Grandes Perdas, Necessidade Identificada para uma

Transcrição

Grandes Perdas, Necessidade
Identificada para uma
Estratégia de Defesa contra
Ataques Cibernéticos
Relatório Anual de Segurança de 2014 do TrendLabsSM
NOTA LEGAL DA TREND MICRO
As informações fornecidas aqui são apenas para
fins gerais e educacionais. Não se destinam e não
devem ser interpretadas de forma a constituir um
aconselhamento jurídico. As informações aqui
contidas podem não se aplicar a todas as situações
e podem não refletir a situação mais atual. Nada
aqui contido deve ser invocado ou posto em
prática sem o benefício da assistência jurídica
com base nos fatos e circunstâncias específicos
apresentados, e nada aqui deve ser interpretado
de outra forma. A Trend Micro se reserva o direito
de modificar o conteúdo deste documento a
qualquer momento sem aviso prévio.
Traduções de qualquer material para outras
línguas são apenas uma conveniência. A precisão
da tradução não é garantida nem implícita.
Se surgirem quaisquer dúvidas relacionadas à
precisão da tradução, consulte a versão oficial
do documento na língua original. Quaisquer
discrepâncias ou diferenças criadas na tradução
não são vinculativas e não têm efeito legal para
efeitos de cumprimento ou imposição.
Apesar da Trend Micro se esforçar razoavelmente
para incluir informações precisas e atualizadas aqui,
não dá garantias ou representações de qualquer
tipo para sua exatidão, aceitação ou integralidade.
Você concorda que o acesso e uso e a confiança
neste documento e ao seu conteúdo é por sua
conta e risco. A Trend Micro se isenta de todas as
garantias de qualquer tipo, expressas ou implícitas.
Nem a Trend Micro nem qualquer parte envolvida
na criação, produção e entrega deste documento
é responsável por qualquer consequência, perda
ou dano, sejam eles diretos, indiretos, especiais,
consequentes, perda de lucros comerciais ou
danos especiais, por danos decorrentes de acesso,
uso ou incapacidade de uso, ou em conexão
com o uso deste documento, ou quaisquer erros
ou omissões no seu conteúdo. O uso dessas
informações constitui uma aceitação para o uso
em uma condição “como está”.
Índice
5
Escala de Impacto e Perdas
Devido aos Ataques Cibernéticos
Intensificados
8
2014 foi o Ano do
“PoS RAM Scrapers”
12
Heartbleed e Shellshock Provaram Que
Nenhuma Aplicação Era Invulnerável
14
Bancos Móveis e Online Enfrentaram
os Maiores Desafios de Segurança
17
Ransomware se Tornou uma Ameaça
Maior e Mais Sofisticada
24
Agentes de Ameaças e Economias do
Cibercrime Continuaram a Prosperar
no Mundo Todo
26
O Volume Geral de Ameaças Diminui
mas o Phishing Quase Dobra
34
Referências
2014 mostrou como os ataques podem ser destrutivos tanto para indivíduos
como para empresas. Os efeitos de perdas de enormes quantidades de
dados confidenciais para os invasores, como perdas financeiras e danos
à marca, foram marcantes durante todo o ano. A gravidade dos ataques e
seus efeitos revelaram uma coisa: os riscos de se tornar a próxima vítima
de um ataque cibernético aumentaram.
Várias empresas sofreram perdas de produtividade, financeiras, legais
e operacionais depois de serem alvos de grandes comprometimentos.
Violações em diversos setores causadas por “RAM scrapers” em pontos
de vendas (PoS), por exemplo, aumentaram em número em 2014. Apesar
do ano não ter sido marcado pelas maiores violações vistas até hoje, os
ataques visando vulnerabilidades, como o Heartbleed e o Shellshock
em software de código aberto amplamente usado e considerado seguro,
além de FakeID e “Same Origin Policy (SOP) Bypass” em plataformas e
dispositivos móveis, também foram vistos. Processos recomendados,
como a autenticação de dois fatores, também se mostraram vulneráveis às
ameaças, conforme evidenciado pelos ataques causados pelos criminosos
que criaram a Operação Emmental.
Conforme os anos passam, somos obrigados a ver ataques cada vez mais
paralisantes e com alvos mais improváveis. Os agressores sempre buscarão
uma coisa: lucro. Eles continuarão a atacar indiscriminadamente dados
valiosos porque a venda de informações roubadas é um negócio lucrativo,
como mostra a próspera economia cibercriminosa do submundo.
Lidar com as ameaças conforme elas surgem não é mais suficiente; agir
com base nos resultados de avaliação de riscos antes dos incidentes é
mais vantajoso. As empresas precisam repensar seus investimentos atuais
em segurança cibernética para poder responder e atenuar os ataques
com facilidade. Planejar com antecedência, para que possam entrar em
ação imediatamente se for preciso, é fundamental, porque esses ataques
cibernéticos podem acontecer em empresas de qualquer setor e de
qualquer tamanho.
Resumindo, trata-se de uma
combinação entre identificar
o que é mais importante,
implementar as tecnologias
certas e educar os usuários.
É trabalho de todos – não
apenas dos profissionais de
TI – garantir que os principais
dados da empresa fiquem a
salvo.
—Raimund Genes
CTO da Trend Micro
OBSERVAÇÃO: Todas as menções a “detecções” no texto se referem a instâncias quando as ameaças foram encontradas nos
computadores de usuários e subsequentemente bloqueadas por qualquer software de segurança da Trend Micro. Salvo disposto
em contrário, os números apresentados neste relatório vieram de dados reunidos pela Trend Micro™ Smart Protection Network™,
infraestrutura de segurança na nuvem que usa um conjunto de tecnologias em nuvem e técnicas baseadas em cliente para suportar
produtos implementados localmente e serviços hospedados.
TREND MICRO | Relatório de Segurança Anual de 2014 do TrendLabs
Escala de Impacto e Perdas Devido aos
Ataques Cibernéticos Intensificados
Notícias de violações de dados em massa foram divulgadas consecutivamente em 2014, em sucessões muito mais rápidas do que no ano
passado. A violação da Sony Pictures mostrou o amplo espectro de perdas que pode atingir uma empresa que falhou em proteger sua rede.
Conforme
esperado,
grandes
incidentes
de
Estratégicos calcularam uma perda de 100 milhões
violações de dados foram relatados durante todo
de dólares.7-9 Outras empresas com a bandeira da
o ano.¹ Varejistas, bancos, serviços públicos e
Sony sofreram ataques em massa.10 Um executivo
diversas empresas perderam milhões de dados de
da empresa teria dito em 2007 que não investiria
clientes para os agressores. Empresas de todos os
10 milhões de dólares em tecnologias de segurança
setores sucumbiram às violações que não apenas
para evitar um incidente de 1 milhão de dólares.11
custaram dinheiro, mas também trouxeram danos
significativos às marcas.² No segundo trimestre de
2014, por exemplo, o repositório de código-fonte
Code Spaces cessou suas atividades depois de um
agressor apagar suas bases de dados e backups.³ A
rede de restaurantes P.F. Chang’s teve que voltar a
usar dispositivos de impressão manuais de cartão
de crédito após uma violação. Fora do Estados
“Para detectar anomalias, porém, os
administradores de TI precisam saber
antes o que procurar. Como os ataques são
geralmente feitos para não deixar nenhum
rastro, é importante saber onde possíveis
indicadores de um comprometimento podem
ser encontrados.”
Unidos, uma empresa educacional no Japão, a
Benesse, sofreu uma grande violação de dados,
—Ziv Chang
em que um antigo funcionário de um fornecedor
Diretor da Cybersafety Solutions
terceirizado vazou pelo menos 28,95 milhões
de registros de clientes para anunciantes. Como
