Conhecimentos internos ajudam invasores a evitar a detecção e driblar políticas de segurança
A HP Inc. (NYSE: HPQ) divulgou seu Relatório Trimestral HP Wolf Security Threat Insights Report, revelando uma tendência alarmante no mundo do cibercrime. Criminosos virtuais estão se tornando cada vez mais criativos, combinando diferentes combinações de ataques como se fossem blocos de montar, a fim de escapar das ferramentas de detecção.
A HP Wolf Security, por meio da análise de ameaças que conseguiram burlar as ferramentas de detecção em PCs, obtém uma visão precisa das técnicas mais recentes empregadas pelos criminosos cibernéticos em um cenário de cibercrime em constante evolução. Os números impressionam: os clientes da HP Wolf Security já clicaram em mais de 30 bilhões de anexos de e-mail, páginas da web e downloads de arquivos, sem que houvesse registro de violações.
Criatividade em Cibercrime
Com base em milhões de endpoints que executam o HP Wolf Security, os pesquisadores descobriram que os cibercriminosos estão adotando uma abordagem criativa. Eles estão construindo ataques como se fossem blocos de montar, onde as cadeias de ataque frequentemente seguem fórmulas pré-existentes, utilizando caminhos já conhecidos para lançar seus códigos maliciosos. No entanto, algumas campanhas criativas, como a do QakBot, estão conectando diferentes blocos para criar cadeias de infecção inéditas. Ao mesclar diferentes tipos de arquivos e técnicas, eles conseguem driblar as ferramentas de detecção e as políticas de segurança. Surpreendentemente, 32% das cadeias de infecção por QakBot analisadas pela HP no segundo trimestre eram completamente novas e desconhecidas.
Confusão entre Usuário de Blog e Keylogger
Outra tática inteligente dos invasores, como visto nas recentes campanhas de Aggah, envolve a inserção de códigos maliciosos em uma plataforma popular de blogs, o Blogspot. Ao esconder o código em uma fonte aparentemente legítima, fica muito mais difícil para as defesas identificarem um usuário que está simplesmente lendo um blog daquele que está lançando um ataque. Os agentes de ameaças aproveitam seu conhecimento dos sistemas Windows para desabilitar algumas capacidades antivírus nas máquinas dos usuários, executar um XWorm ou o AgentTesla Remote Access Trojan (RAT) e, em seguida, roubar informações confidenciais.
Quebrando o Protocolo
A HP também identificou ataques de Aggah que exploram pedidos de recuperação de TXT do DNS, que normalmente são usados para acessar informações simples sobre nomes de domínio. Os invasores sabem que o protocolo DNS muitas vezes não é monitorado ou protegido pelas equipes de segurança, tornando esse tipo de ataque extremamente difícil de detectar.
Malware Multilíngue
Uma campanha recente chamou a atenção dos especialistas ao utilizar várias linguagens de programação para evitar a detecção. Primeiramente, ela criptografa sua carga de códigos usando um criptografador escrito em Go, desabilitando os recursos de escaneamento anti-malware que normalmente detectariam a ameaça. Em seguida, o ataque altera a linguagem para C++, a fim de interagir com o sistema operacional da vítima e executar o malware .NET na memória, deixando o mínimo de vestígios no PC.
Patrick Schläpfer, analista sênior de malware da equipe de pesquisa de ameaças da HP Wolf Security, destaca que “os invasores atuais estão ficando mais bem-organizados e ganhando conhecimento. Eles pesquisam e analisam questões internas dos sistemas operacionais, o que facilita muito para que explorem as falhas. Sabendo quais portas empurrar, conseguem navegar pelos sistemas internos com facilidade, usando técnicas relativamente simples de formas muito efetivas – sem dispararem o alarme”.
Tendências e Recomendações
O Relatório da HP também destaca várias tendências e recomendações importantes:
- Arquivos continuam sendo o meio mais popular para a entrega de malware, representando 44% dos casos analisados.
- Houve um aumento de 23% nas ameaças de HTML interrompidas pela HP Wolf Security no segundo trimestre em comparação com o anterior.
- Executáveis aumentaram de 14% para 18% entre o primeiro e o segundo trimestre, principalmente devido ao uso do arquivo PDFpower.exe, que combina software legítimo com malware de sequestro de navegador.
- O uso de malware em planilhas caiu de 19% para 13% no primeiro trimestre, à medida que os invasores evitam os formatos do Office devido à dificuldade em executar macros neles.
- Pelo menos 12% das ameaças identificadas pelo HP Sure Click em e-mails escaparam de um ou mais escaneamentos de gateway no segundo trimestre.
- Os principais vetores de ameaças no segundo trimestre foram e-mails (79%) e downloads em navegadores (12%).
O Dr. Ian Pratt, chefe global de Segurança para Sistemas Pessoais da HP Inc., recomenda uma abordagem proativa para lidar com essas ameaças. “Ao invés de tentar prever a cadeia de infecção, as organizações devem isolar e conter atividades arriscadas, tais como abrir anexos de e-mail, clicar em links e baixar arquivos no navegador”, afirma Pratt.
A tecnologia de isolamento de aplicativos da HP é uma das maneiras pelas quais a empresa está mitigando ameaças que escapam de outras ferramentas de segurança. Ela funciona em máquinas virtuais isoladas reforçadas por hardware no próprio endpoint, protegendo os usuários sem impactar sua produtividade. Além disso, essa tecnologia fornece dados exclusivos sobre novas técnicas de intrusão e sobre o comportamento de agentes de ameaças, auxiliando na defesa contra criminosos virtuais cada vez mais astutos.
Em um cenário de cibercrime em constante evolução, a colaboração entre empresas e a adoção de medidas de segurança avançadas se tornam cruciais para proteger dados e sistemas contra as ameaças mais recentes e sofisticadas. A HP Inc. continua a liderar a luta contra o cibercrime, fornecendo insights valiosos e soluções de segurança de ponta para manter os usuários e as empresas protegidos.