Segurança na Internet – Relatório sobre Ameaças – Symantec – 2019

Relatório sobre Ameaças à Segurança na Internet – Volume 24 | Fevereiro 2019

segurança-na-internet-symantec

Segurança na Internet – Formjacking

CIBERCRIMINOSOS ESTABELECEM DADOS DE CARTÕES DE CRÉDITO COMO ALVOS.

Incidentes de formjacking – o uso de códigos de JavaScript maliciosos para roubar dados de cartões de crédito e outras informações de formulários de pagamento nas páginas de checkout de sites de e-commerce apresentaram tendência de alta em 2018.

Dados da Symantec mostram que 4.818 sites diferentes foram comprometidos com código de formjacking mensalmente em 2018. Com dados de um único cartão de crédito sendo vendidos por até US$ 45 em mercados clandestinos, apenas 10 cartões de crédito roubados de sites comprometidos podem resultar em um rendimento de até US$ 2,2 milhões para cibercriminosos a cada mês. Fica claro o quão atrativo formjacking é para cibercriminosos.

A Symantec bloqueou mais de 3,7 milhões de tentativas de formjacking em 2018, sendo que mais de 1 milhão desses bloqueios ocorreram somente nos últimos dois meses do ano. Foram observadas atividades de formjacking ao longo de 2018, com um aumento anômalo nas atividades em maio (556.000 tentativas somente naquele mês), seguido por uma tendência geral de alta nas atividades no segundo semestre do ano.

Grande parte dessas atividades de formjacking tem sido atribuída aos responsáveis apelidados de Magecart, que  credita-se serem vários grupos, com alguns deles operando em concorrência uns conta os outros. Acredita-se que a Magecart seja responsável por vários ataques de alto nível, incluindo os da British Airways e da Ticketmaster, além e ataques contra a loja britânica de eletrônicos Kitronik e VisionDirect, varejista de lentes de contato.

Esse aumento nas instâncias de formjacking reflete o crescimento geral dos ataques à cadeia de suprimentos que discutimos no ISTR 23, com a Magecart em muitos casos lançando ataques direcionados a serviços de terceiros, para inserir seu código em sites específicos. Na violação de grande destaque da Ticketmaster, por exemplo, a Magecart comprometeu um chatbot de terceiros, que carregou código malicioso nos navegadores dos visitantes do site da Ticketmaster, com o objetivo de coletar os dados de pagamento dos clientes.

Enquanto os ataques às empresas conhecidas ganham manchetes, a telemetria da Symantec mostra que muitas vezes pequenos e médios varejistas, cujos produtos podem variar de roupas e equipamentos de jardinagem a suprimentos médicos, também tiveram código de formjacking injetado em seus sites. Esse é um problema global com o potencial de impactar qualquer negócio que aceite pagamentos de clientes online.

O crescimento do formjacking em 2018 pode ser parcialmente explicado pela queda no valor das criptomoedas durante o ano: os cibercriminosos que tenham usado websites para cryptojacking podem agora optar pelo formjacking. O valor dos dados de cartões de crédito roubados no cibermercado clandestino é provavelmente mais garantido do que o valor das criptomoedas no clima atual.




Segurança na Internet – Cryptojacking

Instâncias de cryptojacking nas quais os cibercriminosos executam clandestinamente os mineradores de criptomoedas nos dispositivos das vítimas sem o seu conhecimento e usam sua capacidade de unidade de processamento central (CPU) para minerar criptomoedas foi a principal história do último trimestre de 2017 e continuou a ser uma das características predominantes no cenário de cibersegurança em 2018.

As atividades de cryptojacking atingiram seu auge entre dezembro de 2017 e fevereiro de 2018, com a Symantec bloqueando cerca de 8 milhões de eventos de cryptojacking por mês nesse período. Durante 2018, bloqueamos um número superior a quatro vezes mais eventos de cryptojacking do que em 2017 quase 69 milhões de eventos de cryptojacking no período de 12 meses, em comparação com pouco mais de 16 milhões em 2017. No entanto, houve uma redução da atividade de cryptojacking durante o ano, com uma queda de 52% entre janeiro e dezembro de 2018.

Apesar dessa tendência de queda, ainda bloqueamos mais de 3,5 milhões de eventos de cryptojacking em dezembro de 2018. Essa ainda é uma atividade significativa, apesar do fato de que os valores de criptomoedas – que atingiram recordes no final de 2017 e desempenharam um papel importante na condução do crescimento inicial do cryptojacking caíram significativamente em 2018. Embora isso possa ter levado alguns dos pioneiros do cryptojacking a descobrirem outras formas de ganhar dinheiro, como o formjacking, fica claro que um segmento significativo de cibercriminosos ainda acredita que vale investir seu tempo em cryptojacking.