resultado, a empresa teve que se desculpar e alocar
parte de seu fundo de 20 bilhões de ienes (quase
169 milhões de dólares) para estabelecer o Fundo
das Crianças da Benesse.4
Mas, entre os ataques vistos em 2014, o hack da Sony
Pictures provavelmente foi o que melhor mostrou
quanto uma empresa pode perder em consequência
de uma violação de segurança. A empresa foi
forçada a fechar temporariamente sua rede depois
que ela foi comprometida pelos autodenominados
“Guardiões da Paz” (GOP).5 Ela alega ter perdido
100 terabytes de dados confidenciais como
resultado.6 Embora a Sony Pictures não tenha
declarado o custo da violação, especialistas de
“Os agressores passam muito tempo durante
a fase de reconhecimento para entender a
empresa alvo – seu ambiente de TI e defesas
de segurança – e os administradores de
TI precisam adotar essa mentalidade em
termos de sua estratégia de segurança.
Todas as redes são diferentes. Isso significa
que cada uma precisará ser configurada
de modo diferente. Os administradores de
segurança precisam entender totalmente
a rede e implementar as medidas de
segurança necessárias para se adequar ao
seu ambiente.”
–Spencer Hsieh
Pesquisador de Ameaças de Ataques Direcionados
segurança do Centro de Estudos Internacionais e
5 | Grandes Perdas, Necessidade Identificada para uma Estratégia de Defesa contra Ataques Cibernéticos
Até agora, todos os relatórios sobre quem foi
responsável pelo hack da Sony Pictures foram
inconclusivos. Alguns acreditam que foi um
trabalho interno, parecido com o incidente do
Amtrack, motivado por razões como dinheiro,
ideologia, coerção, ou ego.12-13 Outros, entretanto,
escolhem jogar a culpa em hacktivistas. Mas,
no final das contas, não importa de quem foi
a culpa. Se o conglomerado tivesse aprendido
com incidentes passados e protegido sua rede de
possíveis intrusões, poderia ter se poupado dessa
situação.14
Mesmo que a verdade de como os hackers violaram
as defesas da Sony Pictures continue desconhecida,
nossa própria análise do WIPALL, o malware
destrutivo sobre o qual o FBI alertou as empresas
depois do hack da Sony Pictures, revelou que não
era tão sofisticado como outras classes de malware
como o STUXNET.15-17 Porém, podem existir outros
componentes do ataque que não vieram a público.
Comparação de Comportamentos de Malware Selecionados
ZeuS/ZBOT
Ataques MBR
Wiper na
Coreia do Sul
Principal cavalo
de Troia rastreia e
extrai dados
Cavalo de Troia
spyware e arquivo
de configuração
Dropper baixa o
Cavalo de Troia
principal
Chega através de
unidades USB:
o arquivo .LNK
executa cópias do
worm
Explora
vulnerabilidades
Usa engenharia
social e teclas de
registros
Usa um link
em emails
spear-phishing:
explora uma
vulnerabilidade
do Processador
de Palavras
Hangul
Desabilita um
escaneador de
tempo real do
sistema
Usa exploits e
um componente
rootkit
Imita software
de segurança
para escapar da
detecção
Variado
Imita serviços
legítimos do
Windows
Usa credenciais
predefinidas para
hackear compartilhamentos na
rede
Instala
componentes de
cliente e servidor
para executar
comandos na rede
Sem informações
suficientes
Não se aplica
Verifica
credenciais SSH
de contas com
acesso root
Sem informações
suficientes
Permite que
agressores vejam
e alterem a
base de dados e
informações do
projeto a partir do
servidor WinCC
Rouba credenciais
de cartão de
crédito de clientes
armazenadas em
sistemas infectados
(PoS)
Registra keystrokes
para roubar
credenciais do
usuário para fazer
login em páginas
de bancos
Vaza
informações
confidenciais
(no caso de uma
usina nuclear na
Coreia do Sul)
Detecção de
arquivos a partir
de sistemas e
drives fixos e
remotos
Controladores de
lógica programável
de controle (PLCs)
Roubo de dados de
cartão de crédito
Roubo de
credenciais
bancárias
Sabotagem
WIPALL
STUXNET
Várias backdoors
Um worm, um
arquivo .LNK e um
rootkit
Sem informações
suficientes
Mecanismo
furtivo
Movimento
lateral
Componentes do
e arquivos
Malware
maliciosos .SYS
Mecanismo de
entrada e/ou
autoinicialização
Informações
roubadas
Propósito
BlackPOS
Diferentes pontos fracos contribuíram para as
práticas de segurança de entidades parceiras.18 Para
violações. No caso do Code Spaces, os agressores
a Sony, uma defesa personalizada poderia ter dado
obtiveram acesso a credenciais de um funcionário
aos defensores de segurança um meio para detectar
para entrar na rede da empresa. Isso poderia
uma intrusão mais cedo, conforme os arquivos
ter sido evitado através de políticas mais fortes
fossem acessados, apagados ou enviados para fora
de gerenciamento de senha e treinamento de
da rede.19 Mas, para fazer isso, eles primeiro teriam
conscientização do funcionário. A Home Depot
que saber sua linha de base. Deveriam saber como
alegou que os agressores invadiram usando
suas redes foram configuradas e o que os sistemas
credenciais roubadas de um fornecedor. Essa
que as compreendem contêm para poder identificar
descoberta destaca a importância de examinar as
irregularidades ou pistas de movimento lateral.20
2014 foi o “Ano do PoS
RAM Scrapers”
Os “PoS RAM scrapers” chegaram perto de se tornar a principal ameaça de 2014, já que vários alvos de alto nível perderam
milhões de dados de clientes para os agressores.
Alvos de alto nível em uma ampla variedade de
Os dados da Trend Micro mostram que o número
setores foram atingidos por ataques auxiliados
de sistemas PDV infectados em 2014 aumentou
pela ameaça “PoS RAM scraper”, permitindo que
durante o ano. As infecções também foram
os criminosos cibernéticos pusessem as mãos em
distribuídas uniformemente por todos os países.
milhões de dados de clientes. Os varejistas não
foram os únicos alvos de violações em sistemas de
ponto de venda (PDV), pois os agressores também
visaram hotéis, restaurantes e estacionamentos,
entre outros.21–35
Número de Sistemas Onde Malware PDV Foi Encontrado em 2014
200
156
138
124
100
73
0
1º Trim
2º Trim
3º Trim
4º Trim
Distribuição por Países de Sistemas Onde Malware PDV Foi Encontrado em 2014
Estados Unidos
Canadá
Reino Unido
Austrália
29,77%
6,71%
6,50%
5,87%
Filipinas
Taiwan
5,66%
3,98%
França
Itália
Brasil
Japão
Outros
3,14%
3,14%
2,94%
2,31%
29,98%
Distribuição de Família de Malware PDV, 2013 Versus 2014
2014
2013
Alina
55,39%
BlackPOS
50,73%
Rdasrv
43,63%
Soraya
14,88%
VSkimmer
0,98%
Uma maior variedade de famílias do PoS RAM
scraper também foi vista em 2014 em comparação
com 2013. A criação de malware PDV pode ser
considerada mais robusta, como evidenciado
pela adição de recursos tecnologicamente mais
avançados em variantes mais recentes, mesmo
com a utilização de técnicas mais antigas.
Alina
9,64%
Rdasrv
7,34%
JackPOS
5,87%
VSkimmer
4,40%
Backoff
2,94%
BrutPOS
1,68%
ChewBacca
1,47%
Decebal
1,05%
Linha do Tempo de Incidentes PoS-RAM-Scraping em 2014, Inclusive Danos
VAREJO
VAREJO
Credenciais de cartão de pagamento de
até 40 milhões de clientes
HOTELARIA
Números de cartão de pagamento com
códigos de segurança e datas de validade
Credenciais de cartão de crédito de
350.000 de clientes, dos quais 9.200
foram usados de modo fraudulento
DEZ
2013
BELEZA
JAN
2014
VAREJO
aproximadamente 2,6 milhões de clientes
VAREJO
Informações de cartão de pagamento de
clientes de 335 lojas
VAREJO
Credenciais de cartão de pagamento
RESTAURANTES
RESTAURANTES
Dados de cartão de pagamento Track 2
com números CVV de <25.000 clientes
FEV
MAR
RESTAURANTES
ABR
ENTREGAS
MAI
