Relatório do McAfee Labs sobre ameaças Agosto de 2014

Transcrição

Relatório do McAfee Labs
sobre ameaças
Agosto de 2014
O Heartbleed foi o evento
de segurança mais
significativo desde
a violação de
dados da Target
em 2013.
Sobre o McAfee Labs
O McAfee Labs é uma das maiores fontes do mundo
em pesquisa de ameaças, inteligência sobre ameaças
e liderança em ideias sobre cibersegurança. Com dados
de milhões de sensores nos principais vetores de
ameaça — arquivos, Web, mensagens e rede — o McAfee
Labs oferece inteligência sobre ameaças em tempo real,
análises críticas e a opinião de especialistas para aprimorar
a proteção e reduzir os riscos.
www.mcafee.com/br/mcafee-labs.aspx
Siga o McAfee Labs
Introdução
Para muitos de nós, o verão é uma oportunidade de
relaxar e desfrutar dos prazeres da vida. Mas, para os
malfeitores, o verão é uma estação como qualquer outra,
com oportunidades novas para o roubo. No início deste
verão (no hemisfério norte), de olho na Copa do Mundo
da FIFA, a divisão de consumidores da McAfee destacou
sites arriscados, associados aos maiores jogadores de
futebol do mundo, no McAfee Red Card Club. Esses sites
atraíram fãs entusiasmados e desavisados e infectaram
automaticamente seus sistemas ou induziram os
visitantes a revelar informações pessoais. A história ilustra
claramente como a diversão do verão pode se transformar
em um pesadelo com um simples clique no mouse.
Neste trimestre nosso tópico principal refere-se
à vulnerabilidade Heartbleed. Como a maioria dos
profissionais de segurança sabe, o Heartbleed foi o evento
de segurança mais significativo desde a violação de dados da
Target em 2013. O McAfee Labs trabalhou incansavelmente
para compreender essa vulnerabilidade e assegurar que
as tecnologias relevantes da McAfee pudessem detectar
e prevenir a ocorrência de roubo com base no Heartbleed.
Infelizmente, os malfeitores continuam a se aproveitar
dessa vulnerabilidade porque muitos sites permanecem
não corrigidos.
Também destacamos o que aprendemos com nosso
Quiz da McAfee sobre phishing, que testou a capacidade dos
usuários corporativos de detectar corretamente os e-mails
de phishing. Finalmente, documentamos o que aconteceu
desde que agências policiais internacionais, juntamente com
participantes da indústria de segurança de TI, entre os quais
a McAfee, derrubaram as infraestruturas do Gameover
Zeus e do CryptoLocker. Foi um sucesso retumbante,
mas, como esperávamos, o alívio foi apenas temporário.
Produzir relatórios sobre ameaças é uma arte em constante
transformação. Leitores habituais dos Relatórios do McAfee
Labs sobre ameaças percebem muitas mudanças no que
informamos e em como apresentamos as informações.
Para ajudar a orientar nosso trabalho futuro, estamos
interessados na sua opinião. Se você quiser compartilhar
seus pontos de vista, clique aqui para preencher uma
pesquisa rápida, de cinco minutos, sobre os relatórios
de ameaças.
Vincent Weafer, vice-presidente sênior do McAfee Labs
Compartilhe sua opinião
Relatório do McAfee Labs sobre ameaças, agosto de 2014 | 2
Sumário
Relatório do McAfee Labs
sobre ameaças
Agosto de 2014
Este relatório foi preparado
e redigido por:
Christiaan Beek
Benjamin Cruz
Daniel Flaherty
Charles McFarland
Francisca Moreno
Daisuke Nakajima
François Paget
Eric Peterson
Craig Schmugar
Rick Simon
Dan Sommer
Bing Sun
James Walter
Adam Wosotowsky
Chong Xu
Resumo executivo
4
Tópicos em destaque
Consequências do Heartbleed:
mais uma oportunidade para o cibercrime 6
O phishing atrai os desavisados:
usuários corporativos são facilmente enganados
9
Operação Tovar: um golpe forte de vida curta
15
Estatísticas sobre ameaças
Malware móvel 19
Malware 20
Ameaças via Web 25
Ameaças em mensagens
27
Ameaças de rede 28
Resumo executivo
Consequências do Heartbleed: mais uma oportunidade para o cibercrime
A divulgação pública da vulnerabilidade “Heartbleed”, contida em
diversas versões da implementação OpenSSL dos protocolos de segurança
SSL e TLS, foi, inegavelmente, o evento de segurança mais importante do
segundo trimestre. Essa vulnerabilidade, que afetou todas as organizações de
TI — com ou sem o conhecimento destas — provavelmente exigirá centenas de
milhões de dólares para ser corrigida. Estimativas sugerem que o Heartbleed
afetou, em âmbito global, 17% de todos os sites que usam TLS, tipicamente
aqueles que solicitam autenticação do usuário via nome de usuário e senha.
Estes chegam a mais de 600.000 sites.
Os cibercriminosos estão utilizando
listas disponíveis publicamente de
sites não corrigidos e vulneráveis
ao Heartbleed para direcionar
seus ataques.
O Quiz da McAfee sobre phishing
revela que 80% dos participantes
do teste foram enganados por
pelo menos um dentre sete
e-mails de phishing.
Antes da derrubada promovida
com a Operação Tovar,
o McAfee Labs rastreou uma
quadrilha que chegou a ganhar
US$ 255.000 em apenas um mês.
Neste Relatório de ameaças, o McAfee Labs investiga como os atacantes
utilizam listas de sites não corrigidos para garimpar informações confidenciais.
As listas de sites vulneráveis ao Heartbleed foram criadas inicialmente para
ajudar usuários que queriam ter certeza de que estavam se autenticando com
segurança em um site, mas elas rapidamente se tornaram listas de alvos para
