TI para Negócios

A Symantec analisou centenas de amostras de cavalos de Tróia financeiros ao longo do ano, a fim de mapear as principais ameaças feitas ao setor financeiro e seus clientes em 2015. Na pesquisa, com 656 amostras de malwares ativos, foram encontrados mais de 2 mil padrões de URLs, cujos alvos foram os clientes de 547 organizações em 49 países. Os Estados Unidos continuaram sendo o maior alvo de cavalos de Tróia financeiros em 2015, com 141 instituições atacadas, seguido por Alemanha e Índia. O Brasil aparece em 12º lugar na lista de países mais atacados.

Para a Symantec, os motivos da queda do cavalo de Tróia se devem parcialmente, a prisões de cibercriminosos e à própria eficácia de diferentes famílias do malware. Considera-se também que alguns grupos de hackers parecem ter migrado recentemente para o ransomware, que bloqueia o dispositivo e pede resgate pelas informações. Além desses fatores, os softwares de segurança têm aumentado sua capacidade, por exemplo, em detecção pró-ativa, impedindo usuários de visitar sites infectados ou baixar arquivos suspeitos. Esse aumento da prevenção leva inevitavelmente a menos detecções de vírus em computadores. Portanto, o número real de tentativas de contaminação com cavalos de Tróia para fraude financeira provável é muito maior do que a quantidade de infecções reais.

Outro fato importante é que o número médio de organizações atacadas em 2015 foi de 93, por amostra. Isso representa um aumento de 232% sobre o ano anterior, o que indica que cada uma das amostras individualmente busca mais eficácia. O maior alvo no ano foi um banco situado nos Estados Unidos: atacado por 78,2% dos cavalos de Tróia analisados.

Apesar de o spam com anexos maliciosos via e-mail continuar sendo o meio mais comum para distribuição de cavalos de Tróia financeiros, os cibercriminosos já começam a voltar os olhos para um prêmio maior. O alvo agora são as instituições financeiras, que começam a ser atacadas diretamente. Essa é uma tendência que se tornou evidente ao longo de 2015. Exemplos disso podem ser vistos nos ataques do grupo Carbanak e na recente invasão do Banco de Bangladesh, que, segundo informações da imprensa, teve perdas estimadas em torno de 100 milhões de dólares.

As táticas são simples: por meio de métodos de ataque clássicos, como spear-phishing, os cibercriminosos estabelecem um ponto de apoio dentro da instituição financeira. A partir daí, o atacante aprende a transferir dinheiro, efetuar transações fraudulentas, ou manipular caixas eletrônicos para liberar dinheiro.

Você encontra mais detalhes sobre esses ataques no Blog Post e também no Whitepaper: Ameaças Financeiras 2015 da Symantec. Caso queira falar com um especialista em segurança da Symantec, por favor, entre em contato com a Market21 Comunicação.

O volume de malware criados para usuários de dispositivos móveis aumentou mais de três vezes em 2015, em comparação com 2014. No ano passado, as principais ameaças foram os ransomware, programas maliciosos capazes de obter dados ilimitados nos dispositivos infectados, além dos ladrões de informações – como os trojans financeiros. Essas foram as principais conclusões do relatório anual Mobile Virusology, elaborado pelo grupo de pesquisa antimalware da Kaspersky Lab.

Os dados da pesquisa revelam que no período de 2014 a 2015, passaram a existir três vezes mais programas maliciosos, aumentando de 295.539 para 884.774. A quantidade de ataques de ransomware em dispositivos móveis cresceu cinco vezes em relação ao ano anterior, passando de 18.478 para 94,344. Por fim, o número de novos trojans para Internet Banking em dispositivos móveis sofreu uma queda, indo de 16.586 para 7.030 no referido período.

O ransomware (golpe sequestrador) está em ascensão

O ano de 2015 foi marcado pelo ransomware. Quando um dispositivo é infectado por esse tipo de malware, o aplicativo malicioso bloqueia o aparelho e uma janela pop-up aparece com a mensagem de que o usuário executou ações ilegais. Para desbloquear o equipamento, ele deve pagar um resgate que varia entre US$ 12 e US$ 100.