Dados de cartão de pagamento de
clientes de 51 locais
JUN
VAREJO
JUL
Credenciais de cartão de pagamento 56
milhões e endereços de email de 53
milhões de clientes
AGO
SET
VAREJO
Números de cartão de pagamento
OUT
VAREJO
ESTACIONAMENTO
Detalhes de cartão de pagamento de
clientes de 17 locais de estacionamento
ESTACIONAMENTO
Credenciais de cartão de crédito
RESTAURANTES
NOV
1,16 milhões de clientes
DEZ
VAREJO
JAN
2015
Credenciais de cartão de crédito
ESTACIONAMENTO
Mercados do cibercrime clandestinos em todas
RAM scrapers, de fato, foi visto nos mercados do
as regiões também provaram que vender dados
submundo, muito provavelmente devido ao sucesso
roubados é realmente um negócio lucrativo. O
dos ataques relacionados a malware PDV.36-37
desenvolvimento de kits especificamente para PoS
Linha do Tempo do Surgimento do PoS RAM Scraper,
Inclusive Relacionamentos com Outras Versões
RawPOS
Rdasrv
2009
Alina
BlackPOS
2010
Dexter
VSkimmer
2011
Soraya
ChewBacca
2012
LusyPOS
JackPOS
Backoff
NewPoSThings
Decebal
2013
2014
2015
BlackPOS 2
BrutPOS
GetMyPass
Porém, conforme os criminosos cibernéticos
Sistemas PDV de propósito único não eram
prosperam, as empresas continuam a sofrer as
considerados como potenciais alvos dos criminosos
consequências trazidas pelos ataques de malware
cibernéticos, mas se provaram altamente lucrativos
PDV. Empresas cujas redes foram violadas com
quando os ataques foram bem sucedidos. Isso
sucesso gastaram milhões de dólares para se livrar
pode sinalizar um maior interesse em outros
da ameaça e, no fim, recuperar a confiança de
tipos de equipamentos únicos, tais como sistemas
seus clientes. Embora os indivíduos e empresas
de controles industriais (ICS) e dispositivos
dos Estados Unidos tenham sido os que mais
relacionados a SCADA.38-41
sofreram com as ameaças PDV, os de outros países
como Canadá e Reino Unido também não foram
Para varejistas, hotéis, restaurantes e outros
poupados. Os Estados Unidos correm mais riscos
fornecedores de serviços que dependem muito de
de fraude de cartão de crédito devido à baixa
sistemas PDV no dia a dia, valerá a pena examinar
adoção da tecnologia EMW dentro do país.
os possíveis pontos de entrada que os agressores
podem aproveitar. Outra implicação é que essas
Em resposta, as maiores instituições financeiras
empresas não devem confiar apenas em tecnologias
em todo o mundo, inclusive American Express,
de controle de aplicação, que limitam a execução
Visa, MasterCard e Discover, começaram a passar a
de programas específicos nos sistemas PDV. Elas
responsabilidade do roubo de transação fraudulenta
também devem olhar para diferentes partes da
para os comerciantes, caso tais comerciantes não
rede que os agressores podem violar. Tecnologias
adotarem terminais de pagamento EMV. Soluções
que fornecem detecção avançada de ameaças e
como mudar para cartões com “chip e senha” ou
inteligência em tempo real podem aumentar as
EMV, juntamente com outras reformas, também
chances de detectar intrusões.
foram sugeridas. Apropriadamente implementado,
o uso do EMV pode tornar a fraude de cartão de
crédito significativamente mais difícil de ser
monetizada.
Heartbleed e Shellshock Provaram Que
Nenhuma Aplicação Era Invulnerável
Software e plataformas antes consideradas seguras provaram o contrário em 2014.
Apesar de ser verdade que o número de grandes
segurança que não foram corrigidas em software
explorações de dia-zero diminuiu em 2014 em
e plataformas amplamente usados continuaram a
comparação com anos anteriores, a gravidade das
ser exploradas para instigar ataques que deixaram
ameaças que surgiram não diminuiu.42 Brechas de
os alvos indefesos.
Linha do Tempo das Principais Vulnerabilidade de Dia-Zero em 2014
CVE-2014-0810
Sanshiro
CVE-2014-0322
JAN
Internet Explorer
CVE-2014-0498
FEV
CVE-2014-0499
Adobe Flash Player
MAR
Adobe Flash Player
CVE-2014-0502
ABR
CVE-2014-1761
Adobe Flash Player
CVE-2014-1776
Internet Explorer
CVE-2014-4113
Windows
CVE-2014-4148
MAI
JUN
JUL
AGO
SET
OUT
Windows
Microsoft Word
CVE-2014-0515
Adobe Flash Player
CVE-2014-4114
Windows
CVE-2014-6352
Windows
NOV
CVE-2014-3566
SSL 3.0
DEZ
CVE-2014-7247
Ichitaro
“Não importa quantas vulnerabilidades de dia-zero ou do tipo Heartbleed/Shellshock você possa ver,
você nunca deve esquecer que vulnerabilidades fundamentais nas aplicações Web, como SQL injection,
cross-site scripting (XSS), quebra de autenticação, e outras, ainda estão muito presentes. Elas são,
quase sempre, a razão por trás das grandes violações de dados que acontecem. Além disso, você
nunca deve esquecer que as boas práticas para controlar o acesso a dados: criptografá-los sempre
que possível, ter os produtos certos de segurança e blindar rapidamente contra vulnerabilidades.”
–Pawan Kinger
Diretor do Deep Security Labs
Aplicações inicialmente consideradas mais seguras
em risco. Se esses servidores forem atacados, seus
que as comumente exploradas permaneceram sem
proprietários podem sofrer efeitos incapacitantes.
patches durante anos até que duas das maiores
Os proprietários de servidores afetados podem ter
explorações já vistas vieram à tona. O Heartbleed
que gastar muito dinheiro pagando funcionários
e o Shellshock provaram que mesmo as aplicações
para corrigir sistemas vulneráveis. A aplicação dos
de código aberto, consideradas mais seguras
patches também pode interromper o sistema, o que
que as comerciais (como Windows , Adobe
pode implicar em perda de receita.
43
®
®
Java™), estavam vulneráveis às ameaças.
44
e
Eles
afetaram especialmente os sistemas Linux, o que
Iniciativas de código aberto podem se beneficiar
é preocupante já que 67,7% dos sites usam UNIX.
com um processo de revisão mais rigoroso, com o
Uma esmagadora maioria de supercomputadores,
objetivo de manter a garantia de qualidade como
que são principalmente usados em unidades de
parte do ciclo de vida do desenvolvimento de um
pesquisa, universidades e outros setores que
bom software. Por causa do impacto pervasivo desse
requerem uma capacidade computacional ultra
tipo de vulnerabilidade, as empresas e indivíduos
rápida, também usam o Linux.
afetados devem considerar tecnologias de proteção
45–46
de vulnerabilidades com recursos de “patches
O fato do Linux ser amplamente usado como
virtuais” para o software vulnerável antes que o
plataforma de servidor significa que o Heartbleed e o
fornecedor o faça.
Shellshock colocam enormes quantidades de dados
Comparação de Janelas de Exposição de Vulnerabilidades
de Alto Nível Divulgadas em 2014
BASH
(SHELLSHOCK)
OPENSSL
(HEARTBLEED)
MAIS DE 2 ANOS
MAIS DE 25 ANOS
1989
8 JUN, 1989
1994
Risco: MÉDIO
31 DEZ, 2011
Risco: CRÍTICO
1999
7 ABR, 2014
26 SET, 2014
Exposição: 9.241
2004
25 SET, 2014
2009
Exposição após
1° ataque:
1
Vulnerabilidade existente
2014
Exposição: 828
DESCONHECIDO
Exposição após
1° ataque:
DESCONHECIDO
Data do patch
Surgimento de exploit
Bancos Móveis e Online Enfrentaram os
Maiores Desafios de Segurança
A Operação Emmental mostrou que a autenticação de dois fatores não é mais suficiente para proteger transações sensíveis,
enquanto os cavalos de Troia bancários online e aplicativos móveis maliciosos continuam a ser um problema.
Operações bancárias online e por dispositivos
Número de Computadores Onde
Malware Bancário Online Foi
Encontrado em 2014
móveis decolaram em todo o mundo, especialmente
em países tecnologicamente avançados, mas os
passos para proteger as transações não puderam