os cibercriminosos. Um ladrão cibernético empreendedor chegou a fazer
o trabalho pesado para os outros cibercriminosos, extraindo dados de sites ainda
vulneráveis e vendendo os dados roubados no mercado negro. Enquanto este
documento era redigido, mais de 300.000 sites permaneciam sem correção
e vulneráveis a esse tipo de atividade criminosa, segundo uma fonte.
O phishing atrai os desavisados: usuários corporativos são
facilmente enganados
Neste relatório examinamos também a extremamente eficaz tática do phishing.
Os ataques de phishing exploram frequentemente o elo mais fraco da corrente
de ciberdefesa de uma empresa — o comportamento humano — e continuam
a ser muito bem-sucedidos. A McAfee, com o Quiz da McAfee sobre phishing,
vem testando a capacidade dos usuários corporativos de detectar phishing.
Constatamos que 80% de todos os participantes do teste foram enganados
por pelo menos um dentre sete e-mails de phishing. Além disso, vimos que
as áreas de contabilidade/finanças e RH — que supostamente armazenam
os dados corporativos mais confidenciais — tiveram o pior desempenho.
Operação Tovar: um golpe forte de vida curta
Finalmente, revelamos novas informações sobre a Operação Tovar, uma
campanha ofensiva muito bem-sucedida realizada conjuntamente entre agências
policiais internacionais e participantes de destaque da indústria de segurança
de TI, incluindo a McAfee. A Operação Tovar derrubou as infraestruturas do
Gameover Zeus e do CryptoLocker assumindo o controle dos domínios que
formam parte da rede de comunicações. Antes da operação, o McAfee Labs
descobriu uma quadrilha que chegou a ganhar US$ 255.000 em apenas um mês
em pagamentos de resgate. Desde a derrubada no início de junho, começaram
a surgir similares. Em um exemplo descrito neste relatório, um serviço
semelhante ao CryptoLocker foi oferecido por US$ 3.000.
Compartilhe este relatório
mais uma oportunidade para
o cibercrime
O phishing atrai os desavisados:
usuários corporativos são
facilmente enganados
Operação Tovar: um golpe forte
de vida curta
mais uma oportunidade para o cibercrime
A biblioteca OpenSSL é um projeto
de código aberto que implementa
múltiplas versões de SSL (Secure
Sockets Layer) e TLS (Transport
Layer Security). Esses protocolos
possibilitam comunicações
criptografadas entre um cliente
e um servidor e viabilizam muitos
conteúdos da Web — incluindo
e-mail criptografado, operações
bancárias on-line e outros serviços
que exigem criptografia fim a fim.
Ela é amplamente utilizada por
muitos sites.
O TLS heartbeat assegura que
o servidor e o cliente possam
se comunicar um com o outro.
O cliente envia dados, como
um “alô”, para o servidor.
O comportamento esperado
é que o servidor responda com os
mesmos dados. Um atacante pode
definir arbitrariamente os dados
como sendo muito maiores que
os dados enviados. Isso resulta em
uma divulgação de memória que
pode conter dados confidenciais,
como chaves privadas
de criptografia.
Em 7 de abril, a vulnerabilidade CVE-2014-0160, que afeta a biblioteca de código
aberto OpenSSL, foi anunciada publicamente. A vulnerabilidade permitia que
hackers acessassem dados na memória utilizando um “heartbeat” (batimento
cardíaco) mal formatado no protocolo criptográfico Transport Layer Security
(TLS). Devido a seu predomínio, muitos consideram essa a pior vulnerabilidade
já descoberta. A falha foi logo chamada de Heartbleed. Devido à popularidade do
OpenSSL em servidores comerciais, o Heartbleed afetou uma parcela significativa
da Internet, estimada em aproximadamente 17% dos sites que usam TLS.
Essa estimativa inclui alguns dos sites mais frequentemente visitados da rede,
bem como muitos sites menores e menos conhecidos. Em resposta à divulgação,
o McAfee Labs observou um surto no compartilhamento de dados e recursos
entre especialistas em segurança. No prazo de dias, uma variedade de recursos
e ferramentas gratuitos foi disponibilizada por fornecedores de segurança,
profissionais de segurança, acadêmicos e amadores. Como integrantes da indústria,
vimos em primeira mão o impacto de uma colaboração mutuamente benéfica
e sua capacidade de proteger rapidamente os sistemas afetados. Contudo, apesar
da diversidade de ferramentas disponíveis, muitos aplicativos, sites e dispositivos
que permanecem não corrigidos quase certamente serão vítimas de um ataque.
Total de varreduras do Heartbleed utilizando a ferramenta
de varredura on-line McAfee Stinger
250.000
200.000
150.000
100.000
50.000
0
14/4
15/4
16/4
17/4
18/4
Fonte: McAfee Labs, 2014.
O uso da ferramenta de varredura gratuita McAfee Stinger mostra um declínio rápido
no interesse pelo Heartbleed.
Quando uma vulnerabilidade como o Heartbleed é descoberta, é fundamental
que os profissionais de TI e os pesquisadores de segurança tenham as ferramentas
necessárias, não apenas para testar seus próprios sistemas, mas também para
compreender a vulnerabilidade em seu nível mais profundo. Exemplos de testes
do Heartbleed incluem as dezenas de ferramentas de varredura on-line que foram
disponibilizadas logo após a divulgação, um punhado de amostras de código de
scripts de Python e Ruby, scripts de NMAP (network mapper), plug-ins de teste de
penetração e muitos outros. No entanto, nem todos são profissionais de segurança