Nesse período de 12 meses, o número de usuários dos produtos da Kaspersky Lab para dispositivos móveis afetados pelo ransomware aumentou de 1,1% para 3,8%. Foram registrados ataques em 156 países, sendo a Rússia, Alemanha e Cazaquistão os mais afetados.

Na Rússia e Cazaquistão, o Trojan-Ransom.AndroidOS.Small e sua variante Trojan-Ransom.AndroidOS.Small.o foram os mais ativos. E o agente nocivo Small.o foi o mais disseminado de todos os ransomware para dispositivos móveis detectados pela Kaspersky Lab no último ano.

O número de alterações nos códigos dos ransomware cresceu 3,5 vezes, denotando que os criminosos estão achando mais rentável extrair dinheiro dos usuários por meio de chantagem. Em 2016, provavelmente haverá um aumento na complexidade do malware e de suas variações, com mais regiões e usuários afetados.

Malware com direitos de acesso de administrador: outro avanço ameaçador!

Quase metade dos 20 principais trojans de 2015 exibiam publicidade invasiva em dispositivos móveis, os mais disseminados no último ano foram as famílias Fadeb, Leech, Rootnik, Gorpro e Ztorg.

Os cibercriminosos usaram todos os métodos disponíveis para propagar esses trojans, como banners maliciosos, jogos infectados e outros aplicativos publicados em lojas oficiais. Em alguns casos, esses malware foram posicionados como software pré-instalados no sistema operacional, pelo fabricante do dispositivo.

Alguns desses aplicativos conseguem obter direitos de administrador ou acesso raiz, dando aos invasores capacidade quase ilimitada de modificar as informações armazenadas no dispositivo infectado. Se a instalação for bem-sucedida, é praticamente impossível detectar o malware, mesmo após a restauração das configurações de fábrica. Os programas maliciosos para dispositivos móveis capazes de obter acesso raiz são conhecidos desde 2011 e, no último ano, tiveram grande popularidade entre os cibercriminosos.

Cuide do seu dinheiro, pois os malware para Mobile Banking estão cada vez mais complexos

Os trojans direcionados ao Mobile Banking estão se tornando cada vez mais complexos, apesar do menor número de modificações encontradas. Os mecanismos usados por esses aplicativos maliciosos continuam os mesmos: depois de entrar no sistema/dispositivo da vítima, ele sobrepõe páginas legítimas do banco ou aplicativos de pagamento online por páginas falsas. No entanto, a escala de utilização desse malware cresceu significativamente em 2015.

Agora os cibercriminosos conseguem atacar clientes de dezenas de bancos, localizados em países diferentes, usando o mesmo malware. Até pouco tempo atrás, cada aplicativo malicioso conseguia afetar apenas uma ou duas organizações financeiras e em alguns países. Um exemplo de aplicativo malicioso com vários alvos é o trojan Acecard, que conta com ferramentas para atacar usuários de dezenas de bancos e serviços web.

“Conforme os dispositivos móveis se tornam cada vez mais práticos, os cibercriminosos desenvolveram ataques mais sofisticados para tentar roubar o dinheiro dos usuários. O ano de 2015 foi marcado por trojans direcionados ao Mobile Banking e do ransomware. O adware foi bastante usado para infectar dispositivos com programas maliciosos mais avançados. Também observamos um interesse crescente em malware capazes de obter acesso de administrador nos dispositivos das vítimas. Para ficar seguro, não deixe de usar uma solução antimalware para dispositivos móveis de confiança. Lembre-se de que é melhor prevenir a ameaça do que lidar com os prejuízos após uma infecção”, adverte Fabio Assolini, analista sênior de malware da Kaspersky Lab no Brasil.

A RSA, a divisão de segurança da EMC, difundiu os resultados de uma nova pesquisa de eficácia na detecção de ameaçadas que reuniu a percepção de mais de 160 organizações do mundo todo.

A pesquisa fornece uma valiosa percepção global sobre qual tecnologia é usada pelas organizações, que dados elas coletam para apoiar esse esforço e qual a satisfação com os conjuntos de ferramentas atuais.

Além disso, as organizações foram perguntadas em quais tecnologias planejam investir e como pretendem aprimorar suas estratégias no futuro. O principal resultado da pesquisa é que as empresas ainda contam com uma base fragmentada de dados, e que a tecnologia de detecção e investigação não é capaz de atingir os resultados esperados por seus programas de monitoramento e segurança.

