 2018 sem citar o ransomware.
Ainda assim este tipo de ameaça foi largamente detectada por toda a América Latina sendo o Brasil o quarto país com maior incidência de detecções, 11,22%. A primeira posição da lista pertence a Colômbia com 29,83%.
Desmembrando a ameaça podemos observar os diferentes tipos de ransomwares atuando em cada um dos países. Durante o ano de 2018 no Brasil, a ameaça mais presente desta categoria foi o Crysis com 20,09% de todas as detecções. O famoso WannaCryptor ficou na oitava posição com 4,72% das detecções.
Imagem 4: Malwares mais detectados no Brasil no ano de 2018.
# Trojans Bancários
Por diversas vezes foram citados países da América Latina neste texto e mesmo que geograficamente o Brasil seja parte dela, no quesito ameaças digitais, o Brasil é tratado como um país a parte. Mesmo que ameaças aconteçam em todos os países, o Brasil sofre uma grande quantidade de ataques de tipos específicos, dentre eles estão os trojans bancários.
Os trojans bancários têm como principal foco coletar informações do dispositivo do usuário, interceptar e manipular transações bancárias e manter-se ativo para manutenção periódica do ataque. Com isso os cibercriminosos conseguem desviar recursos de suas vítimas, muitas vezes sem que as mesmas percebam.
Imagem 5: Trojans bancários mais detectados no Brasil no ano de 2018.
É importante salientar que boa parte dos trojans estão focando seus esforços em comprometer dispositivos como celulares e tablets e que boa parte dos usuários não se preocupa com a segurança de seus dispositivos, fazendo com que todas as investidas dos criminosos sejam bem-sucedidas.
#Tendências de 2019
Não é possível ter certeza de quais ataques acontecerão ao longo de 2019, no entanto ao observarmos os padrões de ameaça e notícias sobre o cenário de Segurança da Informação por um período é possível entender quais serão as tendências de 2019.
Os últimos meses mostraram tecnologias sendo empregadas para tornar nossas vidas mais fáceis, como por exemplo o uso do chatbot para transações bancárias via WhatsApp. O uso de dispositivos IoT em residências e empresas se tornando cada vez mais comum.
O crescente número de vazamentos de dados dos últimos meses é um forte indicativo de que os responsáveis por manter a segurança dos servidores continuarão cometendo os mesmos erros e mais vazamentos acontecerão.
O crescente uso de machine learning para sistemas antifraude e de prevenção de ataques pode ser observado no Brasil e no mundo, de certo não demorará para que tenhamos notícias desse aprendizado sendo utilizado em diversos tipos de ataques.
Mantenha seus sistemas atualizados e aproveite todos os recursos disponíveis de suas soluções de segurança sem nunca deixar de lado a conscientização sobre ameaças de todos os tipos.