idôneos. Muitos podem utilizar essas ferramentas para fins maliciosos ou para
criar outras ferramentas com intenções menos nobres.
Entre as muitas ferramentas úteis para Heartbleed,
incluindo uma da McAfee, disponíveis para os
profissionais de segurança, há uma ferramenta completa
chamada heartleech, disponível gratuitamente no
GitHub. O heartleech não apenas testa a vulnerabilidade
Heartbleed, como também armazena os dados vazados
e os analisa quanto à presença de chaves primárias.
Além disso, o heartleech foi escrito para evitar
algumas formas de detecção de intrusões para que
os administradores de rede possam determinar se seus
sistemas estão vulneráveis e extrair quaisquer chaves
confidenciais que possam ter vazado. Essa informação
é inestimável para os profissionais de segurança,
tanto white hat (do bem) quanto black hat (do mal).
Uma ferramenta menos nobre é o Project Un1c0rn,
que parece ter sido lançado em 12 de maio na rede TOR
da Deep Web e em 15 de maio para os demais usuários
da Internet. Essa ferramenta é ímpar em sua tentativa
de tornar pesquisáveis os IPs públicos vulneráveis.
Embora seja provável que praticamente todos os sites
mais importantes do mundo já tenham sido corrigidos
quanto ao Heartbleed, um grande número de pequenos
donos de sites não possuem o conhecimento necessário
ou ainda não estão cientes de que estão vulneráveis.
O Project Un1c0rn coleta esses alvos da mesma forma
que um ladrão poderia compilar uma lista de casas não
trancadas para roubar. O McAfee Labs realizou tal pesquisa
e encontrou 2.440 alvos individuais e potencialmente
vulneráveis, mas pelo menos um analista do setor sugere
que, talvez, 300.000 sites permanecem vulneráveis.1
Esse número não leva em consideração portas fora
de padrão ou dispositivos com IP.
A ferramenta Project Un1c0rn permite que qualquer um procure servidores vulneráveis ao Heartbleed.
Cibercriminosos menos sofisticados podem usar
ferramentas como o Project Un1c0rn para pagar por
dados vazados em vez de eles mesmos extraí-los. Por uma
bagatela de 0,01 Bitcoin, equivalente a US$ 6 no momento
em que este documento foi redigido, ciberladrões podem
comprar dados vazados pelo Heartbleed. Um cibercriminoso
um pouco mais sofisticado poderia utilizar a ferramenta
como uma lista de alvos pessoal, visando somente os
sites mais provavelmente vulneráveis. Embora esse último
adversário seja mais perigoso devido à sua capacidade de
atacar de forma mais específica, com apenas um pouco
mais de conhecimento alguém poderia produzir um script
automatizado para atacar todos os endereços IP vulneráveis
conhecidos. Essencialmente, é quase garantido que um site
não corrigido venha a ser uma vítima se for indexado por
ferramentas como o Project Un1c0rn. A ferramenta está
disponível na Deep Web, portanto, é muito provável que
permaneça on-line por algum tempo.
Um comprador pode pagar por dados vazados do Heartbleed
enviando Bitcoins para a carteira de Bitcoin do Project Un1c0rn.
Embora a maioria dos sites de alto tráfego tenha
sido corrigida quanto ao Heartbleed, existem muitos
dispositivos com IP que não tiveram um gerenciamento
de segurança com a mesma qualidade que esses sites
de alto perfil. Câmeras de segurança, por exemplo,
revelaram-se vulneráveis ao Heartbleed e correções foram
disponibilizadas. No entanto, nem todos aplicaram essas
correções. Em um outro exemplo, descobriu-se que um
dispositivo de armazenamento anexado à rede (NAS)
com IP era vulnerável ao Heartbleed. Uma correção de
segurança foi postada para esse dispositivo logo após
a divulgação do Heartbleed, mas dez semanas depois
o McAfee Labs encontrou um sistema NAS não corrigido.
O proprietário até tinha um novo certificado emitido
em 20 de maio, 43 dias após a divulgação do Heartbleed,
mas o dispositivo NAS ainda estava usando uma versão
vulnerável do OpenSSL.
Um determinado site atualizou seu certificado logo após
a descoberta do Heartbleed, mas ainda permanece vulnerável.
O quão difícil seria para os hackers passar de um ataque
manual contra alvos vulneráveis ao Heartbleed para um
ataque completamente automatizado? Infelizmente,
trata-se de algo tão banal que provavelmente já foi feito.
De fato, um programador intermediário poderia criar tal
sistema em menos de um dia. Da mesma forma que os
profissionais de segurança podem utilizar uma variedade
de ferramentas comerciais, o mesmo vale para os
cibercriminosos. Com ferramentas simples, algumas linhas
de código e uns cafezinhos, é possível montar um sistema
automatizado que vise apenas máquinas sabidamente
vulneráveis e que extraia chaves privadas confidenciais.
Isso significa que a indústria de segurança deve se
tornar mais reservada? A McAfee e outros deveriam
reter informações sobre vulnerabilidades, hacks e outras
formas de inteligência? É claro que não! O Heartbleed
provou que a indústria de segurança pode proteger redes
internas e a própria Internet através do compartilhamento
de informações e recursos. Ao fazer isso, a indústria
de segurança se prepara para o próximo Heartbleed.
Até então, os usuários devem ser rigorosos em seguir
as práticas recomendadas de segurança de quaisquer
serviços que utilizem.
O phishing atrai os desavisados: usuários
corporativos são facilmente enganados
Marcas comuns são
frequentemente imitadas para
