Os ciberataques a smartphones com Android e tablets no segundo trimestre deste ano tiveram aumento de cerca de 40%, o que representa uma média de 1,2 milhão até 1,7 milhão de ataques por mês, de acordo com nova pesquisa da Avast, fornecedora de produtos de segurança digital.
Os pesquisadores da empresa rastrearam uma média de 788 variações de vírus por mês, cerca de 22,2% a mais do que no segundo trimestre do ano passado. As descobertas também mostram que três principais ameaças móveis são projetadas para espionar e roubar informações pessoais (chamados “rooters”), e manter spam com anúncios para os usuários mesmo que estejam fora do aplicativo (nomeados “downloaders/droppers” e “fake apps”).
“Ataques de cibersegurança contra dispositivos móveis estão crescendo rapidamente, assim como as estratégias dos hackers tem se tornado mais ágeis e perigosas. O que está em jogo são os dados pessoais e a privacidade dos usuários”, disse Gagan Singh, vice-presidente sênior e diretor geral para Mobile e IoT da Avast. “Nós constantemente atualizamos as nossas soluções de segurança mobile com o objetivo de combater as novas ameaças, agregando tecnologias de aprendizado de máquina [machine learning] e inteligência artificial (IA) combinadas com a maior rede de detecção de ameaças do mundo, de forma que os consumidores possam eliminar tais ameaças com facilidade e sintam-se seguros no universo online “, destacou.
Saiba como funcionam as três maiores ameaças para dispositivos móveis detectadas no segundo trimestre:
1. Rooters (22,8%) — Os rooters requerem amplo acesso ao smartphone (até mesmo de partes inacessíveis para um usuário comum), ou agem como exploits para obter esse vasto acesso. Assim, ganham o controle do dispositivo para espionar o usuário e roubar suas informações.
2. Downloaders (22,76%) — Downloaders ou droppers usam táticas de mecanismos sociais para enganar as vítimas e instalar aplicativos maliciosos. Os droppers também mostram tipicamente anúncios em tela cheia, mesmo estando fora do aplicativo. Esses anúncios não apenas incomodam, mas são frequentemente vinculados com sites suspeitos.
3. Fake apps (6,97%) — Aplicativos ilegítimos que se posicionam como reais, para gerar downloads e expor usuários a anúncios publicitários.
No ano passado ocorreu um fato interessante: os cibercriminosos aproveitaram as vulnerabilidades dos dispositivos da Internet das Coisas (IoT) e os transformaram em um malvado exército fraudulento. Como consequência, uma série de ataques distribuídos de negação de serviço (DDoS) afetou os sites web conectados à Dyn, uma empresa de gestão de rendimento de Internet na nuvem; entre esses sites estavam os da Amazon, Twitter, Reddit, Spotify e PayPal e possivelmente foi um ponto decisivo na história dos ataques.
“Tudo isso tem demonstrado o quão vulnerável é a Internet, que constitui uma parte integral da infraestrutura crítica dos Estados Unidos e de muitos outros países, diante do abuso prejudicial de dispositivos realizado em escala, pelas pessoas cuja identidade não é possível determinar de forma direta”, concluiu Stephen Cobb da ESET quando analisou o ocorrido.
Com a chegada de datas comemorativas e a volatilidade cada vez maior dos mercados mundiais, que nunca dependeram tanto das transações online, todo o mundo está desesperado para impedir que esses ataques se repitam.
1. E o que é mesmo a IoT?
Embora existam várias definições, a Internet das Coisas se refere aos “dispositivos inteligentes”, como as geladeiras que nos avisam quando acaba o leite, ou os automóveis modernos. No entanto, também existem muitos objetos menores e menos extravagantes, como termostatos e máquinas de café. Esses gadgets estão integrados com eletrônica, software, sensores e conectividade de rede para poder conectar-se a Internet.
2. Então, qual é o problema?
Qualquer coisa que se conecte à Internet, por mais que não contenha o seu histórico médico, é sempre um risco. Os ataques que ocorreram no ano passado foram possíveis devido à grande quantidade de dispositivos digitais desprotegidos conectados à Internet, tais como roteadores domésticos e câmeras de vigilância.
Os atacantes infectaram a milhares deles com códigos maliciosos para formar uma botnet. Embora não seja um meio sofisticado de ataque, sua força resulta nos números, já que os dispositivos infectados podem ser utilizados para afetar os servidores alvo, especialmente se fazem isso de uma só vez.
3. Como os ataques realmente acontecem?
Você lembra de uma parte do manual de instruções do seu dispositivo que diz para trocar a senha padrão? Caso isso não seja feito, é possível que o seu dispositivo IoT comece a agir como um zumbi cibernético, já que os criadores de ataques DDoS conhecem as senhas padrão de muitos dispositivos IoT e as usam para obter acesso. É como deixar as chaves de sua casa debaixo de um tapete na entrada, permitindo que qualquer pessoa as encontre.