Também vimos alguns criminosos de cryptojacking estabelecendo empresas como alvos em 2018, com o script de cryptojacking WannaMine (MSH.Bluwimps), que usa o exploit Eternal Blue, tornado famoso pela WannaCry, para se espalhar por redes corporativas, tornando alguns dispositivos inutilizáveis devido ao alto uso da CPU.

A origem da maior parte das atividades de cryptojacking em 2018 continuou a ser mineradores de criptomoedas baseados em navegadores. A mineração de criptomoedas baseada em navegadores ocorre dentro de um navegador da web e é implementada com o uso de linguagens de script.

Se uma página da web contiver um script de mineração de criptomoedas, o poder de computação dos visitantes da página da web será usado para minerar criptomoedas enquanto a página da web estiver aberta. Mineradores baseados em navegadores permitem que cibercriminosos estabeleçam como alvo até mesmo dispositivos totalmente atualizados, além de permitir que operem furtivamente sem que a atividade seja percebida pelas vítimas.

MENOR USO, MAS AINDA PRESENTE.

Nossa previsão era que a atividade de cryptojacking por cibercriminosos seria em grande parte dependente do fato de os valores de criptomoedas se manterem elevados. Como houve uma queda nos valores de criptomoedas, também observamos um declínio no volume de eventos de cryptojacking.

No entanto, os eventos não caíram na mesma taxa que os valores de criptomoedas em 2018, o valor do Monero caiu quase 90%, enquanto a queda aproximada de instâncias de cryptojacking foi de 52%. Isso significa que alguns cibercriminosos ainda devem achar essa atividade lucrativa ou estão aguardando até outro aumento nos valores de criptomoedas. Esses números também mostram que existem outros elementos do cryptojacking que o tornam atraente para os cibercriminosos, como o anonimato que oferece e as baixas barreiras à entrada. Parece que o cryptojacking é uma área que continuará a ter importância no cenário do cibercrime.

Pela primeira vez desde 2013, observamos uma diminuição na atividade de ransomware durante 2018, com uma queda de 20% no número total de infecções de ransomware nos endpoints. WannaCry, suas imitações e Petya continuaram a impactar os números de infecções. Quando retiramos esses worms das estatísticas, a queda nos números de infecções é mais acentuada: uma queda de 52%.

No entanto, houve uma mudança dramática nesses números gerais. Até 2017, os consumidores foram os mais atingidos pelo ransomware, responsável pela maioria das infecções.

Em 2017, existia um foco ligeiramente maior nas organizações, com a maioria das infecções ocorrendo nas empresas.
Em 2018, essa mudança acelerou e as empresas representaram 81% de todas as infecções de ransomware. Embora tenhamos verificado uma queda nas infecções gerais por ransomware, as infecções corporativas aumentaram 12% em 2018.

Essa mudança no perfil da vítima provavelmente ocorreu devido a um declínio nas atividades do kit de exploit, que
anteriormente era um canal importante para a entrega de ransomware. Durante 2018, o principal método de distribuição de ransomware foi o envio de campanhas de e-mail.

As empresas tendem a sofrer o maior impacto dos ataques baseados em e-mail, uma vez que o e-mail continua sendo a principal ferramenta de comunicação para as organizações.

Paralelamente, um número crescente de consumidores usa exclusivamente dispositivos móveis e seus dados essenciais frequentemente são armazenados em um backup na nuvem.

Como a maioria das principais famílias de ransomware ainda tem como alvo os computadores baseados no Windows, as chances de os consumidores serem expostos ao ransomware estão diminuindo.

ATIVIDADES COMEÇAM A CAIR,MAS PERMANECEM UM DESAFIO PARA AS ORGANIZAÇÕES.

Outro fator por trás da queda na atividade geral de ransomware é o aumento da eficiência da Symantec em bloquear a instância de ransomware no início do processo de infecção, seja através de proteção de e-mail ou com o uso de
tecnologias como análise comportamental ou aprendizado de máquina.

Outro fator que contribui para a queda é o fato de que algumas gangues de cibercriminosos estão perdendo o interesse em ransomware. A Symantec observou vários grupos que estavam envolvidos anteriormente na disseminação do ransomware que passaram a oferecer outras instâncias de malware, como Trojans bancários e ferramentas de roubo de informações.

No entanto, alguns grupos continuam a representar uma grave ameaça. Outra notícia ruim para as organizações é que um número significativo de ataques de ransomware direcionados altamente prejudiciais atingiu as organizações em 2018, muitos dos quais foram conduzidos pelo grupo SamSam.