induzir os destinatários dos
e-mails a realizar alguma ação.
Saiba mais sobre detecção de
e-mails de phishing clicando
nestes links:
PayPal
Desde nosso último Relatório de ameaças, o McAfee Labs coletou mais de
250.000 novos URLs de phishing — atingindo um total de quase um milhão
de novos sites no ano passado. Porém, vemos nesses dados que não se trata
apenas de um aumento no volume total, mas também de um aumento na
sofisticação dos ataques de phishing predominantes. Efetivamente, tornou-se
mais fácil para os malfeitores conhecer seus alvos, onde trabalham, no que
estão interessados e mais. Todas as formas de mídia digital aceleraram essa
capacidade, especialmente as mídias sociais. Nossas decisões se baseiam em
confiança: o e-mail veio de alguém ou de alguma organização que você conhece
e com o(a) qual faz negócios? Ele contém algum elemento de personalização
que o faz parecer legítimo? Isso costuma ser suficiente para garantir um clique.
Dê uma olhada nas principais marcas utilizadas em ataques de phishing
atualmente. Você clicaria em um link de algum desses e-mails?
• PayPal
• Amazon
• eBay
• Bank of America
• HSBC
Amazon
eBay
Novos URLs de phishing
Bank of America
HSBC
450.000
400.000
350.000
300.000
250.000
200.000
150.000
100.000
50.000
0
T4
T3
T1
T2
2012
URLs
T3
2013
T4
T1
T2
2014
Domínios associados
Um ataque de phishing moderno
Phishing é uma tentativa de
obter informações confidenciais
através de e-mails ou mensagens
instantâneas que parecem
originárias de uma fonte confiável.
Essas mensagens costumam
conter anexos com malware
ou links para sites infectados
por malware.
Tanto o phishing de campanhas de massa quanto seu diabólico derivado,
o spear phishing, ainda predominam nas estratégias de ataque utilizadas por
cibercriminosos do mundo todo. Para demonstrar a sofisticação e o impacto
potencial dos ataques de phishing modernos, examinemos uma amostra que
atualmente está em circulação.
Spear phishing é um golpe
voltado contra um indivíduo
ou organização específica.
Tipicamente, a mensagem
de spear phishing contém
informações personalizadas que
podem levar o destinatário a crer
que ela veio de uma fonte legítima.
Este e-mail de phishing parece originário do amazon.com.
Esta mensagem de phishing utiliza uma tática clássica: falsificar uma marca
confiável e esperar por um clique. Simulando um e-mail de confirmação de
pedido, a mensagem mantém seu conteúdo breve e simples, como muitas
confirmações de pedidos de empresas legítimas. Dois elementos são cruciais
para a fraude: o endereço de e-mail falsificado com um domínio @amazon.com
e imagens carregadas dinamicamente de um domínio amazon.com falsificado.
Ao longo de uma semana, observamos 21.000 endereços IP de remetentes
individuais distribuindo essa mensagem mundialmente.
No entanto, escolhemos essa amostra não por suas táticas de engenharia
social — estas são comuns atualmente, e até menos convincentes que um
spear phishing bem desenvolvido — mas por sua carga de malware. Um clique
na “fatura” em anexo dá início a uma cadeia de eventos que muitas defesas
achariam difícil bloquear.
A partir desse clique, o malware realiza uma série de verificações antes de se
permitir executar. Com o malware iniciando em uma condição de “hibernação
infinita”, uma verificação determina se o disco local é uma máquina virtual,
potencialmente indicando se se trata de um ambiente de área restrita (sandbox).
Caso isso seja verdadeiro, o malware permanece inativo. Demonstrando sua
sofisticação, o próprio código é automodificável. O McAfee Labs fez engenharia
reversa desse malware e descobriu que ele descriptografa seu próprio código
em tempo real e sobrescreve instruções para deter análises estáticas realizadas
por produtos de segurança. Também vimos instruções de salto que indicam uma
tentativa de evitar assinaturas de antivírus.
Caso passe nessas verificações (e em outras que não mencionamos aqui),
o malware “acorda” e se descompacta através de várias camadas de criptografia
e compactação, permitindo que o verdadeiro código malicioso seja executado.
Ao se injetar em uma instância do processo svchost.exe do Windows, ele
verifica se há uma conexão ativa com a Internet tentando visitar msn.com.
Se isso falha, o malware permanece inativo. Se uma conexão bem-sucedida
é feita, ele descriptografa de seu próprio código vários nomes de domínios
de servidores de controle.
Código binário criptografado.
Código binário descriptografado, revelando um dentre três servidores de controle.
Siga o McAfee Labs
Para obter mais informações sobre
detecção de e-mails falsificados
supostamente originários do
amazon.com, clique aqui.
Como próxima etapa nessa cadeia de eventos, um malware adicional
é transferido por download dos domínios de controle descriptografados.
O sucesso desses downloads é verificado pelos servidores de controle
e a amostra original assume o comando instalando mecanismos de execução
automática como arquivos .Ink e entradas do Registro para o novo malware.
Em nossas observações, identificamos um ladrão de senhas e um bot de spam.
Imagine o tipo de dados que podem ser roubados caso as credenciais de
login sejam comprometidas. Em seguida, a máquina host recém-infectada dá
continuidade à campanha, enviando mensagens idênticas de confirmação de