acompanhar o ritmo.47 A autenticação de múltiplos
145K
150K
137K
fatores ainda não foi amplamente adotada.48 Até
mesmo os usuários ainda precisam entender o
112K
conceito de proteger suas transações financeiras.
102K
Muitos ainda caem em golpes de engenharia social
habilidosamente feitos para levá-los a fornecer
informações sensíveis, como seus números de
75K
conta, nomes de usuário ou senhas.
A conveniência que o banco online e móvel traz
vem com riscos. De fato, os criminosos cibernéticos
continuamente encontram formas para tentar
roubar dos clientes de bancos. Os golpistas por trás
0
1º Trim
2º Trim
3º Trim
4º Trim
de uma operação que chamamos de “Emmental”,
provaram que até a autenticação de dois fatores
pode ser contornada.49
Aumentos graduais mês a mês foram vistos no
número de malware bancário online durante o
último trimestre de 2014. Famosos malwares de
banco online como o ZeuS/ZBOT continuamente
enchem os bolsos dos criminosos cibernéticos
com milhões de dólares de dinheiro roubado.50
Eles foram constantemente melhorados durante
os anos para acompanhar os novos recursos de
segurança dos bancos online. E isso não deve
mudar, porque os usuários de banco móvel e online,
indivíduos e empresas, constantemente provam
ser alvos lucrativos para o crime cibernético.
“O malware que os agressores usaram
revelou uma fraqueza em estratégias de
proteção de token de sessão única. Bancos
e outras organizações que continuam a
usá-las estão expondo a si mesmos e seus
clientes a aplicativos móveis desonestos.
Defesas mais avançadas, que incluem o uso
de múltiplos números de autenticação de
transações (TANs), photo-TANs e leitores de
cartão, devem ser consideradas.”
—David Sancho, Feike
Hacquebord, e Rainer Link
Pesquisadores de Ameaças Seniores
Número Acumulados de Malware
para Android em 2014
Mas ameaças executadas em computadores não
foram as únicas que preocuparam os usuários de
banco online e móvel. Eles também tiveram que
5M
4.26M
ficar protegidos do malware móvel e aplicativos
de alto risco. Junto com a maior adoção de banco
móvel vieram mais aplicativos móveis falsos que
3.52M
tentam roubar não apenas credenciais bancárias
2.68M
dos usuários, mas também o dinheiro guardado
em suas contas. De fato, o número de malwares
2.5M
2.09M
e aplicativos de alto risco para o Android™
aumentou continuamente durante 2014. Apenas
para a plataforma do Android houve um aumento
de quatro vezes no número de malware relacionado
a banco ou finanças.
0
1º Trim
2º Trim
3º Trim
4º Trim
Número de Malware Financeiro/Bancário para Dispositivos Móveis
2.5K
2,069
1,721
1,466
1.25K
952
561
13
475
125
0
1º Trim
2013
2º Trim
3º Trim
4º Trim
1º Trim
2º Trim
3º Trim
4º Trim
2014
Observação: Aplicativos móveis relacionados a Banco/Finanças se referem a aplicativos maliciosos
que visam roubar informações financeiras de vítimas. Exemplos disso são aplicativos bancários
falsos.
Mas os usuários do Android não são os únicos em risco, já que ameaças ao iOS também surgiram no
ano passado. Alguns exemplos dessas ameaças foram o WireLurker e o Masque, que podiam infectar até
dispositivos sem jailbreak.
Contagem de Malware para iOS
10
9
7
5
5
4
1
1
1
MAR
ABR
0
OUT
2013
NOV
DEZ
JAN
FEV
MAI
JUN
JUL
AGO
SET
OUT
NOV
2014
Novas vulnerabilidades móveis como o FakeID e
que querem interceptar a comunicação banco-
o SOP também causaram arrepios à segurança em
cliente. As empresas em risco também devem ser
2014.51-52 Bugs como o FakeID podiam considerar
proativas e informar seus clientes sobre como
aplicativos móveis maliciosos como legítimos,
melhorar a segurança de seus computadores
podendo causar consequências desastrosas.
(através do uso de software de segurança e boas
práticas de gerenciamento de senha) caso elas
Empresas que acabam sendo vítimas de fraude
saibam de ataques que estão infligindo seus
bancária podem perder muito dinheiro se tiverem
correntistas ou de outros bancos.
que reembolsar o dinheiro roubado de clientes,
no caso de fraude qualificada. Pior ainda, podem
Para
perder a confiança de seus clientes se estes não
recomendação é baixar aplicativos apenas das lojas
sentirem que estão protegidos como deveriam.
oficiais e, mesmo assim, invista tempo verificando
53
usuários
de
dispositivos
móveis,
a
o desenvolvedor e lendo as análises do aplicativo
Bancos e outras instituições financeiras devem
antes de baixá-lo, seja para um dispositivo Android
pensar em autenticação de múltiplos fatores para
ou iOS.
colocar mais obstáculos contra os cibercriminosos
Ransomware se Tornou uma
Ameaça Maior e Mais Sofisticada
O Ransomware, ameaça que sequestra dados em busca de resgate, se espalha para mais regiões e setores. E, ao contrário de
variantes mais antigas, eles não apenas assustam as vítimas, mas realmente criptografam arquivos.
O
Ransomware,
agora
realmente
capaz
de
criptografar arquivos e manter as vítimas reféns,
ultrapassou fronteiras.54-57 Ele agora pode ser
“Embora
encontrado na Austrália e Nova Zelândia (ANZ)
novo, o CryptoLocker levou as táticas
depois de espalhar o caos na Europa, Oriente Médio,
amedrontadoras,
África e Japão. Variantes mais recentes da ameaça
mudaram: em vez de focar em um único segmento,
os agressores alvejam tanto consumidores como
pequenas empresas, indiscriminadamente.
não
apresentando
efetivamente
nada
usadas
anteriormente pelo ramsomware e ataques
de antivírus falsos, para um novo nível. A
maioria dos usuários conta hoje em dia com
bons antimalware, mas é importante notar
que a educação do usuário, atualização
regulares do software e politicas restritas
Apesar do número de ransomware ter diminuído
do uso do computador são cruciais contra o
de 2013 para 2014, as infecções relacionadas
CryptoLocker e ameaças similares.”
continuaram destrutivas. E enquanto o ransomware
–Jay Yaneza
tradicional, como o REVETON e o RANSOM,
Analista de Ameaças
dominou 2013 com 97% de participação, o “cryptoransomware” dominou a cena em 2014, já que sua
participação aumentou em 27,35%.
Número de Computadores onde o Ransomware Foi Encontrado, 2013 Versus 2014
100K
84K
50K
48K
15K
Número de
crypto-ransomware
2K
0
2013
2014
Número de Computadores Onde Ransomware Foi Encontrado por Trimestre
29K
30K
CryptoLocker surge
21K
20K
16K
15K
15K
11K
9K
9K
2º Trim
3º Trim
0
1º Trim
2º Trim
3º Trim
2013
4º Trim
1º Trim
4º Trim
2014
Distribuição por País de Detecções de Ransomware, 2013 Versus 2014
2013
2014
84K
48K
Estados Unidos
35,93%
Estados Unidos
41,81%
Japão
19,94%
Japão
16,11%
Alemanha
6,39%
Austrália
6,42%
Austrália
5,67%
Alemanha
3,98%
Turquia
3,19%
Turquia
3,35%
Itália
2,49%
Índia
2,51%
França
2,00%
Canadá
2,24%
Canadá
1,87%
França
2,19%
Filipinas
1,70%
Reino Unido
1,95%
Reino Unido
1,64%
Itália
1,85%
Outros
19,18%
Outros
17,59%
Distribuição de Família de Ransomware, 2013 Versus 2014
2013
2014
84K
48K
RANSOM
76,54%
REVETON
18,21%
CRILOCK
2,91%
MATSNU
1,79%
CRYPTOR
0,38%
Others
0,17%
RANSOM
REVETON
CRILOCK
KOVTER
CRYPWALL
MATSNU
CRIBIT
CRYPTOR
FINALDO
CRYPDEF
Others
Ransom
Crypto
32,12%
30,65%
12,29%
8,83%
5,17%
5,13%
1,98%
1,03%
0,88%
0,87%
1,05%
A participação de sistemas infestados pelo ransomware nos Estados Unidos, Austrália, Turquia, Índia,
Canadá, França e Reino Unido aumentou de 2013 para 2014.
Comparação de Distribuição por País de Detecções do Ransomware, 2013 Versus 2014
País
2013
País
2014
Mudança na Participação
Estados Unidos
35,93%
Estados Unidos
41,81%