Em 2018, a Symantec encontrou evidências de 67 ataques do SamSam, principalmente contra organizações nos EUA. Em conjunto com o SamSam, outros grupos de ransomware direcionados se tornaram mais ativos.

Outras ameaças direcionadas também surgiram. Atividades envolvendo o Ryuk (Ransom.Hermes) aumentaram significativamente no final de 2018. Este ransomware foi responsável por um ataque em dezembro, em que a impressão e distribuição de vários jornais conhecidos no EUA foram interrompidas.

O Dharma/Crysis (Ransom.Crysis) também é frequentemente usado de forma direcionada contra as organizações. O número de tentativas de infecção pelo Dharma/Crysis observado pela Symantec mais que triplicou durante 2018, de uma média de 1.473 por mês em 2017, foi para 4.900 por mês em 2018.

Em novembro, dois cidadãos iranianos foram indiciados nos EUA por seu suposto envolvimento com o SamSam. Resta saber se a acusação terá algum impacto nas atividades do grupo.

Em relatórios anteriores, destacamos a tendência dos grupos de ataque optarem por ferramentas de mercado e recursos do sistema operacional para conduzir ataques. Essa tendência de “uso de ferramentas do dia a dia” não mostra sinais de queda na verdade, houve um aumento significativo em certas atividades em 2018. O uso do PowerShell agora é um elemento básico do cibercrime e dos ataques direcionados refletido por um aumento drástico de 1.000% nos scripts maliciosos de PowerShell bloqueados em 2018 nos endpoints.

Em 2018, os arquivos do Microsoft Office representaram quase metade (48%) de todos os anexos de e-mails maliciosos, sendo que esse percentual era apenas 5% em 2017. Grupos de cibercrime, como Mealybug e Necurs, continuaram a usar macros em arquivos do Office como seu método preferido para propagar cargas úteis maliciosas em 2018, mas também experimentaram arquivos XML maliciosos e arquivos do Office com cargas úteis DDE.

O uso de exploits de dia-zero por grupos de ataque direcionado continuou a cair em 2018. Foi identificado que apenas 23% dos grupos de ataque usaram exploits de dia-zero, uma queda em relação ao volume de 27% observado em 2017. Também começamos a observar ataques que dependem exclusivamente de técnicas com o uso de ferramentas do dia a dia e não usam nenhum código malicioso. O grupo de ataque direcionado Gallmaker é um exemplo dessa mudança, com o grupo focado exclusivamente em ferramentas disponíveis no mercado para executar suas atividades maliciosas.

Grupos de ataque direcionado continuaram a representar uma ameaça significativa para as organizações em 2018, com novos grupos emergentes além de outros que estão aperfeiçoando suas ferramentas e táticas. Observamos que os grupos de ataque maiores e mais ativos intensificaram suas atividades em 2018. Os 20 grupos mais ativos monitorados pela Symantec atingiram uma média de 55 organizações nos últimos três anos, um aumento em relação ao número médio de 42 entre 2015 e 2017.




Segurança na Internet – ATAQUES DIRECIONADOS

Uma tendência marcante foi a diversificação de alvos, com um número crescente de grupos demonstrando interesse em comprometer computadores operacionais, o que poderia permitir que estabelecessem operações disruptivas se assim desejassem.

O pioneiro desta tática foi o grupo de espionagem Dragonfly, conhecido por seus ataques a empresas de energia. Em 2018, observamos que o grupo Thrip comprometeu uma operadora de comunicações via satélite e infectou computadores que executam um software que monitora e controla satélites.

O ataque poderia ter dado ao Thrip a capacidade de interromper seriamente as operações da empresa. Também observamos o grupo Chafer comprometer um provedor de serviços de telecomunicações no Oriente Médio. A empresa vende soluções para várias operadoras de telecomunicações na região e o objetivo do ataque pode ter sido facilitar a vigilância dos clientes e usuários finais dessas operadoras.

Esse interesse em ataques potencialmente desestabilizadores também se reflete no número de grupos conhecidos pelo uso de malware destrutivo, um aumento de 25% em 2018.

Em 2018, a Symantec expôs mais quatro grupos de ataque direcionado previamente desconhecidos, portanto, o número de grupos de ataque direcionado expostos pela Symantec desde 2009 subiu para 32. Embora a Symantec tenha exposto quatro novos grupos em 2017 e 2018, houve uma grande mudança na forma como esses grupos foram identificados.

Dois dos quatro novos grupos expostos no ano de 2018 foram identificados através do uso de ferramentas do dia a dia. De fato, um desses dois grupos (Gallmaker) não usa nenhum malware em seus ataques, dependendo exclusivamente do uso de ferramentas do dia a dia e em ferramentas de hacking disponíveis publicamente.