pedido do amazon.com para enganar os próximos destinatários desavisados.
O phishing provou, repetidas vezes, sua eficácia. Embora a tecnologia possa
ajudá-lo na detecção de malware e remetentes nocivos, muito do ônus da
detecção de fraudes recai sobre o destinatário do e-mail.
Deseja testar sua capacidade de
detectar e-mails de phishing?
Faça o Quiz da McAfee
sobre phishing.
A McAfee, com o Quiz da McAfee sobre phishing, que consiste em dez
mensagens de e-mail apresentadas em simulações de programas de e-mail,
vem testando a capacidade dos usuários corporativos de detectar phishing.
O teste pede aos participantes que tentem identificar cada amostra como uma
mensagem real ou uma tentativa de phishing, como se estivessem olhando
para suas próprias caixas de entrada de e-mail. Cada amostra de e-mail contém
funcionalidade ativa, com a ocultação de informações de identificação pessoal
e conteúdo malicioso conforme a necessidade.
Exemplo de pergunta do Quiz da McAfee sobre phishing, apresentada em um programa
de e-mail para Android.
Dos 16.000 usuários corporativos que fizeram o teste, 80% foram enganados
por pelo menos um e-mail de phishing. Embora os participantes não estivessem
realmente vendo suas respectivas caixas de entrada de e-mail, consideramos
esse percentual surpreendentemente alto. Basta uma única entrega bemsucedida de malware em um sistema vulnerável para que se estabeleça
uma base para o malware na maioria das empresas.
80% de todos os participantes do teste enganaram-se em
pelo menos um dentre sete e-mails de phishing. As áreas de
contabilidade/finanças e RH tiveram o pior desempenho.
Além disso, pela taxa média de precisão com a qual os participantes
detectaram a legitimidade ou ilegitimidade dessas mensagens, descobrimos
que os departamentos que guardam os dados mais confidenciais tiveram um
desempenho significativamente pior. Conforme mostrado no gráfico seguinte,
contabilidade/finanças e RH foram os piores na detecção de fraudes, ficando
atrás dos demais departamentos por uma margem de 4% a 9%. O acesso aos
sistemas desses departamentos pode abrir as portas para um grande volume
de informações confidenciais. Fica claro que há, nessas áreas, necessidade
de mais conscientização quanto à segurança.
Quiz da McAfee sobre phishing:
pontuação média por departamento
(percentual de amostras de e-mail identificadas corretamente)
70%
65%
60%
55%
50%
Pesquisa e desenvolvimento
TI
Consultores
Executivos
Engenharia
Marketing
Estudantes
Gerência
Vendas
Outros
Contabilidade e finanças
RH
0
Desempenho no Quiz da McAfee sobre phishing com base em
departamentos autosselecionados.
Siga o McAfee Labs
Também identificamos a tática mais eficaz em enganar os participantes: o uso de
endereços de e-mail falsificados. Duas de nossas amostras de e-mail utilizaram
essa tática e os participantes do teste foram enganados 63% e 47% das
vezes, respectivamente.
A amostra de e-mail de phishing mais bem-sucedida
aparentava ter sido enviada pela UPS. Os métodos de
disfarce foram comuns, mas eficazes. Primeiro, o endereço
de e-mail era falsificado para que aparentasse ter se
originado do domínio UPS.com. A mensagem continha
vários elementos da marca UPS, incluindo o logotipo
oficial. No entanto, o que achamos mais interessante
foi o uso de apenas um URL malicioso em todo
o e-mail. O primeiro URL direcionava o destinatário para
o rastreamento do envio — e realmente enviava as vítimas
ao site de rastreamento de pacotes da UPS. O segundo
URL resultava no download da “fatura” e realmente abria
um arquivo, mas não do domínio da UPS. O link em
questão entregava uma carga: malware acondicionado
em um arquivo compactado .zip.
O phishing ainda é muito utilizado e tem um alto grau de
eficiência. Não é um problema fácil de se enfrentar, pois
exige tanto tecnologia quanto mudança de comportamento.
Para dar aos leitores uma ideia de nossas práticas
recomendadas, oferecemos uma breve lista de verificação
para ajudar a orientar os profissionais de segurança.
Para isso, vamos precisar da colaboração de todos.
Amostra de e-mail de phishing da UPS do Quiz da McAfee sobre
phishing, apresentado em um programa de e-mail Outlook.
Para obter mais informações sobre detecção de e-mails
de phishing supostamente originários da UPS, clique aqui.
Repescando as tentativas de phishing: um guia para os profissionais de segurança
Atividade
Principais tecnologias
Eliminar campanhas de phishing em massa com filtragem
de e-mails no gateway seguro
Reputações de rede, arquivo, URL e IP do remetente,
antivírus (AV) e listas de bloqueio em tempo real
Implementar verificação da identidade do remetente
para reduzir o risco de que cibercriminosos sejam
inadvertidamente considerados confiáveis
Sender Policy Framework (SPF), Domain Keys Identified
Mail (DKIM), Domain-based Message Authentication,
Reporting and Conformance (DMARC)
Detectar e eliminar anexos maliciosos com
antimalware avançado
Reputação de arquivos, AV, emulação de conteúdo, análise
em área restrita (sandboxing) e análise estática de código
Fazer varredura de URLs nos e-mails quando recebidos
e novamente quando clicados
Reputação de URLs, AV, emulação de conteúdo, análise
Fazer varredura do tráfego da Web quanto à presença de
malware quando o phishing conduz o usuário em uma