Japão
19,94%
Japão
16,11%

6,42

Alemanha
3,98%

Alemanha
6,39%
Austrália
Austrália
5,6%
Turquia
3,19%
Turquia
3,35%

Itália
2,49%
Índia
2,51%

França
2,00%
Canadá
2,24%

Canadá
1,87%
França
2,19%

Filipinas
1,70%
Reino Unido
1,95%

Reino Unido
1,64%
Itália
1,85%

17,58%
Varia
Outros
19,18%
Outros
Buy Decryption
Decrypt Single File
free
FAQ
Support
Buy decryption and get all your files back
Buy decryption for 598 AUD before 2014-11-30 11:01:51 AM
OR buy it later with the price of 1199 AUD
Time left before price increase: 0
Your total files encrypted: 33976
Current price: 3.03347 BTC (around 1199 AUD)
Paid until now: 0 BTC (around 0 AUD)
Remaining amount: 3.03347 (around 1199 AUD)
BUY IT NOW! 100% files back guarantee
Buy Decryption with
1
Register bitcoin wallet
You should register Bitcoin wallet, see easy instructions or watch video on YouTube.
(Austrália)
Comprar descifrado
Descifrar un solor archivo
libre
Preguntas mas frecuentes
Apoyo
Comprar descifrado y restaurar los archivos
Comprar descifrado por 298 EUR antes de 2014-12-01 1:48:36 AM
O comprario mas tarde con el precio de 598 EUR
Tiempo restante antes de aumento de precios: 0
Numero de archivos cifrados: 33976
Precio actual: 2.07207 BTC (alrededor de 598 EUR)
Pagado: 0 BTC (alrededor de 0 EUR)
Restante a pagar: 3.03347 (alrededor de 598 EUR)
COMPRE YA! Garantia 100% de la restauracion de archivos
Comprar descifrado con
1
Registrar Bitcoin wallet
Usted debe registrarse Bitcoin wallet, ver ubstrucciones faciles or ver el video en YouTube.
(Espanha)
Acheter decryptage
Decrypter un Fincher
gratuit
FAQ
Soutien
Acheter decryptage et restaurer tous vos fichiers
Acheter decryptage pour 399 EUR avant le 2014-11-30 2:49:10 AM
OU acheter plus tard avec le prix de 799 EUR
Temps restant avant augmentation de prix: 0
Vos fichiers chiffres au total: 33976
Prix actual: 2.98826 BTC (environ 799 EUR)
Paye: 0 BTC (environ 0 EUR)
Restant a payer: 2.98826 (environ 799 EUR)
ACHETEZ-LE MAINTENANT! Garantie de 100% de la restauration de fichiers
Acheter Decryptage avec
1
Creer bitcoin portefeuille
Vous devez vous inscrire Bitcoin portefeuille, svoir les intructions faciles ou regarder des video sur YouTube.
(França)
Acquista decrittografia
Decrittografare File
libero
FAQ
Supporto
Acquista derittazione e ripristinare i file
Acquista decrittazione per 398 EUR prima 2014-11-30 2:45:35 AM
O acquistare in un secondo momento con il prezzo di 798EUR
Tempo rimasto prima aumento dei prezzi: 0
Numero di file crittografati: 16147
Prezzo corrente: 2.98452 BTC (circa 798 EUR)
Pagato: 0 BTC (environ 0 EUR)
Rimanendo a pagare: 2.98452 (circa 798 EUR)
Compralo Subito! 100% garanzia di ripristinare 1 file
Acquista decifratura con
1
Registrati bitcoin wallet
Si dovrebbe registrare Bitcoin waller, vedi semplici istruzioni o gurdare i video su YouTube.
(Itália)
Acquista decrittografia
Decrittografare File
libero
FAQ
Supporto
kaufen entschlusselung und wiederherstellung ihrer dateien
Kaufen Entschlusselung fur 398 EUR bevor 2014-11-30 2:45:35 AM
oder kaufen Sie es spater mit dem Preis von 798EUR
Verbleibende Zeit bis sum Preisansrieg: 0
Anzhal von verschlusselten Dateien: 16147
Aktueller Preis: 2.89674 BTC (rund 798 EUR)
Bezhalt: 0 BTC (rund 0 EUR)
Verbleibende zu zahlen: 2.89674 (rund 798 EUR)
KAUFE ES JETZT! 100% Garantie der Wiederherstellung von Datein
Kaufen Entschlusselung mit
1
Registrieren Bitcoin Wallet
Sie solten Bitcoin Wallet registrieren, siehe einfachen Anweisungen oder Videos absielen auf YouTube.
(Alemanha)
Distribuição de Ransomware por Segmento , 2013 Versus 2014
2013
2014
2013
2014
Usuários Domésticos
71,51%
69,75%
Pequenas Empresas
9,61%
11,66%
18,88%
18,59%
Médias e Grandes Empresas
Um aumento no número de infecções de
também evoluiu para garantir o anonimato de seus
ransomware durante o final de 2014 também foi
operadores, exigindo que suas vítimas paguem em
visto no cenário de dispositivos móveis. Além
Bitcoins e outras criptomoedas.
da ampliação da base de alvos, o ransomware
Contagem de Ransomware em Dispositivos Móveis
300
276
150
79
72
33
9
9
9
MAI
JUN
JUL
29
0
AGO
SET
OUT
NOV
DEZ
Infelizmente para os usuários domésticos e
funcionários
que
encontram
ransomware,
a
prevenção é o único caminho para evitar que
tenham que pagar o resgate. É importante ter em
mente as seguintes dicas:
•
Evite clicar em links suspeitos.
•
Faça backup de dados importantes usando a
regra 3-2-1.58
•
Verifique o remetente do email.
•
Cheque duas vezes o conteúdo da mensagem.
•
Garanta que o software de segurança esteja
atualizado.
Agentes de Ameaças e Economias do
Cibercrime Continuaram a Prosperar
no Mundo Todo
Os agentes de ameaças não estão mais associados a um só país, como mostrado por ataques direcionados como a Operação
Pawn Storm.
Temos
monitorado
o
desenvolvimento
da
De um lado estão fornecedores de produtos e
economia do submundo do crime cibernético para
serviços – desenvolvedores blackhat de criadores
entender melhor suas motivações. Sem surpresa,
de cavalos de Troia e ferramentas de distribuição de
o lucro financeiro é a maior e única força motora
negação de serviço (DDoS), além de proprietários
dos diferentes hubs cibercriminosos brotando em
de enormes depósitos de cartões de crédito –
todo o mundo. Como em qualquer economia em
enquanto no outro lado estão os compradores,
desenvolvimento do mundo real, o submundo
com necessidades específicas, que podem escolher
cibercriminoso prospera melhorando sempre, com
entre diferentes fornecedores. Ao longo dos anos,
especializações e atividades relacionadas à criação
os preços de diferentes produtos e serviços do
e gestão de operações do cibercrime.
submundo têm sido influenciados pelas leis de
mercado – conforme o suprimento aumenta, os
preços diminuem.
Preços de Cartão de Crédito no Submundo do Cibercrime Russo, por Ano
US$10
2012
2013
2014
USA US$2,50
US$1,00
US$1,00
US$2,50
AUS
US$7,00
US$5,00
US$4,00
US$4,50
CAN US$5,00
US$5,00
US$6,00
US$4,00
ALE
US$9,00
US$7,00
US$9,00
US$3,00
UK
US$7,00
US$8,00
US$5,00
US$4,50
2011
US$5
0
2011
2012
2013
2014
Embora existam vários pontos em comum entre
que apreendeu 17 supostos operadores.59 As
os
criptomoedas
mercados
do
submundo
cibercriminoso,
também
tiveram
um
grande
cada um tende a se desenvolver de maneiras
papel na Deep Web e, em 2014, vimos uma nova
ligeiramente diferentes. O submundo russo, por
criptomoeda chamada “Cloakcoins”, cuja cadeia
exemplo, é famoso por comercializar sistemas de
de transação é completamente impossível de ser
direção de tráfego (TDSs) e serviços “pague-por-
rastreada, diferentemente dos Bitcoins.60
instalação” – modelos de negócios que levam
ao aumento do volume de grayware e adware
Mesmo no mundo clandestino dos ataques
nos computadores das vítimas, juntamente com
direcionados, o surgimento de atores internacionais
comissões. O submundo cibercriminoso chinês,
foi evidente. Enquanto os cibercriminosos buscam
entretanto, é muito mais focado em fraudes no
principalmente o lucro monetário, os criadores
setor de mobilidade, com
instalações em hardware
que podem mandar spam
de SMS para milhares
de
vítimas
potenciais
em menos de uma hora.
Finalmente, o submundo
brasileiro
é
conhecido
por phishing em bancos,
e mais notavelmente, por
um curso em dez módulos
de
treinamento
para
comu-
cibercrimino-
Pesquisadores de Ameaças Seniores
a
cometer
fraude.
A
maioria
nicações
“A Operação Pawn Storm usou táticas
avançadas de spear-phishing para obter
credenciais de emails de, principalmente,
militares, embaixadas e fornecedores de
defesa dos Estados Unidos e seus aliados.
Os agentes de ameaças usaram uma
combinação de emails de spear-phishing
e serviços de sites de email phishing,
desenvolvidos
especialmente
para
obter acesso aos emails das vítimas na
esperança de conseguir melhores pontos
de apoio dentro das organizações.”
—Loucif Kharouni, Feike
Hacquebord, Numaan Huq,
Jim Gogolinski, Fernando
Mercês, Alfred Remorin,
e Douglas Otis
aspirantes a criminosos
aprenderem
de ameaças perceberam
das
o valor de roubar dados
corporativos, propriedade
intelectual
e
outros
segredos
comerciais.
A diversidade de alvos
e
locais
de
ataques
direcionados
não
sugerem um único player
dominante quando se trata
de espionagem. Alvos tão
diversos como empresas
de
telecomunicação,
indústrias,
e
empresas
governos
de
mídia
continuaram a ser vistos.
Campanhas
Regin
como
visavam
a
vítimas
sas na superfície da Web
na Bélgica; a Operação
é
bem
Pawn Storm, nos Estados
escondida através do uso
Unidos, Hungria e Áustria;
relativamente
de fóruns ou postagens criptografadas na mídia
e a Plead, em Taiwan.
social. Porém, como o anonimato é um fator
muito importante para a longevidade dos negócios
Empresas avaliando seus níveis de risco devem
do cibercrime, o uso de darknets na Deep Web
levar em conta todos os possíveis tipos de invasores,
também se tornou importante. Depois da remoção
em todo o planeta. Conforme o cibercrime se torna