O uso de ferramentas do dia a dia tem sido cada vez mais buscado por grupos de ataque direcionado nos últimos anos, pois pode ajudar os invasores a manterem um perfil discreto, ocultando suas atividades em um grande volume de processos legítimos. Essa tendência foi uma das principais motivações para a Symantec criar sua solução TAA (Targeted Attack Analytics) em 2018, que aproveita a inteligência artificial avançada para detectar padrões de atividade maliciosa associados a ataques direcionados.

Em duas ocasiões, em 2018, descobrimos grupos de ataque previamente desconhecidos em investigações que começaram com TAA, disparadas através de ferramentas do dia a dia.

O aumento no uso de ferramentas do dia a dia foi acompanhado pelo declínio de outras técnicas de ataque mais antigas. O número de grupos de ataque direcionado que possuem histórico de utilização de vulnerabilidades de dia-zero foi de 23%, uma queda em relação aos 27% no fim de 2017.

Um dos acontecimentos mais impressionantes em 2018 foi o aumento significativo de denúncias nos Estados Unidos
contra pessoas supostamente envolvidas em espionagem patrocinada por nações. Quarenta e nove indivíduos ou organizações foram indiciados em 2018, em comparação com apenas quatro em 2017 e cinco em 2016. Enquanto a maioria das manchetes foi dedicada à acusação de 18 supostos agentes russos, a maioria deles acusados de envolvimento em ataques relacionados às eleições presidenciais de 2016, as acusações foram muito mais amplas.

Além dos cidadãos russos, 19 indivíduos ou organizações chinesas foram acusados, juntamente com 11 iranianos e um norte-coreano. Esse destaque repentino de publicidade pode atrapalhar algumas das organizações citadas nessas acusações. Esse cenário limitará drasticamente a capacidade de indivíduos indiciados de viajarem internacionalmente, potencialmente prejudicando sua capacidade de montar operações contra alvos em outros países.

PERMANECEM COMO ELEMENTOS BÁSICOS DO NOVO CENÁRIO DE AMEAÇAS.

ATAQUES COM USO DE FERRAMENTAS DO DIA A DIA E À CADEIA DE SUPRIMENTOS

As ameaças de autopropagação continuaram a criar problemas para as organizações, mas, ao contrário dos worms antigos, os worms modernos não usam vulnerabilidades exploráveis remotamente para se propagar. Em vez disso, worms como Emotet (Trojan.Emotet) e Qakbot (W32.Qakbot) usam técnicas simples, incluindo a eliminação de senhas da memória ou o acesso de força bruta a compartilhamentos de rede para se mover lateralmente pela rede.

Os ataques à cadeia de suprimentos continuaram sendo uma característica do cenário de ameaças, com um aumento de 78% dos ataques em 2018. Os ataques à cadeia de suprimento, que exploram serviços e softwares de terceiros para comprometer um alvo final, assumem várias formas, incluindo o sequestro de atualizações de software e a injeção de códigos maliciosos em softwares legítimos.

Os desenvolvedores continuaram a ser explorados como origem de ataques à cadeia de suprimentos, seja através de grupos de ataque que roubavam credenciais para ferramentas de controle de versão, ou por invasores que comprometiam bibliotecas de terceiros que são integradas em projetos de software maiores.

O aumento nos ataques de formjacking em 2018 reforçou como a cadeia de suprimentos pode ser um ponto fraco para varejistas online e sites de e-commerce. Muitos desses ataques de formjacking resultaram do comprometimento
por grupos de ataque de serviços de terceiros normalmente usados por varejistas online, como chatbots ou widgets de avaliação de clientes.

Tanto os ataques à cadeia de suprimentos quanto os que utilizam ferramentas do dia a dia destacam os desafios enfrentados por organizações e indivíduos, com ataques que cada vez mais chegam através de canais confiáveis, com o uso de métodos de ataques sem arquivo ou ferramentas legítimas para fins maliciosos. Apesar de bloquearmos em média 115.000 scripts maliciosos do PowerShell mensalmente, isso representa apenas menos de 1% do uso geral do PowerShell.

A identificação e bloqueio efetivos desses ataques exigem o uso de métodos avançados de detecção, como analytics e aprendizado de máquina.




Segurança na Internet – Nuvem

DESAFIOS DE SEGURANÇA SURGEM EM VÁRIAS FRENTES.

De simples problemas de configuração a vulnerabilidades em chips de hardware, em 2018 observamos a ampla gama de desafios de Segurança na Internet que a nuvem apresenta.