jornada de cliques até a infecção
Reputação de URLs, AV, emulação de conteúdo, análise
Implementar prevenção de perda de dados para deter
o vazamento no caso de uma violação ou entrada de
dados pelo usuário
Prevenção de perda de dados para terminais, tráfego de
e-mail e tráfego da Web
Conscientizar os usuários sobre práticas recomendadas de
como detectar e agir em relação a e-mails suspeitos
Siga este link para ver uma lista de dicas recomendadas
Operação Tovar: um golpe forte
de vida curta
Sob a Operação Tovar, o policiamento global — em conjunto com o setor privado
e com o McAfee Labs — iniciou uma ação para desmontar as infraestruturas
do Gameover Zeus e do CryptoLocker. Assumir o controle dos domínios que
formam parte da rede de comunicações foi uma oportunidade rara para os
proprietários de sistemas infectados removerem o malware e reassumirem
o controle sobre suas vidas digitais.
Ameaças distintas
As duas ameaças são muito diferentes. Gameover Zeus é uma rede de bots
ponto a ponto baseada no cavalo de Troia bancário Zeus. Quando o Gameover
Zeus entra no computador de uma vítima, ele tenta roubar vários tipos de
informação. Cibercriminosos já utilizaram com êxito esse malware em toda
sorte de ataques. Com roubo de credenciais de acesso bancário, números
de cartões de crédito e até credenciais de login de classificados on-line de
empregos, o rastro de destruição deixado pelo Gameover Zeus é considerável,
atingindo milhões de dólares. Por exemplo, considerando apenas agosto de
2012, estimativas do número de infecções chegam a mais de 600.000 sistemas,
muitas das quais em empresas da Fortune 500.
Estima-se que o Gameover Zeus já infectou mais de
600.000 sistemas, incluindo muitas empresas da Fortune 500.
O Gameover Zeus é baseado no Zeus original, que rouba credenciais de acesso
bancário, mas trabalha de maneira diferente por descentralizar o sistema
de controle e criar uma rede do tipo ponto a ponto. As vítimas costumam
ser infectadas através de campanhas de spear phishing que utilizam várias
explorações de Web e de navegador para entregar o malware no sistema visado.
O malware injeta a si próprio em processos legítimos do Windows para manter
persistência e também intercepta funções do sistema e do navegador para
injetar conteúdo “falso” no navegador do usuário com o objetivo de ocultar
atividades fraudulentas.
Esse método é altamente eficaz quando o criminoso deseja roubar grandes
somas de dinheiro de uma conta de pessoa jurídica, mas precisa ocultar
a atividade até que os fundos sejam transferidos para a conta do criminoso.
Variantes do Gameover Zeus obtêm suas atualizações e configurações de hosts
disponíveis na rede ponto a ponto, o que as torna mais difíceis de bloquear.
O Gameover Zeus também tem uma função para atualizar dinamicamente
o arquivo de configuração e contém a carga para roubo de fundos da conta
bancária do usuário.
O CryptoLocker é um cavalo de Troia do tipo ransomware (vírus sequestrador)
que criptografa os arquivos da vítima e os mantém assim até que um pagamento
de resgate seja efetuado, geralmente com uma moeda virtual como o Bitcoin.
Após criptografar um sistema, o CryptoLocker gera uma mensagem popup exigindo que a vítima pague para reaver os arquivos. O malware utiliza
algoritmos de criptografia de chave pública para criptografar os arquivos
da vítima. Uma vez infectada a máquina da vítima, a chave é gerada e a chave
privada é enviada para o servidor do criminoso. O malware costuma dar à vítima
72 horas antes que o servidor do CryptoLocker supostamente destrua a chave
privada, o que torna os arquivos irrecuperáveis. As vítimas do CryptoLocker são
infectadas por redes de bots e e-mails de phishing. Siga o McAfee Labs
Em uma única instância de
ransomware do CryptoLocker,
o McAfee Labs observou o roubo
de US$ 255.000 em um único mês.
McAfee Stinger, uma ferramenta
gratuita que detecta e remove
malware, teve mais de
80.000 downloads nos três
dias seguintes à divulgação
da Operação Tovar.
O McAfee Labs pesquisa o CryptoLocker desde setembro de 2013. Durante
uma investigação recente, descobrimos uma família de amostras de malware
que apontava para um portal que cobrava BTC 0,7 (aproximadamente
US$ 461 quando desta redação) pela descriptografia dos arquivos.
O rastreamento do fluxo de transações em Bitcoins revelou alguns dados
interessantes. Durante um único dia, 83 vítimas pagaram BTC 76 (US$ 35.036)
pela descriptografia. Também observamos que os criminosos por trás dessa
campanha possuem múltiplas carteiras e transferiram grandes somas de
Bitcoins entre si, as quais acabavam em apenas duas carteiras.
Após um mês de observação, a carteira A continha BTC 110,892 e a carteira
B BTC 442,477. Utilizando as taxas de câmbio atualizadas do Bitcoin, essas
cifras equivalem a aproximadamente US$ 255.000, ganhos em apenas um mês.
O ransomware é realmente um negócio lucrativo.
Fluxo de transferência de Bitcoins do CryptoLocker.
A derrubada do Gameover Zeus e do CryptoLocker
Um sinkhole (ralo) é um servidor
de DNS configurado para retornar
endereços não roteáveis para
todos os domínios do sinkhole,
de maneira que nenhum
computador que solicite resolução
de endereços de domínio consiga
se conectar com o alvo. Sinkholes
são comuns e eficazes na detecção
