México foi o país mais atacado com 54%, seguido pelo Brasil com 31% dos registros em 2016, principalmente pelo malware Locky, segundo centro de pesquisas de ameaças da Palo Alto Networks.
A América Latina é uma das regiões com maior crescimento de usuários de internet, superando recentemente a América do Norte. Nos últimos anos, a região experimentou um aumento explosivo no número de usuários online — de 237 milhões em 2015 para 260 milhões registrados em 2016, segundo a Forbes — e, com isso, cresceram também os desafios, já que despertou a atenção dos cibercriminosos para os países locais.
Entre julho e dezembro do ano passado, o Unit 42, centro de pesquisas de ameaças da Palo Alto Networks, observou cerca de 530 mil sessões únicas de malware desconhecido em toda a região latino-americana, com ênfase no México, Brasil, Colombia, Argentina, em mais de 37 mil amostras.
Durante esse período, 89% do malware analisado foi entregue por e-mail phishing, seguidos de simples navegação na web por usuários, com destaque para o formato variante de ransomware conhecido como Locky. O Locky foi descoberto em fevereiro de 2016 e apresenta risco por utilizar a Infraestrutura de Chaves Públicas (ICP) para criptografia e está evoluindo constantemente para driblar os controles de segurança. No fim de novembro e início de dezembro daquele ano, durante período de compras natalinas, o estudo revela um aumento significativo na quantidade de atividade maliciosa na América Latina — o que demonstra de forma indireta um aumento no formato de compras online. Já às vésperas do Natal e logo depois dessa data houve uma queda brusca nas atividades registradas.
Outro destaque do estudo está relacionado a uma série de ataques ao sistema financeiro vinculado ao grupo Lazarus. O ataque visa o sistema de pagamento internacional Swift, alterando sites de instituições financeiras para redirecionar as vítimas a um exploit customizado. Dois websites de instituições financeiras na América Latina, no México e Uruguai, especificamente, foram identificados por redirecionar vítimas ao utilizar vulnerabilidades do Adobe Flash e Microsoft Silverlight. Os pesquisadores também detectaram uma lista de subredes direcionadas dentro do código exploit e estes incluíam endereços IP do México, Chile, Brasil, Peru e Colômbia.
O estudo aponta que o México foi o mais prejudicado no segundo semestre do ano passado, com 54% dos ataques concentrados no país. Em seguida vem o Brasil, atingindo a marca de 31%, com destaque para o formato variante de ransomware Locky, que gerou mais de 70% de toda atividade maliciosa no território. Além do Locky, a Unit 42 também observou a atividade de uma campanha chamada Distribuição CerberSage, que utiliza documentos maliciosos do Office para entregar não apenas Locky, mas também outros dois tipos de ransomware, Cerber e Sage.
O Cerber trata-se de um ransomware atualizado regularmente e com uma taxa elevada do sucesso em criptografar hosts. Já o Sage é um ransomware mais novo com comportamento semelhante a outros como Locky ou Cerber, mas consegue geolocalizar a vítima e adicionar um mecanismo de persistência para que a infecção começe toda vez que o usuário faz logon no Windows.
Na Argentina, 66% das atividades maliciosas foram provenientes do Locky e 98% do Bayrob Trojan, que também afetou fortemente a Colômbia. Descoberto em 2007, o Byrob permite acesso completo ao host infectado para roubo de informação pessoal, como número do cartão de crédito. Curiosamente, a Colômbia foi um dos poucos países no mundo inteiro que não registraram maioria de ataques por Locky.
A América Latina está em rápida expansão de usuários de internet e a tendência é aumentar. E os cibercriminosos estão cientes desse fenômeno e passaram a tratar região como um mercado emergente que merece investimento. O roubo de informações e a atividade de Trojans bancários também merecem atenção, pois podem indicar que os criminosos estão observando o aumento do uso de serviços bancários online e outros serviços virtuais no dia a dia na região.
Com esse cenário, é fundamental que sejam implantadas estratégias fortes de cibersegurança em toda a região. O aproveitamento de políticas básicas, como privilégios de usuário, bloqueio de anexos executáveis em e-mails e atualização de aplicações podem impedir os agentes maliciosos de concluírem o ataque. Emparelhar essas políticas com a implementação de tecnologias de segurança pode aumentar a eficácia das estratégias e manter uma postura de segurança em toda a região.
Fonte: Computer World