do Silkroad em 2013, de fato, esperava-se que
mais atraente para os inescrupulosos, e com os
muitos tentariam tomar o lugar do Dread Pirate
ataques direcionados se tornando mais fáceis
Roberts. Diferentes “marketplaces” surgiram em
de criar, a pressão para reavaliar a amplitude
2014, enquanto agentes legais brincavam de gato
e a qualidade dos investimentos em segurança
e rato com sites impossíveis de se achar, como em
cibernética só deve se intensificar.
uma operação chamada de ”Operation Onymous”,
O Volume Geral de Ameaças Diminui
mas o Phishing Quase Dobra
A telemetria da Trend Micro Smart Protection Network mostrou uma diminuição geral do volume dos componentes de ameaça
como domínios maliciosos e spam, mas o malware continuou a ser uma ferramenta importante nas operações cibercriminosas.
Os sites de phishing quase dobraram de número esse ano.
Qualidade ao invés de quantidade foi um tema
marcante no cenário de ameaças de 2014, conforme
indicado pelo volume geral de componentes
maliciosos que identificamos e bloqueamos durante
todo o ano. Ameaças da web permaneceram, em
grande parte, multicomponentes por natureza.
Porém, como os eventos de segurança provaram, os
agressores continuaram a refinar suas estratégias,
mesmo não sendo originais, para obter não
somente mais vítimas, mas também, vítimas mais
interessantes
Número de Consultas de Reputação de
Emails Bloqueadas como Spam
80B
69B
67B
50B
40B
0
Bloquear endereços de IP de remetentes de spam
é fundamental para interromper as sequências
de infecção. Emails enviados descuidadamente
para listas enormes de emails continuaram
fazendo parte do cenário de ameaças, embora
como ruído de fundo. Os filtros de spam da Trend
Micro conseguiram eliminá-los facilmente, já que
detectamos 50 bilhões de consultas de reputação de
email – ligeiramente menor que os números vistos
em 2012 e 2013, mas ainda bastante significativos
– como sendo spam.
Também conseguimos bloquear spam com
base no conteúdo, juntamente com a reputação
do remetente. Usando os dados coletados dos
produtos de segurança de mensagens da Trend
Micro, o volume de spam tendeu a ficar estável,
com uma ligeira subida no terceiro trimestre de
2014.
2012
2013
2014
Volume de Spam Bloqueado pelos
Produtos de Mensagem
11T
12T
9T
8T
8T
6T
0
1º Trim
2º Trim
3º Trim
4º Trim
Observação: Esse conjunto de dados veio do feedback
do produto de mensagens da Trend Micro.
10 Principais Idiomas de Spam em 2013 e 2014
2013
2014
Inglês
87,14%
Chinês
2,36%
Alemão
3,29%
Japonês
1,84%
Japonês
1,87%
Alemão
1,48%
Chinês
1,84%
Russo
1,20%
Russo
0,85%
Português
0,28%
Português
0,41%
Espanhol
0,21%
Polonês
0,37%
Islandês
0,12%
Espanhol
0,32%
Italiano
0,10%
Francês
0,29%
Francês
0,10%
Italiano
0,12%
Outras
5,17%
Outras
4,80%
Inglês
85,84%
O inglês continuou sendo a língua preferida dos
remetentes de spam, embora sua participação
tenha diminuído em geral, de 87,14% em 2013.
Isso significa que vimos um pouco mais de spam
em outros idiomas em 2014. Entre estes, os
escritos em alemão ficaram no topo da lista, acima
do chinês e japonês
Principais Países Remetentes de Spam, 2013 Versus 2014
2013
2014
Estados Unidos
9,91%
Estados Unidos
8,37%
Espanha
6,29%
Espanha
7,89%
Índia
6,26%
Argentina
6,35%
Argentina
5,37%
Itália
5,00%
Itália
4,87%
Alemanha
4,84%
Taiwan
4,38%
Vietnã
4,27%
Colômbia
3,69%
Irã
3,95%
China
3,53%
China
3,90%
Peru
3,53%
Rússia
3,58%
México
3,29%
Colômbia
3,19%
Outros
48,88%
Os Estados Unidos e a Espanha foram os
remetentes de spam mais ativos, como em 2013,
apesar de participações relativamente menores.
Um aumento no volume de spam foi visto na
Espanha, Alemanha, Itália e Irã, o que pode ter
contribuído na distribuição de línguas de spam em
2014.61
Os remetentes de spam também utilizaram
outros canais em 2014, como sites de rede social,
com o mesmo objetivo: conseguir o máximo de
cliques valiosos possíveis. Por exemplo, na nossa
investigação do abuso do Twitter, vimos como
os agressores podem usar as plataformas de
rede social para atrair as pessoas.62 Programas
de webmail também ajudaram os remetentes de
spam a passarem pelos filtros de spam, porque
as comunicações de rede foram provavelmente
criptografadas.
Outros
48,66%
Essa é exatamente a razão pela qual a capacidade
de bloquear URLs maliciosas, endereços de IP
e domínios é fundamental para o arsenal de
segurança de uma grande empresa. Caso um spam
passe pelo filtro ou use mídia social ou webmail, a
tecnologia de bloqueio de URL deve ser capaz de
identificar o clique de um usuário bem antes que
ele acesse uma locação remota maliciosa.
URLs podem servir como páginas de entrega de
phishing, redirecionadores, locações de download
de malware e, assim, são o sangue vital de qualquer
operação cibercriminosa. Em 2014, conseguimos
bloquear quase 4 bilhões de consultas de usuários
a sites maliciosos (até 7.000 cliques por minuto).
Visitas de Usuários Impedidas de Acessar Sites Maliciosos
4.99B
4.87B
5B
3.82B
2.5B
0
2012
2013
2014
Apesar do que parece ser um declínio no número
criação em massa de novos domínios com registro
de sites maliciosos, o volume de sites de phishing
de um ano é fácil, e tão ou mais barata que renovar
continua a crescer. Observamos um aumento de
um domínio. A criação de sites e templates de sites
88,65% no número de sites de phishing em 2014. A
prontos também estão disponíveis no submundo.
Volume de Fontes de Phishing, 2013 Versus 2014
4M
3.74M
2M
1.98M
0
2013
2014
Entre as URLs que bloqueamos, as principais eram
relacionadas a sites maliciosos conhecidos por
entregar malware.
Principais Domínios Maliciosos Que os Usuários Foram Impedidos de Acessar em 2014
URL Maliciosa Bloqueada
Motivo do Bloqueio
ads.alpha00001.com:80/cgi-bin/advert/getads.cgi
Tem vários registros relacionados a
sites de spam/download de malware
ody.cc:80/vip48.html
Tem vários registros relacionados a
sites de spam/download de malware
interyield.jmp9.com:80/interyield/bindevent.do
Exibe comportamentos maliciosos
directxex.com:80/uploads/698118324.server.exe
Relacionado ao WORM_AUTORUN.BMC
flyclick.biz:80/click
Usado em exploit kits
sp-storage.spccint.com:80/autoupdate/2.11.11.7/autoupdate.zip
upload.mobogenie.com:80/mu/release/mobogenie2.2.1.zip
Detectado como ADW_NEXTLIVE
www. advconversion.com:80/ads-conversiontrack/conversion/set.do
ads.alpha00001.com:80/cgi-bin/advert/getkws.cgi
ody.cc:80/vip53.html
Como em 2013, os Estados Unidos tiveram o
ou agressores não residem necessariamente nos
maior número de servidores C&C relacionados a
ditos países, já que os servidores C&C podem ser
atividades de botnets, seguido pelo Reino Unido
gerenciados remotamente.
e Índia. Note, porém, que os agentes de ameaças
Distribuição por País de Servidores C&C em 2014
Estados Unidos
Reino Unido
21,08%
9,45%
Índia
Brasil
6,11%
3,14%
Irã
Alemanha
Rússia
2,94%
2,86%
2,85%
Ucrânia
2,63%
Holanda
Romênia
Outros
2,60%
2,47%
43,87%
Distribuição por País de Conexões C&C em 2014
Estados Unidos
Japão
Índia
Austrália
Taiwan
França
Alemanha
Malásia
Itália
Indonésia
Outros
Computadores
zumbis
foram
20,04%
18,99%
6,20%
6,17%
5,84%
5,66%
5,37%
5,27%
3,05%
2,17%
21,24%
amplamente
pode ser malicioso ou não com base na reputação
distribuídos em todos os países, mas os Estados
da fonte, em seu conteúdo ou comportamento.
Unidos, o Japão e a Índia estão no topo da lista.
Em 2014, a Trend Micro bloqueou 10 bilhões de
solicitações de acesso ou de download de arquivos
Caso os filtros de spam e URL falhem no bloqueio
maliciosos, quase o dobro do número registrado
das ameaças, as soluções de segurança devem ser
em 2013. Cerca de 21.000 consultas de reputação
capazes de identificar se um arquivo desconhecido
de arquivos por minuto se mostraram maliciosas.
Número de Arquivos Maliciosos Bloqueados
10.96B
12B
6.28B
6B
2.06B
0
2012
2013
2014
O DOWNAD continuou a ser a ameaça que
mais infecta grandes empresas. Isso pode ser
atribuído ao fato de que várias empresas ainda
usam o Windows® XP, vulnerável a essa ameaças,
especialmente desde que a Microsoft parou de dar
suporte ao SO.
Conforme os ataques, ferramentas e táticas dos
agressores continuam a melhorar, as grandes
empresas devem garantir o uso de soluções de
multicamadas que podem capturar melhor as
ameaças antes que estas cheguem aos endpoints
do usuário.
Principais Malware e Adware no 4º Trimestre de 2014
Malware
Adware
100K
300K
299K
96K
246K
80K
67K
50K
150K
119K
0
0
SALITY
DOWNAD
GAMARUE
ADW_
ADW_
OPENCANDY INSTALLCORE
ADW_
SSEARCH
Computadores Afetados por Malware
Médias e Grandes Empresas
60K
Pequenas Empresas
12K
59K
40K
11K
35K
30K
33K
0
40K
8K
6K
5K
0
DOWNAD
Domicílio
DUNIHI
SALITY
39K
23K
20K
0
DOWNAD
SALITY
VOBFUS
GAMARUE
SALITY
VIRUX
FAMÍLIA DE
MALWARE/ADWARE
DANO
POTENCIAL
COMPORTAMENTO
ADW_INSTALLCORE
Pacote de ferramentas gratuitas
Médio
ADW_OPENCANDY
Agrupados com pacotes de malware como um
componente
Médio
ADW_SSEARCH
Bundled with malware packages as a component