e bloqueio de tráfego malicioso.
Tanto o Gameover Zeus quanto o CryptoLocker utilizam algoritmos de geração
de domínios (DGAs). No caso do CryptoLocker, o binário do malware primeiro
tenta se conectar a um servidor de controle codificado permanentemente
com um endereço IP. Caso essa tentativa falhe, ele gera um nome de domínio
utilizando um algoritmo de nome de domínio aleatório.
Durante a Operação Tovar, os DGAs de ambas as famílias de malware foram
quebrados, o que permitiu aos agentes policiais prever os nomes de domínio
que seriam gerados ao longo de 2014. Com o bloqueio e “sinkholing” (anulação)
desses domínios, os clientes foram impedidos de se comunicar com o servidor
de controle e de fazer download de cargas adicionais. Só do CryptoLocker,
mais de 125.000 domínios foram bloqueados durante a operação e mais de
120.000 domínios do Gameover Zeus foram anulados. Nos três dias seguintes
ao anúncio da Operação Tovar, o McAfee Stinger, uma ferramenta gratuita que
detecta e remove malware (incluindo o Gameover Zeus e o CryptoLocker), teve
mais de 80.000 downloads. Ferramentas semelhantes tiveram aumentos de
download na faixa de 300% a 400%.
O futuro
Embora a Operação Tovar tenha sido um sucesso retumbante, muitos similares estão em alta, criando
novas variantes de ransomware ou malware com alvos financeiros utilizando o código fonte vazado
do Zeus.
Já vimos novos projetos em fóruns clandestinos:
Um projeto de malware semelhante ao CryptoLocker.
A tela acima veio de um fórum clandestino que oferece
“um serviço semelhante ao CryptoLocker” por US$ 3.000.
Recursos incluídos:
• Uso de criptografia AES 128 e RSA 2048.
• Uso de serviços TOR.
• Suporte para plataformas de afiliação.
• Ajuste do preço do resgate com base na taxa do Bitcoin
e uma seleção dos tipos de arquivo da vítima a serem
criptografados.
• Criação de carteiras de Bitcoin para cada cliente.
• Aceitação de cartões pré-pagos, como iTunes e outros.
O Gameover Zeus e o CryptoLocker são ameaças vis que
têm sido bastante lucrativas para seus desenvolvedores.
A Operação Tovar foi um grande sucesso, inviabilizando
decisivamente essa infraestrutura criminosa. Além disso,
muitos usuários conseguiram limpar seus sistemas.
Trata-se de uma vitória rara para os atingidos por
malware. Porém, os desenvolvedores de malware são
persistentes devido ao grande montante em dinheiro
que se pode ganhar. Já vimos o surgimento de malware
e infraestruturas substitutos.
Operações como a Tovar são concebidas para combater
ciberameaças que afetam empresas, infraestruturas,
indivíduos e outros alvos. O êxito dessa operação se
deve à cooperação entre vários atores — órgãos policiais
globais, provedores de serviços de Internet e fornecedores
de segurança. Ao longo dos últimos seis meses, vários
criminosos foram presos e sentenciados a longas penas.
O cibercrime pode ser lucrativo, mas a Operação Tovar
demonstra que os atacantes nem sempre conseguem
se safar. O McAfee Labs estará sempre presente nesse
tipo de operação.
Malware móvel
Malware
Ameaças via Web
Ameaças em
mensagens
Ameaças de rede
Malware móvel
Malware móvel novo
900.000
Nossa contagem total de malware
móvel aumentou em 17% no
segundo trimestre. Enquanto
isso, a taxa de malware móvel
novo parece ter se estabilizado
em aproximadamente
700.000 por trimestre.
800.000
700.000
600.000
500.000
400.000
300.000
200.000
100.000
0
T3
T4
T1
T2
2012
T3
T4
T1
2013
T2
2014
Total de malware móvel
5.000.000
4.500.000
4.000.000
3.500.000
3.000.000
2.500.000
2.000.000
1.500.000
1.000.000
500.000
0
T3
T4
2012
T1
T2
T3
2013
T4
T1
T2
2014
Malware
Novos itens de malware
35.000.000
O malware novo no segundo
trimestre aumentou em apenas
1%, embora o nível atual de
31 milhões de amostras novas
ainda seja o maior já registrado
em um único trimestre.
30.000.000
25.000.000
20.000.000
15.000.000
10.000.000
5.000.000
0
T3
T4
T1
T2
2012
T3
T4
T1
2013
T2
2014
Total de malware
300.000.000
250.000.000
200.000.000
150.000.000
100.000.000
50.000.000
0
T4
T3
2012
T1
T2
T3
2013
T4
T1
T2
2014
Novo ransomware
O ransomware novo continuou
na tendência de declínio
iniciada um ano atrás, caindo
neste trimestre em 63%,
para 63.857 novas amostras.
400.000
350.000
300.000
250.000
200.000
150.000
100.000
50.000
0
T4
T3
T1
T2
2012
T3
T4
T1
2013
T2
2014
Total de ransomware
2.000.000
1.800.000
1.600.000
1.400.000
1.200.000
1.000.000
800.000
600.000
400.000
200.000
0
T3
T4
2012
T1
T2
T3
2013
T4
T1
T2
2014
Malware de rootkit novo
A tendência dos rootkits
é geralmente de estabilidade,
com uma única família de bootkits
(Gupboot) sendo responsável
pelo aumento verificado nos dois
últimos trimestres. Conforme
observado em nosso Relatório do
McAfee Labs sobre ameaças de
junho de 2014, acreditamos que
haverá um crescimento nas novas
amostras de rootkit, na medida
em que os atacantes aprenderem
a contornar a proteção de
segurança dos sistemas de 64 bits.
250.000
200.000
150.000
100.000
50.000
0
T1
T2 T3
2011
T4
T1
T2 T3
2012
T4
T1
T2 T3
2013
T4
T1 T2
2014
Total de malware de rootkit
2.000.000
1.800.000
1.600.000
1.400.000
1.200.000
1.000.000
800.000
600.000
400.000
200.000
0
T3
T4
2012
T1
T2
T3
2013
T4
T1
T2
2014
Malware novo relacionado ao registro mestre de inicialização (MBR)
As ameaças que visam o registro
mestre de inicialização do sistema
