Estamos na metade do ano e é uma boa oportunidade para analisar até que ponto as ideias que reunimos no relatório de Tendências 2017 se tornaram realidade. Nesse documento, os pesquisadores da ESET discutiram as possibilidades futuras de alguns aspectos da cibersegurança, e agora é hora de ver se tudo o que esperávamos realmente aconteceu e onde estamos hoje.
Saúde: o alvo de ataque número um
"Tem sido um momento agitado e, por muitas vezes, doloroso desde o lançamento do nosso relatório de Tendências, especialmente para aqueles da comunidade de segurança do setor em saúde", afirmou a pesquisadora de segurança da ESET, Lysa Myers.
Em outubro, a botnet Mirai realizou massivos ataques de negação de serviço (DDoS) utilizando dispositivos inseguros conectados à Internet, aproveitando a expansão da Internet das Coisas (IoT). Poucos meses depois, uma nova família de ransomware chamada WannaCryptor foi descoberta. Esse malware se propagou por todo o mundo com uma velocidade vertiginosa, explorando vulnerabilidades no protocolo Server Message Block (SMB).
Os hospitais tiveram um tempo particularmente difícil com o ransomware em geral, e esse caso não foi uma exceção. Além dos computadores tradicionais em instalações médicas nos EUA e no Reino Unido, os dispositivos médicos também foram afetados.
Isso mostra que a tendência continua em pé: à medida que o setor de saúde incorpora mais e mais dispositivos, repletos de informações confidenciais, a segurança e a privacidade se tornam uma preocupação secundária.
Um impulso para uma legislação relevante
Se falamos de privacidade, devemos voltar para uma das tendências mencionadas no relatório de 2017: o desenvolvimento de legislações de cibersegurança, que impulsionariam a cooperação entre os setores público e privado de cada país, assim como a nível internacional. O melhor exemplo que temos é o Regulamento Geral de Proteção de Dados (GDPR), estabelecido pela Comissão Europeia, que visa proporcionar aos cidadãos o poder sobre como suas informações são processadas e usadas. Garante o direito de ser esquecido, de excluir o perfil e a portabilidade de dados.
O mais interessante é que isso não se aplica apenas às empresas da União Europeia, mas a todos aqueles que possuem e processam os dados de seus cidadãos - onde quer que funcionem. Na China também entrou em vigor uma nova lei de cibersegurança, que proíbe aos fornecedores de serviços online a coletar e venda de informações pessoais dos usuários. Além disso, concede o direito de ter seus dados excluídos.
Assim, podemos ver como o direito à privacidade continua globalizando.
E as vulnerabilidades?
No Android, até maio de 2017, 255 falhas de segurança foram descobertas, um pouco menos da metade das registradas durante 2016. Isso nos leva a acreditar que esse sistema operacional encerrará o ano com um número igual ou maior de vulnerabilidades identificadas do que o ano passado.
Com relação ao código malicioso, foram registradas 300 novas amostras mensais e a quantidade de detecções até maio representavam 26% do total durante de 2016. No entanto, variantes do ransomware móvel como o Android/Lockerpin aumentaram 436,54%, afetando especialmente aos países asiáticos.
Além disso, as ocorrências de malware no Play Store não param de ocorrer, como foi o caso dos trojans bancários ou dos espiões que roubam credenciais de Instagram, o que faz com que possamos ver como o malware móvel continua em expansão.
Quanto ao iOS, 224 falhas de segurança foram relatadas até maio, 63 casos a mais do que em 2016, com 14% consideradas críticas.
Saindo um pouco do mundo do malware móvel, não podemos deixar de mencionar o ataque do WannaCryptor, que infectou a mais de 300 mil vítimas em pelo menos 150 países através da exploração de vulnerabilidades que já tinham sido corrigidas pela Microsoft.
A campanha conseguiu atingir grande alcance porque muitos usuários simplesmente não aplicaram os patches que os protegeriam dos infames exploits EternalBlue e DoublePulsar. Ambos foram supostamente desenvolvidos pela NSA e vazadas pelo grupo Shadow Brokers, em abril de 2017. No entanto, é provável que o uso desses kits de exploits continuem impulsionando campanhas de malware e ciberataques de forma mais geral no futuro próximo.
"Shadow Brokers prometeu lançar mais exploits de 0-Day e ferramentas de hacking, não apenas para sistemas operacionais, mas também para navegadores, roteadores e smartphones. O grupo agora promove uma assinatura paga para que os usuários se tornem membros privados e tenham acesso exclusivo a futuros lançamentos de ferramentas e vazamentos de dados", destacou o investigador da ESET, Lucas Paus.
Infraestrutura crítica
Os ataques à infraestrutura crítica continuaram sendo destaque em jornais e interrompendo o cotidiano de certos processos. Nos últimos seis meses ficou claro que esse ecossistema possui fraquezas fundamentais, com sistemas e protocolos que foram desenvolvidos há décadas, sem pensar na segurança e nem mesmo na possibilidade de conectar esse processos com a Internet.
Como os pesquisadores da ESET anteciparam, os cibercriminosos continuaram fazendo testes para sondar a infraestrutura crítica com o intuito de determinar a melhor maneira de atacá-la. As recentes descobertas do Industroyer, o primeiro malware descoberto que foi projetado especificamente para atacar redes elétricas, demonstram como o malware pode impactar significativamente os sistemas de fornecimento.
Esse assunto será o ponto principal da apresentação da ESET no Black Hat 2017, especialmente devido a que agora os estados deverão enfrentar as fraquezas nessas estruturas e as implicâncias de potenciais ataques.