Os bancos de dados na nuvem mal protegidos continuaram a ser um ponto fraco para as organizações. Em 2018, os buckets do S3 surgiram como um calcanhar de Aquiles para as organizações, com mais de 70 milhões de registros roubados ou vazados como resultado de configurações precárias. Isso ocorreu na sequência de uma série de ataques de ransomware contra bancos de dados abertos, como o MongoDB, em 2017, que viram grupos de ataque apagarem seus conteúdos e exigirem pagamento para restaurá-los. Os invasores não pararam por aí. Seus ataques foram direcionados também aos sistemas de implantação em contêineres, como Kubernetes, aplicativos sem servidor e outros serviços de API expostos publicamente. Há um tema comum em todos esses incidentes configurações precárias.

Existem inúmeras ferramentas amplamente disponíveis na internet que permitem a potenciais invasores identificarem recursos na nuvem configurados incorretamente. A menos que as organizações tomem providências para proteger adequadamente seus recursos na nuvem, como seguir as orientações fornecidas pela Amazon para proteger os buckets do S3, elas estão vulneráveis aos ataques.

Uma ameaça mais insidiosa à nuvem surgiu em 2018 com a revelação de várias vulnerabilidades nos chips de hardware.

Meltdown e Spectre exploram vulnerabilidades em um processo conhecido como execução especulativa. A exploração bem-sucedida fornece acesso a locais de memória normalmente proibidos. Isso é particularmente problemático para serviços na nuvem porque, embora as instâncias de nuvem tenham seus próprios processadores virtuais, elas compartilham conjuntos de memória. Isto significa que um ataque bem-sucedido a um único sistema físico pode resultar em vazamento de dados de várias instâncias na nuvem.

Meltdown e Spectre não foram casos isolados diversas variantes desses ataques foram posteriormente liberadas para o domínio público ao longo do ano. Eles também foram seguidos por vulnerabilidades similares no nível do chip, como Speculative Store Bypass e Foreshadow, ou L1 Terminal Fault.

É provável que isso seja apenas o começo, com pesquisadores e invasores focados nas vulnerabilidades no nível do chip, e indica que os serviços na nuvem enfrentarão muitos desafios daqui para frente.

Segurança na Internet – IOT

NA MIRA DOS CIBERCRIMINOSOS E GRUPOS DE ATAQUE DIRECIONADO.

Enquanto os worms e bots continuaram a representar a maioria dos ataques à Internet das Coisas (IoT), em 2018 vimos uma nova espécie de ameaça surgir, à medida que os grupos de ataque direcionado demonstraram interesse na IoT como um vetor de infecção.

O volume geral de ataques à IoT permaneceu alto em 2018 e consistente (-0,2%) em comparação a 2017. Roteadores e câmeras conectadas foram os dispositivos mais infectados e representaram 75% e 15% dos ataques, espectivamente.

Não é uma surpresa que os roteadores sejam os dispositivos mais estabelecidos como alvos, devido à sua acessibilidade diretamente da internet. Eles também são atraentes, pois fornecem um ponto de partida eficaz para os grupos de ataque.

O famoso worm de negação de serviço (DDoS) distribuído pelo Mirai permaneceu uma ameaça ativa e, com 16% dos ataques, foi a terceira ameaça mais comum para dispositivos de IoT em 2018. O Mirai está em constante evolução e as variantes usam até 16 exploits diferentes, adicionando persistentemente novos exploits para aumentar a taxa de sucesso da infecção, já que os dispositivos normalmente não são atualizados.

O worm também expandiu o escopo de seu alvo ao focar em servidores Linux sem patches de atualização. Outra tendência significativa foi o aumento de ataques contra sistemas de controle industrial (ICS – Industrial Control Systems).

O grupo Thrip focou em satélites, e o Triton atacou sistemas de segurança industrial, deixando-os vulneráveis a ataques de sabotagem ou extorsão. Qualquer dispositivo computacional é um alvo em potencial.

O surgimento do VPNFilter em 2018 representou uma evolução das ameaças à IoT. O VPNFilter foi a primeira ameaça à IoT persistente generalizada, com sua capacidade de sobreviver a uma reinicialização, o que dificulta sua remoção. Com uma variedade de potentes cargas úteis à sua disposição, como ataques man in the middle (MitM), exfiltração de dados, roubo de credenciais e interceptação de comunicações de sistemas SCADA, o VPNFilter representou uma mudança da tradicional atividade de ameaças à IoT, como DDoS e mineração de criptomoedas. Ele também inclui uma capacidade destrutiva que pode “bloquear” ou apagar os dados de um dispositivo ao comando dos invasores, caso desejem destruir provas. O VPNFilter é o resultado do trabalho de um grupo de ameaças qualificado e com bons recursos e demonstra como os dispositivos de IoT enfrentam ataques de várias frentes.