Todo aquele que possua um roteador online, uma câmera, uma TV ou inclusive uma geladeira da IoT sem antes trocar a senha padrão está permitindo que realizem ataques desse tipo. As recentes pesquisas realizadas pela ESET sugerem que pelo menos 15% dos roteadores domésticos não estão protegidos, ou seja, que existe potencialmente 105 milhões de roteadores fraudulentos.
4.Preciso de dispositivos da IoT?
Algumas pessoas não usam os dispositivos da IoT por considerar tudo isso como artificial; outras acreditam que em poucos anos todos teremos armários inteligentes que dirão o que podemos escolher para jantar.
No entanto, há uma grande quantidade de benefícios perceptíveis, como os sensores dos smarphones e os relógios inteligentes que proporcionam informação real sobre nossa saúde, ou os sistemas telemáticos de caixa preta nos automóveis, que avaliam se o motorista dirige de forma segura, servindo até mesmo como forma para acionar os seguros.
5. Esse problema é novo?
Não. A possibilidade de aproveitar esse tipo de vulnerabilidade tem sido de conhecimento geral desde o surgimento da IoT, embora não tenhamos percebido o quão vulneráveis eram até o ano passado. O código malicioso que infecta roteadores também não é algo novo, como demostra a conclusão do Linux/Moose pela ESET; no entanto, os ataques à IoT e particularmente o Ransomware das Coisas estão começando a se transformar em uma tendência, como assinalou Stephen Cobb no relatório de Tendências para 2017.
6. Quando isso começou?
A existência da IoT remonta à década de 1980, mas em uma versão semelhante ao filme De Volta para o Futuro. Os pesquisadores da Universidade Carnegie Mellon conseguiram criar uma máquina de venda automática de Coca-Cola conectada à Internet em 1982.
7. Os gigantes da Internet terão o poder para impedir essas ameaças?
Com certeza sim, mas isso não significa que alguns não tenham deixado vulnerabilidades disponíveis e que podem ser aproveitadas de forma maliciosa. Na conferência de segurança de Black Hat do ano passado, os estudantes de pesquisa em segurança da Universidade estadunidense da Florida Central demonstraram como podem infectar o termostato Nest do Google em 15 segundos.
Daniel Buentello, um dos membros da equipe, havia dito em 2014: “Esse é um computador no qual o usuário não pode instalar um antivírus. Pior ainda, tem uma porta traseira secreta que um ciberdelinquente pode usar e permanecer ali para sempre, observando tudo sem ser detectado”.
8. O que é possível fazer para impedir esses ataques?
Considere que os dispositivos IoT são como qualquer computador. Por isso, é necessário trocar (de imediato) a senha padrão e comprovar regularmente os patches de segurança. Use a interface HTTPS sempre que seja possível e desligue o dispositivo quando não for mais necessário utilizá-lo. Além disso, desative outros protocolos de conexão (que não estejam em uso).
Mesmo que essas medidas pareçam bastante simples, você ficaria surpreso com a quantidade de pessoas que optam pela conveniência em vez do sentido comum. Apenas a metade dos participantes em um questionário realizado pela ESET disseram que haviam trocado a senha do roteador.
9. E as empresa? O que podem fazer?
Você pode pensar: “Para que se incomodar? Se a Amazon pode ser vítima de um ataque, imagina a minha empresa?”
As empresas podem se defender contra os ataques DDoS de diversas formas, que incluem melhorar a infraestrutura de suas redes e garantir a visibilidade completa do tráfego que entra ou saí. Isso pode ajudar a detectar ataques de DDoS, além de garantir que a empresa conta com suficiente capacidade e habilidade de mitigação. Por último, é necessário ter um plano de defesa contra os ataques de DDoS, mantendo-o atualizado e realizando testagens de forma periódica. Pense como uma simulação de um incêndio para a rede.
Também é importante ter cuidado com os servidores Telnet. São os dinossauros do universo digital e, como tais, devem ter sido extintos porque são muito mais vulneráveis e podem ser aproveitados de forma maliciosa. Nunca conecte um desses servidores a um dispositivo público.
10. Mas…
Embora a tecnologia esteja presenta há um bom tempo, esse tipo de ataque é relativamente novo. Portanto, ainda não existem métodos predefinidos de prevenção, embora existam manuais de melhores práticas que nos dizem como evitar que um dispositivo da IoT se volte contra nós.
Pelo menos, ainda não existe nada que coloque os experts em um comum acordo . Alguns acham que se deve instalar um firewall em casa ou mesmo na empresa para restringir o controle de todos os dispositivos aos usuários autorizados. No entanto, outro método seria usar certificações, ou seja, permitir que os usuários com o certificado de segurança adequado controlem os dispositivos todas as vezes que bloqueiam automaticamente os outros perfis não autorizados.
Em caso de dúvida, desligue o dispositivo da tomada.
Pesquisadores acreditam que outros ataques de ransomware começarão a explorar a mesma vulnerabilidade do Windows.
Milhares de organizações em todo o mundo foram pegas desprevenidas pelo ataque do ransomware WannaCry, ocorrido na sexta-feira, 12. Como o vírus se espalhou rapidamente, mais cibercriminosos agora estarão propensos a tentar lucrar com isso e vulnerabilidades similares.