Baixo
Worm com múltiplas rotinas para se espalhar, bloqueia
acesso a sites de fornecedores de segurança, baixa
malwre
Crítico
DOWNAD
DUNIHI
Worm que chega via sites de spam ou maliciosos,
transforma o computador em bots
Médio
GAMARUE
Worm, transforma o computador em bots, se espalha
através de arquivos em links, arquivos escondidos
Médio
SALITY
Infectador de arquivo, se espalha infectando arquivos
.EXE e .SCR e unidades removíveis, baixador
Alto
Infectador de arquivo baixado de sites crack-download,
se espalha infectando vários tipos de arquivos, baixa
FAKEAV, etc.
Alto
VIRUX
VOBFUS
Worm, usa auto-execução para infectar drives, baixa
FAKEAV, etc., polimórfico
Alto
Número Total de Ameaças Bloqueadas
Taxas Anuais de Detecção
80B
2,546
80B
2,600/s
2,337
74B
2,065
65B
1,300/s
40B
0
0
2012
2013
2014
2012
2013
2014
Referências
1.
Trend Micro Incorporated. (2013). Trend Micro Security News.
“Blurring Boundaries: Trend Micro Security Predictions for 2014 and Beyond.” Último acesso em 29 de janeiro, 2015,
http://about-threats.trendmicro.com/us/security-predictions/2014/blurring-boundaries/.
2.
Lewis Morgan. (23 de dezembro, 2014). IT Governance.
“List of Cyber Attacks and Data Breaches in 2014.” Último acesso em 29 de janeiro, 2015,
http://www.itgovernance.co.uk/blog/list-of-the-hacks-and-breaches-in-2014/.
3.
Trend Micro Incorporated. (2014) Trend Micro Security News.
“Turning the Tables on Cyber Attacks.” Último acesso em 9 de fevereiro, 2015,
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt-turning-the-tables-on-cyber-attacks.pdf.
4.
“Report and Response Regarding Leakage of Customers’ Personal Information.” (10 de setembro, 2014). Último acesso em 17 de
fevereiro, 2015,
http://blog.benesse.ne.jp/bh/en/ir_news/m/2014/09/10/uploads/news_20140910_en.pdf.
5.
Trend Micro Incorporated. (8 de dezembro, 2014). Trend Micro Security News.
“The Hack of Sony Pictures: What We Know and What You Need to Know.” Último acesso em 29 de janeiro, 2015,
http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/the-hack-of-sony-pictures-what-you-need-to-know.
6.
Reuters. (9 de dezembro, 2014). Fortune.
“Cyber Attack Could Cost Sony Studio as Much as $100 Million.” Último acesso em 29 de janeiro, 2015,
http://fortune.com/2014/12/09/cyber-attack-could-cost-sony-studio-as-much-as-100-million/.
7.
Steve Tobak. (18 de dezembro, 2014). Fox Business.
“3 Revelations from the Sony Hack.” Último acesso em 29 de janeiro, 2015,
http://www.foxbusiness.com/technology/2014/12/18/revelations-from-sony-hack/.
8.
Andrea Peterson. (5 de dezembro, 2014). The Washington Post.
“Why It’s So Hard to Calculate the Cost of the Sony Pictures Hack.” Último acesso em 29 de janeiro, 2015,
http://www.washingtonpost.com/blogs/the-switch/wp/2014/12/05/why-its-so-hard-to-calculate-the-cost-of-the-sony-pictures-hack/.
9.
The Associated Press and Bloomberg. (18 de dezembro, 2014). TheStar.com.
“Sony Hacker Attack Will Cost Company Tens of Millions of Dollars.” Last accessed on 29 January 2015,
http://www.thestar.com/business/2014/12/18/sony_hacker_attack_will_cost_company_tens_of_millions_of_dollars.html.
10. Adam Clark Estes. (9 de dezembro, 2014). Gizmodo.
“Why Sony Keeps Getting Hacked.” Último acesso em 29 de janeiro, 2015,
http://gizmodo.com/why-sony-keeps-getting-hacked-1667259233.
11. Trend Micro Incorporated. (22 de dezembro, 2014). Simply Security.
“The Reality of the Sony Pictures Breach.” Último acesso em 29 de janeiro, 2015,
http://blog.trendmicro.com/reality-sony-pictures-breach/.
12. Masayoshi Someya. (18 de agosto, 2014). TrendLabs Security Intelligence Blog.
“Risks from Within: Learning from the Amtrak Breach.” Último acesso em 29 de janeiro, 2015,
http://blog.trendmicro.com/trendlabs-security-intelligence/risks-from-within-learning-from-the-amtrak-data-breach/.
13. Jim Gogolinski. (9 de dezembro, 2014). TrendLabs Security Intelligence Blog.
“Insider Threats 101: The Threat Within.” Último acesso em 29 de janeiro, 2015,
http://blog.trendmicro.com/trendlabs-security-intelligence/insider-threats-101-the-threat-within/.
14. Rich Trenholm. (8 de dezembro, 2014). CNET.
“Sony Hacked Again, This Time the PlayStation Network.” Último acesso em 29 de janeiro, 2015,
http://www.cnet.com/uk/news/sony-hacked-again-this-time-the-playstation-store/.
15. Trend Micro Incorporated. (5 de dezembro, 2014). TrendLabs Security Intelligence Blog.
“WIPALL Malware Leads to #GOP Warning in Sony Hack.” Último acesso em 29 de janeiro, 2015,
http://blog.trendmicro.com/trendlabs-security-intelligence/wipall-malware-leads-to-gop-warning-in-sony-hack/.
“MBR Wiper Attacks Strike Korean Power Plant.” Último acesso em 29 de janeiro, 2015,
http://blog.trendmicro.com/trendlabs-security-intelligence/mbr-wiper-attacks-strike-korean-power-plant/.
17. Trend Micro Incorporated. (25 de setembro, 2014). Trend Micro Security News.
“Utilizing Island Hopping in Targeted Attacks.” Último acesso em 17 de fevereiro, 2015,
http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/utilizing-island-hopping-in-targeted-attacks.
“An Analysis of the ‘Destructive’ Malware Behind FBI Warnings.” Último acesso em 29 de janeiro, 2015,
http://blog.trendmicro.com/trendlabs-security-intelligence/an-analysis-of-the-destructive-malware-behind-fbi-warnings/.
19. Bryant Tan. (14 de setembro, 2014). TrendLabs Security Intelligence Blog.
“The Easy-to-Miss Basics of Network Defense.” Último acesso em 30 de janeiro, 2015,
http://blog.trendmicro.com/trendlabs-security-intelligence/the-easy-to-miss-basics-of-network-defense/.
20. Ziv Chang. (14 de agosto, 2014). TrendLabs Security Intelligence Blog.
“7 Places to Check for Signs of a Targeted Attack in Your Network.” Último acesso em 30 de janeiro, 2015,
http://blog.trendmicro.com/trendlabs-security-intelligence/7-places-to-check-for-signs-of-a-targeted-attack-in-your-network/.
21. Target Brands, Inc. (10 janeiro, 2014). Target.com.
“Target Provides Update on Data Breach and Financial Performance.” Último acesso em 30 de janeiro, 2015,
http://pressroom.target.com/news/target-provides-update-on-data-breach-and-financial-performance.
22. Karen Katz. (15 de junho, 2014). Nieman Marcus.
“To Our Loyal Nieman Marcus Group Customers.” Último acesso em 30 de janeiro, 2015,
http://www.neimanmarcus.com/en-tw/NM/Security-Info/cat49570732/c.cat.
23. White Lodging Services, Inc. (3 de fevereiro, 2014). White Lodging.
“Resources and Information for Guests.” Último acesso em 30 de janeiro, 2015,
http://www.whitelodging.com/about/payment-card-issues.
24. Sally Beauty Holdings, Inc. (17 de Março, 2014). Sally Beauty Holdings, Inc.
“Sally Beauty Data Incident.” Último acesso em 30 de janeiro, 2015,
https://sallybeautyholdings.com/questions-and-answers.aspx.
25. Chuck Rubin. (17 de abril, 2014). Michaels.
“A Letter from Our CEO.” Último acesso em 30 de janeiro, 2015,
http://www.michaels.com/payment-card-notice-ceo-letter/payment-card-notice-CEO.html.
26. P.F. Chang’s. (4 de agosto, 2014). P.F. Chang’s.
“P.F. Chang’s Security Compromise Update.” Último acesso em 30 de janeiro, 2015,
http://pfchangs.com/security/.
27. Charlene Sarmiento. (2 de setembro, 2014). Goodwill.
“Goodwill Provides on Data Security Issue.” Último acesso em 30 de janeiro, 2015,
http://www.goodwill.org/press-releases/goodwill-provides-update-on-data-security-issue/.
28. Homer TLC, Inc. (6 de novembro, 2014). The Home Depot.
“The Home Depot Reports Findings in Payment Data Breach Investigation.” Último acesso em 30 de janeiro, 2015,
https://corporate.homedepot.com/MediaCenter/Documents/Press%20Release.pdf.
29. Jimmy John’s. (24 de setembro, 2014). Jimmy John’s.
“Jimmy John’s Notifies Customers of Payment Card Security Incident.” Último acesso em 30 de janeiro, 2015,
https://www.jimmyjohns.com/datasecurityincident/index.html.
30. Alasdair James. (10 de outubro, 2014). Kmart.
“Kmart Investigating Payment System Breach.” Último acesso em 30 de janeiro, 2015,
http://www.kmart.com/en_us/dap/statement1010140.html.
31. John Gainor. (9 de outubro, 2014). DQ.
“Data Security Incident.” Último acesso em 30 de janeiro, 2015,
http://www.dq.com/us-en/datasecurityincident/?localechange=1&.
32. SP Plus Corporation. (28 de novembro, 2014). SP+.
“SP+ Acts to Block Payment Card Security Incident.” Último acesso em 30 de janeiro, 2015,
http://www.spplus.com/sp-acts-block-payment-card-security-incident/.
33. Brian Krebs. (4 de dezembro, 2014). Krebs on Security.
“Banks: Credit Card Breach at Bebe Stores.” Último acesso em 30 de janeiro, 2015,
http://krebsonsecurity.com/2014/12/banks-credit-card-breach-at-bebe-stores/.
34. Park ’n Fly. (13 de janeiro, 2015). Park ’n Fly.
“Park ’n Fly Notifies Customers of Data Security Compromise.” Último acesso em 30 de janeiro, 2015,
http://www.pnf.com/security-update/.
35. CFA Properties, Inc. (2 de janeiro, 2015). Chik-fil-A.
“Information and Resources Related to Investigation of Potential Data Breach at Chick-fil-A.” Último acesso em 30 de janeiro, 2015,