Os participantes expressaram insatisfação com seus atuais recursos de detecção e investigação. Quase 80% das organizações consultadas afirmaram não estar satisfeitos com sua capacidade para detectar e investigar ameaças. A velocidade nessa área é amplamente reconhecida como um fator crítico para minimizar perdas e danos e de ataques cibernéticos. Até 90% manifestaram não poder detectar ameaças rapidamente, e 88% admitem não ser capazes de investigar ameaças com rapidez. A incapacidade de detectar ameaças rapidamente é um fator essencial do motivo pelo qual as organizações estão passando por violações de dados em que os invasores são capazes de permanecer na rede por longos períodos antes de serem descobertos.

Os participantes não consideraram nenhuma de suas tecnologias de detecção e investigação particularmente eficazes, dando a todas, uma classificação média de “algo eficaz.” As organizações continuam a demonstrar um excesso de confiança no SIEM (Security information and event management), que embora seja utilizado por mais de dois terços dos participantes, não é consistentemente somado com tecnologias como captura de pacote de rede, ferramentas avançadas de ponto de extremidade e antimalware que poderiam aprimorar de modo considerável os recursos de detecção e investigação de ameaças.

Os dados que as organizações coletam atualmente não fornecem a visibilidade adequada. Menos da metade das organizações consultadas estão coletando dados de pacote de rede ou dados de fluxo de rede, que oferecem uma percepção confiável sobre ataques avançados, e apenas 59% coletam dados de pontos de extremidade que podem ser usados para encontrar pontos de comprometimento.

Entretanto, as organizações que incorporaram essas fontes de dados em suas estratégias de detecção as consideram extremamente valiosas: as organizações que coletam dados de pacote de rede atribuíram 66% mais valor a esses dados para detectar e investigar ameaças que aquelas que não o fazem, e as que coletam dados de pontos de extremidade atribuíram 57% mais valor a esses dados que aquelas que não o fazem.

A integração de dados também é um problema. Um quarto dos participantes não integram nenhum tipo de dado, e somente 21% faz com que todos seus dados possam ser acessados em uma só fonte. A prevalência de dados isolados impede a correlação entre fontes, retarda as investigações e limita a visibilidade do escopo completo de um ataque. Apenas 10% dos participantes sentem que podem conectar “muito bem” a atividade de invasores entre todas as fontes de dados que coletam.

Finalmente, uma descoberta motivadora foi o aumento da importância de dados de identidade para auxiliar a detecção e investigação. Embora apenas pouco mais da metade das organizações colete dados de identidade e sistemas de acesso atualmente, aquelas que o fazem atribuíram 77% mais valor a esses dados para a detecção que aquelas que não o fazem.

Além disso, a lógica analítica comportamental, que pode ajudar as organizações a simplificar a detecção com base na identificação de padrões anormais de atividade é o investimento planejado em tecnologia mais comum, e 33% dos participantes planejam adotar essa tecnologia dentro dos próximos 12 meses.

Metodologia
A pesquisa global quantitativa da RSA foi realizada on-line entre janeiro e fevereiro de 2016. Todos os participantes qualificados informaram pessoalmente todos os dados. Mais de 160 organizações participaram, sendo 44% com menos de 1.000 funcionários, 31% entre 1.000 e 10.000 funcionários, e 25% com mais de 10.000 funcionários. Os participantes representavam 22 setores diferentes, com 58% provenientes do continente americano, 26|% da Europa e do Oriente Médio e 15% da Ásia Pacífico e Japão.

DECLARAÇÃO DE EXECUTIVO:
Amit Yoran, presidente, RSA

“Esta pesquisa reforça nossa maior preocupação de que as organizações atualmente não estão tomando, e em muitos casos não estão planejando tomar, as medidas necessárias para se proteger de ameaças avançadas. Elas não estão coletando os dados corretos, não estão integrando os dados coletados e estão se concentrando em tecnologias de prevenção antiquadas. A realidade atual demanda que elas completem lacunas de visibilidade, tenham uma abordagem mais consistente na implementação das tecnologias mais importante e acelerem o abandono das estratégias preventivas.”