caíram 44% neste trimestre.
1.000.000
900.000
800.000
700.000
600.000
500.000
400.000
300.000
200.000
100.000
0
T4
T3
T1
2012
T3
T2
T4
2013
Componentes de MBR
identificados
T1
T2
2014
Variantes de famílias com cargas virais
de MBR conhecidas
Total de malware relacionado ao registro mestre de inicialização (MBR)
8.000.000
7.000.000
6.000.000
5.000.000
4.000.000
3.000.000
2.000.000
1.000.000
0
T4
T3
2012
Componentes de MBR
identificados
T1
T2
T3
2013
T4
T1
T2
2014
Variantes de famílias com cargas virais
de MBR conhecidas
Novos binários assinados maliciosos
Dando continuidade à sua
tendência de alta, os novos
binários assinados maliciosos
ultrapassaram a marca dos
três milhões trimestrais no
segundo trimestre.
3.500.000
3.000.000
2.500.000
2.000.000
1.500.000
1.000.000
500.000
0
T4
T3
T1
T2
2012
T3
T4
T1
2013
T2
2014
Total de binários assinados maliciosos
40.000.000
35.000.000
30.000.000
25.000.000
20.000.000
15.000.000
10.000.000
5.000.000
0
T3
T4
2012
T1
T2
T3
2013
T4
T1
T2
2014
Ameaças via Web
Novos URLs suspeitos
20.000.000
18.000.000
16.000.000
14.000.000
12.000.000
10.000.000
8.000.000
6.000.000
4.000.000
2.000.000
0
T4
T3
T1
T2
URLs
T3
2013
2012
T4
T1
T2
2014
Domínios associados
Localização dos servidores que hospedam conteúdo suspeito
3%
A América do Norte continua
a hospedar mais conteúdo
suspeito do que qualquer
outra região.
América do Norte
37%
44%
Ásia-Pacífico
Europa e Oriente Médio
América Latina
16%
Principais países que hospedam URLs de phishing
26%
50%
2%
2%
Estados Unidos
França
Alemanha
Canadá
Reino Unido
Rússia
Brasil
Holanda
Outros
3%
4%
4%
4%
5%
Principais países que hospedam URLs de spam
2%
2%
12%
9%
42%
Estados Unidos
Alemanha
Reino Unido
Rússia
Japão
Outros
33%
Ameaças em mensagens
Spam e e-mail globais
(trilhões de mensagens)
10
9
8
7
6
5
4
3
2
1
0
T4
T3
T2
T1
T3
T4
T1
2013
2012
Spam
T2
2014
E-mail legítimo
Redes de bots predominantes mundialmente
O número de infecções
pela rede de bots Dapato,
também conhecida como
Carberp e por outros nomes,
subiu consideravelmente
neste trimestre.
19%
39%
10%
7%
5% 5%
3% 3%
Dapato
Ramnit
Sality
Cycbot
Maazben
SpyBot
Darkness
Spam-Mailbot
NGRBot
Outras
6%
3%
Ameaças de rede
Principais ataques a redes
Os ataques de negação de serviço
aumentaram em 4% neste
trimestre e continuam sendo
o tipo mais predominante de
ameaça de rede.
2% 2%
12%
2%
3%
29%
Negação
de serviço
Worm
3%
Força bruta
9%
17%
21%
SSL
Backdoor
Varredura
Navegador
Chamada de
procedimento remoto
Rede de bots
Outros
Sobre a McAfee
Comentários. Para ajudar
a orientar nosso trabalho
futuro, estamos interessados
na sua opinião. Se você quiser
compartilhar seus pontos de vista,
clique aqui para preencher uma
pesquisa rápida, de cinco minutos,
sobre os Relatórios de ameaças.
A McAfee, uma subsidiária pertencente à Intel Corporation (NASDAQ: INTC),
capacita as empresas, o setor público e os usuários domésticos a experimentar
com segurança os benefícios da Internet. A empresa fornece soluções e serviços
de segurança proativos e comprovados para sistemas, redes e dispositivos
móveis em todo o mundo. Com sua visionária estratégia Security Connected,
sua abordagem inovadora para a segurança aprimorada por hardware e a rede
exclusiva do Global Threat Intelligence, a McAfee está sempre empenhada em
manter seus clientes em segurança.
http://www.mcafee.com/br
Siga o McAfee Labs
1 http://blog.erratasec.com/2014/06/300k-vulnerable-to-heartbleed-two.html#.U8P7VY1dVYO.
As informações deste documento são fornecidas somente para fins educacionais e para conveniência dos clientes
da McAfee. As informações aqui contidas estão sujeitas a alterações sem aviso prévio, sendo fornecidas “no estado”,
sem garantia de qualquer espécie quanto à exatidão ou aplicabilidade das informações a qualquer circunstância ou
situação específica.
McAfee, Part of Intel Security.
2821 Mission College Boulevard
Santa Clara, CA 95054
888 847 8766
www.intelsecurity.com
Intel e o logotipo da Intel são marcas comerciais da Intel Corporation nos EUA e/ou em outros países. McAfee e o logotipo
da McAfee são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros países.
Outros nomes e marcas podem ser propriedade de terceiros. Os planos, especificações e descrições de produtos aqui
contidos são fornecidos apenas para fins informativos, estão sujeitos a alterações sem notificação prévia e são fornecidos
sem garantia de qualquer espécie, expressa ou implícita. Copyright © 2014 McAfee, Inc. 61245rpt_qtr-q2_0814_fnl

Relatório do McAfee Labs sobre ameaças Agosto de 2014

Transcrição

Documentos relacionados

McAfee Endpoint Protection Advanced Suite Data Sheet

McAfee VirusScan Mobile Security

Faça da data sheet

McAfee Complete Data Protection Data Sheet

McAfee Advanced Correlation Engine Data Sheet

McAfee Public Cloud Server Security Suite Data Sheet

comprovadamente

payslipCockpit by ROFF Labs

O Futuro e as Tecnologias das Ameaças

Guia de instalação Serviço McAfee SaaS Web Protection

A nova era das redes de bots

McAfee Endpoint Security 10.1.0 Guia de instalação Para ser usado

- Guia do Hacker

7º ano In ternet Segurança na Internet

proteção da kaspersky lab. a mais testada. a mais premiada.

Folheto do DDoS Mitigation

Métrica TOP 3 de 2014

Vigilância Costeira - Obzerv Technologies Inc.