Segurança na Internet – Interferência nas eleições 2018

Com a eleição presidencial dos EUA em 2016 impactada por vários ciberataques, como o ataque ao Comitê Nacional
do Partido Democrata (DNC), a atenção estava voltada totalmente para as eleições de 2018. E, apenas um mês após
o dia da eleição, o Comitê Nacional do Partido Republicano no Congresso (NRCC) confirmou que seu sistema de e-mail foi invadido por um terceiro desconhecido no período que antecedeu as eleições. Os hackers ganharam acesso às contas de e-mail de quatro assessores de nível sênior do NRCC e podem ter coletado milhares de e-mails ao longo de vários meses.

Após, em janeiro de 2019, o DNC revelou que foi alvo de um ataque de spear phishing sem sucesso, pouco depois do fim das eleições de 2018. Acredita-se que o grupo de ciberespionagem APT29, cuja ligação foi identificada pelo Departamento de Segurança Interna dos EUA (DHS) e FBI com a Rússia, seja responsável pela campanha.

Em julho e agosto de 2018, vários domínios maliciosos, que imitam sites pertencentes a organizações políticas, foram identificados e desativados pela Microsoft. Acredita-se que o grupo de ciberespionagem APT28 (cuja ligação com a Rússia também foi identificada pelo DHS e FBI) tenha estabelecido alguns desses sites como parte de uma campanha de spear phishing direcionada a candidatos nas eleições do Congresso e Senado de 2018. Para combater ataques de falsificação de sites como esse, a Symantec lançou o Projeto Dolphin, uma ferramenta gratuita de Segurança na Internet para proprietários de sites.

Os adversários continuaram a focar no uso de plataformas de mídia social para influenciar os eleitores em 2018. Embora isso não seja novidade, as táticas usadas se tornaram mais sofisticadas. Algumas contas vinculadas à Rússia, por exemplo, usavam terceiros para comprar anúncios em redes sociais e evitavam o uso de endereços IP da Rússia ou transações na moeda russa. Contas falsas também começaram a focar mais na promoção de eventos e manifestações, que não são monitoradas tão de perto quanto anúncios politicamente direcionados.

As empresas proprietárias das plataformas de mídias sociais assumiram um papel mais ativo no combate à interferência eleitoral em 2018. O Facebook montou um “war room” para combater a interferência eleitoral e bloqueou várias contas e páginas suspeitas de estarem ligadas a entidades estrangeiras envolvidas em tentativas de influenciar a política nos EUA, Reino Unido, Oriente Médio e América Latina.

O Twitter removeu mais de 10.000 bots que postaram mensagens incentivando as pessoas a não votarem e atualizou suas regras para identificar contas falsas e proteger a integridade das eleições. O Twitter também divulgou um arquivo de tweets associados a duas operações de propaganda patrocinadas por nações que violaram a plataforma ao disseminar desinformações destinadas a influenciar a opinião pública.

Outros esforços para combater a interferência eleitoral em 2018 incluíram o Ciber Comando dos Estados Unidos contatando diretamente os hackers russos para informá-los que foram identificados por agentes norte-americanos e que estavam sendo rastreados; o DHS ofereceu avaliações gratuitas de segurança de máquinas e processos eleitorais estaduais; e a adoção generalizada dos chamados sensores Albert, hardware que ajuda o governo federal a monitorar evidências de interferência em computadores usados na execução das eleições.




Segurança na Internet – Mensagens

Em 2018, a probabilidade de funcionários de pequenas empresas serem atingidos por ameaças de e-mail incluindo spam, phishing e malware de e-mail – foi maior do que para os membros de grandes organizações. Também identificamos que os níveis de spam continuaram a aumentar em 2018, como ocorreu em todos os anos desde 2015, com 55% dos e-mails recebidos em 2018 sendo classificados como spam. Enquanto isso, a taxa de malware de e-mail permaneceu estável, enquanto os níveis de phishing diminuíram, com uma queda de 1 em cada 2.995 e-mails em 2017 para 1 em cada 3.207 e-mails em 2018.

A taxa de phishing apresentou queda a cada ano nos últimos quatro anos.