A infraestrutura crítica não se limita aos alvos físicos como as redes elétricas. Na era digital incluirá cada vez mais “sistemas de engenharia”, como as cadeias de fornecimento e a própria Internet. O recente surto do malware DiskCoder.C (também conhecido como ExPetr, PetrWrap, Petya ou NotPetya) demonstra ainda mais a interconexão desses problemas, já que, mascarados como um típico ataque de ransomware, tem como verdadeiro objetivo prejudicar às empresas ucranianas e a toda a economia do país.
O DiskCoder.C também entrou em sistemas globais, através de empresas interligadas com parceiros ucranianos que sofreram a infecção primária. Embora isso possa ser considerado um dano colateral, resultou em sistemas paralisados em empresas como Maersk ou TNT Express, ambas muito importantes na logística global (e cadeias de fornecimento). Assim, o ataque local às empresas ucranianas ainda conseguiu prejudicar as linhas marítimas a nível mundial, e até mesmo fechou os terminais portuários na Europa Ocidental e nos EUA.
Isso significa que a infraestrutura de transporte global - que é um componente crucial do comércio mundial - sofreu um golpe e recebeu um importante aviso. Também demonstra a escala e o impacto crítico que esses ataques podem ter.
Isso deve servir como um alerta para garantir cadeias de fornecimento inteiras. É uma área subestimada pelas empresas: os especialistas em segurança há muito tempo pedem uma abordagem holística, enquanto as organizações frequentemente se concentram em garantir suas próprias propriedades. O surto do DiskCoder mostra claramente que as infecções de malware podem vir, embora involuntariamente, de um parceiro comercial.
"A capacidade técnica apresentada pela Industroyer, juntamente com a escala do recente surto do DiskCoder.C, demonstram que os ataques direcionados a alvos de alto valor em um estado nacional representam uma grande ameaça à estabilidade para cidadãos e empresas. A mitigação dessas ameaças requer o tratamento de todos os alvos com alto potencial de prejuízos”, comentou Robert Lipovský, Pesquisador Sênior da ESET.
A indústria de videogames como alvo e a necessidade de tomar consciência de uma vez por todas
Com a diversificação e a integração entre consoles, a informação, os recursos e os perfis dos gamers se tornaram cada vez mais valiosos.
Na verdade, a Microsoft apresentou uma queixa no Tribunal Federal dos EUA, afirmando que o iGSKY, um serviço de jogos chinês, está "envolvido no tráfico internacional de credenciais da Microsoft (“MAS”) roubadas, juntamente com moedas de jogos virtuais para a console Xbox obtidas de forma fraudulenta".
Os jogos e as ameaças informáticas estão cada vez mais próximos, tanto que em 2017 encontramos um caso incomum de ransomware: em vez de exigir um resgate financeiro para recuperar os arquivos criptografados, o Rensenware exigiu que a vítima obtivesse uma pontuação alta, no nível "lunático" de um jogo PC japonês.
Felizmente, depois de ganhar visibilidade no Twitter, o criador do Rensenware se desculpou e lançou uma ferramenta de descriptografia.
No entanto, os videojogos estão longe de serem os únicos cenários de ataque atraentes para o ransomware, uma vez que continua se espalhando para vários tipos de dispositivos conectados. Em sua seção do relatório de tendências dedicado ao Ransomware das Coisas (RoT), e olhando para trás em ataques à carros conectados, o Pesquisador Sênior da ESET, Stephen Cobb, disse: "Não é preciso muita imaginação para ver qual será o seguinte passo. Quer que o seu sistema de ar condicionado volte a funcionar? Então pague!"
Embora a evolução da tecnologia conectada apresente cenários de ataques cada vez mais complexos, são os ataques mais simples e mais antigos, que fazem uso da engenharia social, os que continuam sendo os mais propensos a alcançar seus objetivos.
Golpes que prometem vôos gratuitos ou descontos, ameaças escondidas em supostos aplicativos móveis e complementos maliciosos são apenas alguns exemplos de campanhas que continuam roubando informações de usuários desprevenidos para obter algum lucro econômico.
"As técnicas utilizadas pelos atacantes são as mesmas: um email ou uma postagem em redes sociais que possa atrair a atenção dos usuários desprevenidos", afirmou Camilo Gutiérrez, Head of Awareness and Research de ESET na América Latina.
Enquanto isso, no setor antivírus...
As soluções de segurança de longa história e reputação, ou seja, qualquer que tenha uma longa trajetória em detecção de malware efetiva, continuam sendo mal representadas como puramente reativas, em comparação com a "aprendizagem automática", promovida como o "pó de fadas mágico" para os produtos da próxima geração.
No entanto, David Harley, Senior Research Fellow da ESET, argumenta que a exposição a testes verdadeiramente independentes - ao invés de testes autônomos com amostras de validade duvidosa e proveniência obscura - revelou manchas sob esse brilho falso. Tanto que uma empresa promoveu a noção absurda de que os testers usam apenas malwares conhecidos, o que de alguma forma deixa em desvantagem os produtos que afirmam detectar malwares desconhecidos.
De acordo com a Harley, estamos em um mundo de testes de produtos pós-verdade, onde os fornecedores mais novos estão tentando manipular testes e aos testers de maneira que são tão "novas" como a “nova” tecnologia de um "pó de fadas mágico".
Em conclusão, podemos ver como as previsões que os pesquisadores da ESET fizeram estão se tornando realidade, ao mesmo tempo em que simultaneamente comprovamos que tanto a legislação como as indústrias ainda precisam se fortalecer (em relação ao ambiente de ameaça) para enfrentar cenários atuais do cibercrime. Caso contrário, os atacantes continuarão a encontrar formas de implantar e ocultar suas campanhas maliciosas nos lugares mais surpreendentes - como na seção de comentários de um perfil de Instagram de uma celebridade da música pop.