http://press.chick-fil-a.com/Pressroom/LatestNews/PressDetail/databreach.
36. Trend Micro Incorporated. (2014) Trend Micro Security News.
“PoS RAM Scraper Malware: Past, Present, and Future.” Último acesso em 9 de fevereiro, 2015,
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-pos-ram-scraper-malware.pdf.
37. Trend Micro Incorporated. (2014). Trend Micro Security News.
“The Evolution of PoS Malware.” Último acesso em 30 de janeiro, 2015,
http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/the-evolution-of-point-of-sale-pos-malware.
38. American Express Company. (29 de junho, 2012). American Express.
“American Express Announces U.S. EMV Roadmap to Advance Contact, Contactless, and Mobile Payments.”
Último acesso em 30 de janeiro, 2015,
http://about.americanexpress.com/news/pr/2012/emv_roadmap.aspx.
39. Visa. (9 de agosto, 2011). Visa.
“Visa Announces U.S. Participation in Global Point-of-Sale Counterfeit Liability Shift.” Último acesso em 30 de janeiro, 2015,
http://usa.visa.com/download/merchants/bulletin-us-participation-liability-shift-080911.pdf.
40. MasterCard. (2015). MasterCard.
“The Next Generation of Payments Comes to the United States.” Último acesso em 30 de janeiro, 2015,
http://www.mastercard.us/mchip-emv.html.
41. DFS Services LLC. (12 de novembro, 2012). Discover.
“Discover Announces Next Steps for EMV Deployment Across the Globe.” Último acesso em 30 de janeiro, 2015,
http://blog.discovernetwork.com/stories/news/discover-announces-next-steps-for-emv-deployment-across-the-globe/.
42. Pawan Kinger. (14 de janeiro, 2015). TrendLabs Security Intelligence Blog.
“Remembering the Vulnerabilities of 2014.” Último acesso em 30 de janeiro, 2015,
http://blog.trendmicro.com/trendlabs-security-intelligence/remembering-the-vulnerabilities-of-2014/.
43. Pavan Thorat and Pawan Kinger. (25 de setembro, 2014). TrendLabs Security Intelligence Blog. “Bash Vulnerability Leads to
Shellshock: What It Is, How It Affects You.” Último acesso em 30 de janeiro, 2015, http://blog.trendmicro.com/trendlabs-securityintelligence/shell-attack-on-your-server-bash-bug-cve-2014-7169-and-cve-2014-6271/.
44. Pawan Kinger. (8 de abril, 2014). TrendLabs Security Intelligence Blog.
“Skipping a Heartbeat: The Analysis of the Heartbleed OpenSSL Vulnerability.” Último acesso em 30 de janeiro, 2015,
http://blog.trendmicro.com/trendlabs-security-intelligence/skipping-a-heartbeat-the-analysis-of-the-heartbleed-openssl-vulnerability/.
45. W3TECHS.com. (29 de janeiro, 2015). W3 Techs.
“Usage of Operating Systems for Websites.” Último acesso em 30 de janeiro, 2015,
http://w3techs.com/technologies/overview/operating_system/all.
46. TOP500.org. (29 de janeiro, 2015). Top 500.
“Development Over Time.” Último acesso em 30 de janeiro, 2015,
http://www.top500.org/statistics/overtime/.
47. MEF. (24 de janeiro, 2014). MEF Minute.
“Mobile Payments Driving Global M-Commerce Adoption.” Último acesso em 30 de janeiro, 2015,
http://mefminute.com/2014/01/24/mobile-payments-driving-global-m-commerce-adoption/.
48. Martin C. Libicki, Edward Balkovich, Brian A. Jackson, Rena Rudavsky, and Katharine Watkins Webb. (2015). RAND Corporation.
“Influences on the Adoption of Multifactor Authentication.” Último acesso em 30 de janeiro, 2015,
http://www.rand.org/pubs/technical_reports/TR937.html.
49. David Sancho. (22 de julho, 2014). TrendLabs Security Intelligence Blog.
“Finding Holes in Banking Security: Operation Emmental.” Último acesso em 30 de janeiro, 2015,
http://blog.trendmicro.com/trendlabs-security-intelligence/finding-holes-operation-emmental/.
50. Brian Krebs. (2 de junho, 2014). Krebs on Security.
“‘Operation Tovar’ Targets ‘Gameover’ ZeuS Botnet, CryptoLocker Scourge.” Último acesso em 30 de janeiro, 2015,
http://krebsonsecurity.com/2014/06/operation-tovar-targets-gameover-zeus-botnet-cryptolocker-scourge/.
51. Simon Huang. (12 de agosto, 2014). TrendLabs Security Intelligence Blog.
“The Dangers of the Android FakeID Vulnerability.” Último acesso em 30 de janeiro, 2015,
http://blog.trendmicro.com/trendlabs-security-intelligence/the-dangers-of-the-android-fakeid-vulnerability/.
52. Simon Huang. (26 de dezembro, 2014). TrendLabs Security Intelligence Blog.
“Facebook Users Targeted by Android Same Origin Policy Exploit.” Último acesso em 30 de janeiro, 2015,
http://blog.trendmicro.com/trendlabs-security-intelligence/facebook-users-targeted-by-android-same-origin-policy-exploit/.
53. EY. (2014). EY.
“Global Commercial Banking Survey 2014: Advancing Service in a Digital Age.” Último acesso em 30 de janeiro, 2015,
http://www.ey.com/Publication/vwLUAssets/EY-global-commercial-banking-survey-2014/$FILE/EY-global-commercial-banking-survey-2014.pdf.
54. Luis Raul Parra. (5 de dezembro, 2014). TrendLabs Security Intelligence Blog.
“Crypto-Ransomware Goes Local in EMEA Region.” Último acesso em 30 de janeiro, 2015,
http://blog.trendmicro.com/trendlabs-security-intelligence/crypto-ransomware-goes-local-in-emea-region/
55. Joseph C. Chen. (21 de outubro, 2014). TrendLabs Security Intelligence Blog.
“TorrentLocker Run Hits Italian Targets.” Último acesso em 30 de janeiro, 2015,
http://blog.trendmicro.com/trendlabs-security-intelligence/torrentlocker-run-hits-italian-targets/.
56. Paul Pajares and Christopher Ke. (11 de janeiro, 2015). TrendLabs Security Intelligence Blog.
“TorrentLocker Ransomware Hits ANZ Region.” Último acesso em 30 de janeiro, 2015,
http://blog.trendmicro.com/trendlabs-security-intelligence/torrentlocker-ransomware-hits-anz-region/.
57. Rhena Inocencio. (24 de março, 2014). TrendLabs Security Intelligence Blog.
“Ransomware and Bitcoin Theft Combine in BitCrypt.” Último acesso em 30 de janeiro, 2015,
http://blog.trendmicro.com/trendlabs-security-intelligence/ransomware-and-bitcoin-theft-combine-in-bitcrypt/.
58. Jonathan Leopando. (2 de abril, 2014). TrendLabs Security Intelligence Blog.
“World Backup Day: The 3-2-1 Rule.” Último acesso em 30 de janeiro, 2015,
http://blog.trendmicro.com/trendlabs-security-intelligence/world-backup-day-the-3-2-1-rule/.
59. Caleb Chen. (6 de novembro, 2014). Cryptocoinsnews.
“Operation “ONYMOUS” Also Shut Down Dark Net Markets Cloud 9 Hydra and Maybe More.” Último acesso em 30 de janeiro,
2015, https://www.cryptocoinsnews.com/operation-onymous-also-shut-down-deep-net-markets-cloud-9-hydra-and-more/.
60. Cloakcoin.com (30 de novembro, 2014). Cloakcoin.
Último acesso em 30 de janeiro, 2015,
http://www.cloakcoin.com/.
61. Michael Casayuran. (1 de outubro, 2014). TrendLabs Security Intelligence Blog.
“KELIHOS Spambot Highlights Security Risks in SPF Records.” Último acesso em 5 de fevereiro, 2015,
http://blog.trendmicro.com/trendlabs-security-intelligence/kelihos-spambot-highlights-security-risk-in-spf-records/.
62. Jon Oliver. (14 de outubro, 2014). TrendLabs Security Intelligence Blog.
“Investigating Twitter Abuse, Part 3.” Último acesso em 30 de janeiro, 2015,
http://blog.trendmicro.com/trendlabs-security-intelligence/investigating-twitter-abuse-part-3/.
Criado por:
Suporte Técnico Global e Centro de P&D da TREND MICRO
TREND MICRO TM
Trend Micro Incorporated, líder global de segurança em nuvem,
cria um mundo seguro para a troca de informações digitais com
suas soluções de segurança de conteúdo da Internet e soluções de
gerenciamento de ameaças para empresas e consumidores. Pioneira
em segurança de servidores com mais de 20 anos de experiência,
fornecemos segurança avançada para clientes, servidores e ambientes
em nuvem. Nossas soluções se adequam às necessidades de nosso
clientes e parceiros; bloqueiam novas ameaças mais rapidamente; e
protege dados em ambientes físicos, virtualizados e em nuvem. Com
a infraestrutura da Trend Micro™ Smart Protection Network™, nossas
tecnologias, serviços e produtos líderes em segurança bloqueiam
ameaças onde surgem – na Internet – e são mantidos por mais de
1.000 especialistas em inteligência de ameaças em todo o mundo.
Para mais informações, acesse www.trendmicro.com.br
©2015, Trend Micro Incorporated. Todos os direitos reservados. Trend Micro e o logotipo Trend Micro t-ball são denominações comerciais ou marcas
registradas da Trend Micro Incorporated. Todos os outros nomes de produtos ou empresas são denominações comerciais ou marcas registradas de
seus respectivos titulares.

Grandes Perdas, Necessidade Identificada para uma

Transcrição

Documentos relacionados

Page 1 FICHA TÉCNICA Como a maioria das pequenas empresas

clicando aqui - Trend Micro Simplesmente Segurança

PDF para impressão

As Palavras Mais Usadas em Ataques de Spear Phishing

Prezado Agente de Viagens, Segue abaixo

Truck G500

Bancos reduzem crédito para micro e pequena empresa

Coquetel molotov e o desmoramento do Estado: as classes

SEGURANÇA DA INFORMAÇÃO – MSS/ DDoS

O Futuro e as Tecnologias das Ameaças

CompForense_Exercicios_03