Malwares não estão no passado e são uma ameaça cada vez maior
Ameaças antigas ainda são um perigo, uma vez que empresas não percebem os riscos de não se protegerem adequadamente
Recentemente, a CISA (Cybersecurity and Infrastructure Security Agency) e outras agências governamentais emitiram um alerta sobre as cepas de malware mais observadas em 2021. De acordo com a pesquisa, a maioria dessas linhagens estão em uso há cinco anos, com diferentes variações e evoluções.
- Ransomware como serviço: grupos cibercriminosos atuam como empresas estruturadas
- Infraestrutura como código: qual a sua importância na segurança de uma empresa?
Malware, abreviação de "software malicioso", pode comprometer um sistema ao executar uma função ou processo não autorizado. Os atores cibercriminosos frequentemente usam malware para comprometer e obter acesso secretamente a um computador ou dispositivo móvel. Alguns exemplos de malware incluem vírus, worms, Trojans, ransomware, spyware e rootkits. O fato de esse tipo de ameaça ainda estar ativa e causar tantos danos está no fato de muitas empresas ainda seguirem o lema de "o que não está quebrado, não precisa ser consertado". Isso é um erro fatal, que permite arquivos em nuvem, servidores e sistemas se tornarem vetores de ameaças.
Para se ter uma ideia desse cenário, um estudo da Forrester mostrou que 31% das empresas brasileiras sofreram ataques cibernéticos em malware de covid-19, e 9% de outros tipos da mesma ameaça. O malware é mais comumente distribuído em mensagens de phishing ou documentos e websites maliciosos. Porém, muitas vezes em lugar de depender do usuário em um email de phishing, os cibercriminosos utilizam vulnerabilidades não corrigidas para obter acesso, elevar privilégios e mover-se pelos ambientes alvo para executar código.
Para entender o perfil das vulnerabilidades mapeadas pelo alerta das agências, fizemos uma análise dos 17 CVEs (Common Vulnerabilities and Exposures) e constatamos que nove das falhas são vulnerabilidades de execução de código e cinco, de corrupção de memória. Apenas uma está relacionada à elevação da falha de privilégio, o que surpreende pois esse é um fator importante para outros agentes de ameaça.
Uma vulnerabilidade interessante é a chamada CVE-2017-11882, uma falha de execução remota de código de memória no Microsoft Office para obter acesso inicial a uma rede, podendo incluir também uma variedade de ransomware. Em 2019 foi identificada pela Cofense como o método de entrega mais comum para a disseminação de malware. Em 2022, ainda vemos rotineiramente o uso dessa vulnerabilidade.
Outras variedades que pudemos observar são utilizadas por atores principais de ecossistemas de ransomware como IABs (Initial Access Brokers), agentes especializados em obter acesso inicial a uma organização e vender o acesso a diversos outros agentes de ameaças, como os chamados afiliados — responsáveis por impulsionar os ataques. Aqui destaco que o termo "ransomware" apareceu com bastante frequência em nossas análises. Os grupos de ataques cibernéticos, que roubam dados em troca de resgates financeiros, estão se multiplicando e especializando em uma velocidade preocupante. Uma das vulnerabilidades mapeadas, a chamada CVE-2021-40444, faz execução de código remoto e foi usado por um IAB que trabalhou diretamente com o Conti, um dos grupos ransomware mais atuantes do momento.
Por conta dessa evolução tão rápida e cibercriminosos que chamo a atenção para a necessidade de prestarmos a atenção devida para listas como a divulgada em conjunto pela CISA. Elas são uma ótima oportunidade de termos uma visão mais ampla de atuação desses atores de ameaças e como podemos nos proteger deles.
Trending no Canaltech:
- Brasil define nova idade mínima para laqueadura e vasectomia
- Royal Caribbean colocará internet Starlink em todos os seus navios de cruzeiro
- 8 sinais de que você é muito inteligente, segundo a ciência
- Veja o incrível efeito do protetor solar usado apenas no rosto durante anos
- Veja novas fotos do Sol feitas pelo maior telescópio solar do mundo