Como um programa de ransomware, o WannaCry em si não é tão especial ou mais sofisticado que os demais. Na verdade, uma versão anterior do programa foi distribuída entre março e abril e, a julgar pela sua disseminação, seus criadores não são muito hábeis.
A diferença entre os ataques anteriores do WannaCry e o mais recente é a existência de um componente do tipo worm que infecta outros computadores explorando uma vulnerabilidade de execução crítica de código remoto na implementação do protocolo Server Message Block 1.0 (SMBv1) do Windows.
A Microsoft lançou um patch para essa vulnerabilidade em março e, na esteira do ataque de sexta-feira, chegou até a liberar correções para versões mais antigas do Windows que não são mais atualizadas, tais como Windows 8, Windows XP e Windows Server 2013.
Os hackers do WannaCry não tiveram muito trabalho também para construir o componente baseado no SMBv1, já que simplesmente adaptaram um kit de ataque existente vazado em abril por um grupo de cibercriminosos autodenominado Shadow Brokers. O kit, de codinome EternalBlue, fez parte do arsenal do Equation, grupo de cibercriminosos que, acredita-se, tem ligações com membros da equipe da Agência de Segurança Nacional dos EUA (NSA).
A versão do WannaCry que se propagou através do EternalBlue na sexta-feira tinha uma peculiaridade: tentou entrar em contato com um domínio não registrado e interrompido a ação quando conseguiu acessá-lo, impedindo a infecção. Um pesquisador que usa o apelido MalwareTech rapidamente percebeu que isso poderia ser usado como um “interruptor” do ataque e registrou o domínio para retardar a propagação do ransomware.
Desde então, pesquisadores descobriram mais duas versões: uma que tenta entrar em contato com um nome de domínio diferente — que os pesquisadores conseguiram também registrar e não tem nenhum recurso de interrupção de ataque aparente. No entanto, a última versão não está funcionando e parece ter sido um teste feito por alguém que remendou manualmente o binário para remover a chave de segurança, em vez de recompilá-lo do seu código-fonte original. Isto levou os pesquisadores a concluir que provavelmente não é um trabalho de hackers experientes.
Especialistas do fórum de suporte BleepingComputer.comdescobriram quatro imitações do WannaCry até agora. Esses programas estão em vários estágios de desenvolvimento e tentam disfarçar-se como WannaCry, embora alguns deles não sejam capazes de criptografar arquivos.
Isso indica que ataques, tanto dos autores WannaCry e como de outros cibercriminosos, provavelmente continuarão e, apesar de patches disponíveis, muitos sistemas provavelmente permanecerão vulneráveis por algum tempo. Afinal de contas, fornecedores de sistemas de segurança ainda estão analisando os ataques bem-sucedidos ao MS08-067, vulnerabilidade do Windows que permitiu que o worm Conficker se espalhasse há nove anos.
O estrategista chefe de segurança da Bitdefender, Catalin Cosoi, acredita que os ataques vão piorar antes de melhorar. “Vamos ter uma das mais graves ameaças nos próximos 12 meses”, disse ele em um post no blog sobre a vulnerabilidade o EternalBlue e os ataques em curso.
Cosoi acredita que grupos de cibercriminosos patrocinados por governos também poderiam aproveitar a falha no protocolo SMBv1 para instalar backdoors em computadores enquanto os especialistas em segurança estão ocupados lidando com o ataque do WannaCry.
A BinaryEdge, empresa de segurança especializada em análises de toda a internet, detectou mais de 1 milhão sistemas Windows que têm o SMB exposto na internet. O número é consideravelmente superior às 200 mil máquinas afetadas pelo WannaCry, então há potencial para mais ataques e vítimas.
O sucesso do WannaCry mostrou que um grande número de organizações está relegando as atualizações de correções, sendo que muitas deles têm versões antigas do Windows. Em certa medida, isto é compreensível porque implantar patches em ambientes com um grande número de sistemas não é uma tarefa fácil. As empresas precisam testar os patches antes de instalá-los para garantir que não têm problemas de compatibilidade com aplicativos existentes ou possam interromper fluxos de trabalho existentes.
Em outros casos, as organizações podem estar presas a certos sistemas que executam versões do Windows sem suporte e não têm recursos financeiros para atualizar ou substitui-los. Este é o caso de caixas eletrônicos, dispositivos médicos, máquinas de tíquetes, quiosques de autoatendimento, como aqueles em aeroportos e até mesmo servidores que executam aplicativos legados que não podem facilmente ser redesenhados.
O sucesso do WannaCry revela que existem muitos sistemas vulneráveis em redes corporativas que podem ser atacados por meio de velhas façanhas. É possível que os cibercriminosos tentem usar outras táticas do Equation/NSA vazadas pelo Shadow Brokers ou serão mais rápidos adotar outras façanhas para futuras falhas que permitem ataques similares, em grande escala, em redes locais (LANs).