Também observamos menos URLs usados em e-mails maliciosos à medida que os grupos de ataque voltaram a usar anexos de e-mail maliciosos como um vetor primário de infecção. O uso de URLs maliciosos nos e-mails tinha aumentado para 12,3% em 2017, mas caiu para 7,8% em 2018. A telemetria da Symantec mostra que os usuários do Microsoft Office correm o maior risco de serem vítimas de malware baseado em e-mail, com os arquivos do Office representando 48% dos anexos de e-mails maliciosos, sendo que esse percentual era apenas 5% em 2017

Segurança na Internet – Malware

O Emotet continuou a expandir agressivamente sua participação de mercado em 2018, representando 16% dos eventos de Trojans financeiros, um aumento em comparação com 4% em 2017. O Emotet também foi usado para espalhar o Qakbot, que estava em 7º lugar na lista de Trojans financeiros, representando 1,8% das detecções. Ambas as ameaças apresentam novos desafios graves para as organizações devido à sua funcionalidade de auto propagação.

O uso de scripts maliciosos de PowerShell aumentou em 1.000% em 2018, à medida que os grupos de ataque continuaram seu movimento em direção às técnicas de uso de ferramentas do dia a dia. Um cenário de ataque comum usa as macros do Office para chamar um script do PowerShell, que, por sua vez, baixa a carga útil maliciosa. Os downloaders de macros do Office foram responsáveis pela maioria das detecções de downloaders, enquanto as ameaças VBS.Downloader e JS.Downloader apresentaram queda.

Em 2018, também bloqueamos 69 milhões de eventos de cryptojacking um volume quatro vezes maior do que bloqueamos em 2017. No entanto, a atividade de cryptojacking apresentou uma queda de 52% entre janeiro e dezembro de 2018. Isso refletiu o declínio nos valores de criptomoedas, embora a um ritmo mais lento. Pela primeira vez desde 2013, o número total de infecções por ransomware caiu, com uma queda de mais de 20% em relação ao ano passado. No entanto, as detecções corporativas contrariaram a tendência, com um aumento de 12%, demonstrando que o ransomware continua sendo um problema para as empresas. Um número menor de novas famílias de ransomware surgiu em 2018, indicando que o ransomware pode ter menos apelo para os cibercriminosos do que anteriormente.




Segurança na Internet – Dispositivos Móveis

Embora o número geral de infecções por malware para dispositivos móveis tenha caído em 2018, houve um rápido aumento no número de infecções por ransomware em dispositivos móveis, um aumento de um terço quando comparado a 2017.

O Estados Unidos é o país mais afetado pelo ransomware para dispositivos móveis, representando 63% das infecções. Os próximos países na lista são a China (13%) e Alemanha (10%).

O gerenciamento da Segurança na Internet de dispositivos móveis continua a representar um desafio para as organizações. Em 2018, um em cada 36 dispositivos usados em organizações foi classificado como de alto risco. Isso incluía dispositivos com acesso root ou desbloqueados, além de dispositivos que certamente possuem instâncias de malware instaladas.

Segurança na Internet – Ataques WEB

Em 2018, 1 em cada 10 URLs analisados foram identificados como maliciosos, um aumento em comparação à relação de 1 em 16 em 2017. Além disso, apesar de uma queda na atividade de kits de exploits, o número global de ataques web aos endpoints aumentou 56% em 2018. Em dezembro, a Symantec bloqueou mais de 1,3 milhão de ataques web únicos diariamente em dispositivos nos endpoints.

O formjacking foi uma das maiores tendências de cibersegurança do ano, com uma média de 4.800 sites  comprometidos com código de formjacking mensalmente em 2018. Formjacking é o uso de código de JavaScript malicioso para roubar dados de cartões de pagamento e outras informações de formulários de pagamento nas páginas de checkout de sites de e-commerce e, no total, a Symantec bloqueou 3,7 milhões de tentativas de formjacking em dispositivos nos endpoints em 2018.

Mais de um terço da atividade de formjacking ocorreu no último trimestre de 2018, com 1,36 milhão de tentativas de formjacking bloqueadas somente naquele período.

Segurança na Internet – Ataques Direcionados

Embora o número total de ataques direcionados caiu um pouco no ano passado, os grupos mais ativos intensificaram suas atividades, atacando uma média de 55 organizações nos últimos três anos, acima dos 42 ataques entre 2015 e 2017. E-mails de spear phishing continuaram sendo o caminho mais popular para esses ataques e foram usados por 65% de todos os grupos conhecidos. A razão mais provável para uma organização sofrer um ataque direcionado foi a coleta de informações, que é o motivo para 96% dos grupos.

Combinado com o aumento da popularidade das táticas de uso de ferramentas do dia a dia, o uso de vulnerabilidades de dia-zero caiu em 2018, com apenas 23% dos grupos conhecidos aplicando exploits de dia-zero, abaixo do percentual de 27% em 2017.

Embora ainda seja uma área de nicho, o uso de instâncias de malware destrutivo continuou a crescer. Observou-se que oito por cento dos grupos usaram ferramentas destrutivas, um aumento de 25% em relação a 2017.

Segurança na Internet – Internet das Coisas

Depois de um aumento significativo nos ataques à Internet das Coisas (IoT) em 2017, os números de ataques estabilizaram em 2018, com uma média mensal de 5.200 ataques contra o honeypot de IoT da Symantec.

Roteadores e câmeras conectadas foram, sem dúvida, a principal fonte de ataques à IoT, representando mais de 90% de todos os ataques ao honeypot. A proporção de câmeras infectadas usadas nos ataques aumentou consideravelmente em 2018. As câmeras conectadas foram responsáveis por 15% dos ataques, acima do percentual de 3,5% em 2017. Os grupos de ataque também focaram cada vez mais no Telnet como um caminho para os ataques.

Telnet foi responsável por mais de 90% das tentativas de ataques em 2018, um grande aumento em relação ao percentual de 50% em 2017.

A Symantec criou a maior rede global de coleta de ameaças civis e uma das mais abrangentes coletas de inteligência sobre ameaças à cibersegurança através da Symantec Global Intelligence Network (GIN).

A Symantec GIN inclui mais de 123 milhões de sensores de ataque, registra milhares de eventos de ameaças a cada segundo e contém mais de 9 petabytes de dados de ameaças à Segurança na Internet. Essa rede também monitora atividades de ameaças para mais de 300.000 empresas e organizações em todo o mundo que dependem da proteção da Symantec.

A telemetria do portfólio de proteção contra ameaças da Symantec ajuda nossos 3.800 pesquisadores e engenheiros de cibersegurança a identificar as principais tendências que definem o cenário de ameaças.

Análises de tendências de malware de spam, phishing e e-mail são coletadas de uma variedade de tecnologias de Segurança na Internet de e-mail da Symantec que processam mais de 2,4 bilhões de e-mails por dia, incluindo: Symantec Messaging Gateway for Service Providers, Symantec Email Security.cloud, Symantec Advanced Threat Protection for Email, Symantec CloudSOC™ e Symantec Probe Network.

A Symantec também coleta informações sobre phishing através de uma ampla comunidade antifraude, composta por empresas, fornecedores de segurança e parceiros.

Ao filtrar mais de 322 milhões de e-mails e mais de 1,5 bilhão de solicitações web por dia, a tecnologia de propriedade da Symantec, Skeptic ™, suporta os serviços do Symantec Email and Web Security.cloud™, com o uso de aprendizado de máquina avançado, análise de tráfego de rede e análise comportamental para detectar até mesmo as ameaças mais furtivas e persistentes. Além disso a solução da Symantec Advanced Threat Protection for Email identifica ataques avançados por e-mail, ao adicionar sandboxing baseado na nuvem, proteção adicional contra spear phishing e recursos exclusivos de identificação de ataques direcionados.

Bilhões de URLs são processados e analisados a cada mês pelas soluções Secure Web Gateway da Symantec, incluindo ProxySG ™, Advanced Secure Gateway (ASG) e Web Security Solution (WSS), todas suportadas pela tecnologia WebPulse Collaborative Defense e Sistema de Análise de Conteúdo em tempo real. Essas soluções identificam e protegem contra cargas úteis maliciosas e controlam conteúdo sigiloso baseado na web.

A inteligência contra ameaças em dispositivos móveis, fornecida pelo Symantec Endpoint Protection Mobile (SEPM), é usada para prever, detectar e proteger contra a mais ampla gama de ameaças existentes e desconhecidas.

A tecnologia preditiva do SEP Mobile usa uma abordagem em camadas que alavanca a inteligência de ameaças gerada colaborativamente, além de análises baseadas em dispositivos e servidores, para proteger proativamente os dispositivos móveis contra malware, ameaças de rede e vulnerabilidades de aplicativos e SO. Além disso, a tecnologia móvel da Appthority, juntamente com o SEPM, oferece a capacidade para analisar recursos maliciosos ou comportamentos indesejados e inseguros em aplicativos móveis, como vulnerabilidades, risco de perda de dados confidenciais e ações invasivas de privacidade.

Esses recursos proporcionam aos analistas da Symantec fontes incomparáveis de dados para identificar, analisar e fornecer comentários atualizados sobre ameaças emergentes de ciberataques, atividades de códigos maliciosos, phishing e spam. O resultado é o Relatório de Ameaças à Segurança na Internet anual, que proporciona às corporações, pequenas empresas e consumidores informações essenciais para garantir os seus sistemas de forma eficaz, agora e no futuro.

_Fonte Symantec




Veja outras Informações Symantec / Norton

Obter o Norton Security + Norton Secure VPN