NGAV devem substituir as soluções tradicionais 

Analistas preveem que, nos próximos cinco anos, o mercado de antivírus de próxima geração (Next Generation Antivírus, na sigla em inglês) deverá crescer a uma margem de 60% ao ano.

E esse crescimento será impulsionado pela demanda do mercado em obter soluções mais robustas, e que possam prevenir os ataques a partir do endpoint, e que utilizam como gatilho o comportamento do usuário final.

Embora o UBA (User Behaviour Analytics) faça o endereçamento essas demandas, ele não previne a infecção, e age apenas na detecção da ameaça quando já está agindo internamente.

Aliás, qual é a principal diferença dos antivírus de próxima geração em relação às soluções atuais de segurança?

Os antivírus tradicionais não conseguem fazer a prevenção, como veremos mais abaixo, e as ferramentas baseadas em UBA agem somente depois que o código malicioso está em ação na rede.

A partir deste ponto, é impossível definir qual é a extensão dos danos causados.

A questão é que os antivírus tradicionais não conseguem prevenir ou detectar qualquer tipo Ameaça Persistente Avançada (ATP, na sigla em inglês), por causa do seu alto grau de complexidade.

Apenas soluções que envolvem várias técnicas de prevenção e detecção estão prontas para mitigar este tipo de ataque.

Por que os tradicionais antivírus não funcionam mais?

Os antivírus tradicionais, ao longo de sua história, sempre funcionaram varrendo os arquivos à procura de algum tipo de assinatura – ou seja, pedaços de códigos encontrados em outros tipos de ataques e já documentados.

As bases de dados das assinaturas, distribuídas pelas empresas de antivírus, acabam se revelando um método efetivo somente para as ameaças tradicionais – para esse novo tipo de ataque, são ineficientes por várias razões.

O número de códigos maliciosos e sua velocidade de criação são enormes – e, com isso, as bases de dados de assinaturas só vão aumentando.

Mais do que isso, o método de assinaturas é totalmente ineficaz contra ataques de dia zero (zero-day) – cujo código nunca foi visto antes.

Para coibir a complexidade dessas ameaças, o mais eficaz é utilizar sistemas que possam detectar malware com base no fato de que o código é malicioso – e irá se comportar como tal.

Sistemas tradicionais não conseguem fazer essa detecção pelo simples motivo de que não conseguem “aprender” com o comportamento da máquina.

Ou seja: é preciso utilizar técnicas de Inteligência Artificial para permitir a identificação de padrões de comportamento de máquina além da assinatura.

Machine Learning

Antivírus de próxima geração têm como base machine learning (aprendizado de máquina) e Inteligência Artificial.

Essas ferramentas têm seus algoritmos treinados para reconhecer se um determinado elemento é seguro ou não, a partir do aprendizado prévio.

Uma vez que os algoritmos estejam “treinados”, estão prontos para trabalhar com desafios reais e determinar o que é seguro e o que não é.

Aparentemente o problema estaria resolvido, mas a questão vai além.

Eventualmente, é possível que um arquivo seguro seja classificado como “inseguro”, ou uma aplicação seja bloqueada.

Nesses casos, como funciona um antivírus de próxima geração baseado em Inteligência Artificial?

Irá testar o arquivo para determinar seu grau de confiabilidade.

Se realmente houver uma ameaça, a AI (Artificial Intelligence) é capaz de utilizar esse conhecimento para mitigar ataques futuros.

Artificial Intelligence

Muitas empresas de Segurança da Informação estão desenvolvendo pesquisas voltadas para Inteligência Artificial – não é possível ignorar a tendência, principalmente com a complexidade cada vez mais alta dos ataques.

E uma delas é a norte-americana Cylance, que baseia seu antivírus de próxima geração em Inteligência Artificial.

A Cylance se especializou em criar proteção para o endpoint a partir do aprendizado de máquina, e não das assinaturas reativas.

A Cylance detecta e bloqueia ameaças conhecidas e desconhecidas.

E isso é possível porque a empresa desenvolveu uma plataforma de pesquisa baseada em machine learning que utiliza algoritmos e Inteligência Artificial para analisar e classificar milhares de características por arquivo, compartimentando-os até um nível atômico para decidir se um objeto é seguro ou não, em tempo real.

Como isso funciona?

Pense em como a máquina consegue distinguir a fotografia de um gato da de um cachorro. Cães e gatos têm orelhas e narizes, e são peludos. Para fazer essa distinção, é preciso analisar um volume enorme de detalhes.

O mesmo acontece ao tentar distinguir um PDF seguro de um código malicioso: não há um indicador único.

A rede de Inteligência Artificial precisa examinar uma enorme quantidade de dados para fazer um julgamento confiável.

A abordagem matemática da Cylance permite a interrupção de qualquer código malicioso, independente se o sistema tem algum conhecimento prévio daquele código, ou se o código está utilizando algum tipo de técnica para coibir sua identificação.

Recentemente, a PROOF fechou uma parceria com a Cylance para incorporar às ferramentas da fabricante ao seu serviço de MSS, que se tornou o primeiro no Brasil a oferecer soluções de antivírus de próxima geração.

As soluções de da Cylance são capazes de prevenir ameaças avançadas, do tipo zero-day e ransomwares, complementando ou substituindo os antivírus tradicionais.

Contra o Ransomware

Os antivírus de próxima geração são especialmente eficazes quando se trata do ransomware – uma das maiores ameaças de 2016, que consumiu recursos e tirou o sono de vários gestores.

Isso porque é muito fácil obter um código malicioso de ransomware – não é preciso que o criminoso tenha sequer conhecimentos específicos.

Para agravar a situação, o ransomware não está mais sendo utilizado para somente sequestro de dados e pedido de resgate.

Em alguns casos, o ransomware é usado como uma distração para acobertar um crime mais grave: primeiro o criminoso rouba credenciais, e depois criptografa as informações para manter o time de TI ocupado enquanto informações mais importantes ou sensíveis são roubadas.

No caso do ransomware, empresas como a Cylance também possuem soluções que endereçam essas ameaças de maneira mais efetiva, atuando na prevenção do problema.

O aprendizado de máquina e a Inteligência Artificial permitem realizar ações de prevenção altamente eficazes contra esse tipo de ameaça – que não é detectável pelo antivírus tradicional e embora possa ser identificada pelas ferramentas UBA, é possível que o aviso seja emitido tarde demais.

Ataques Zero-day

Em um teste realizado em janeiro deste ano, 140 códigos maliciosos de ataques zero-day rodaram em uma máquina de testes que utiliza o CylancePROTECT.

A ferramenta permitiu que apenas três códigos maliciosos fossem executados na máquina – um deles foi bloqueado na execução, e os outros dois seguiram.

O resultado do teste mostrou que a solução da Cylance bloqueou 97.9% das ameaças zero-day.

Mais do que isso, o modelo matemático utilizado pelo CylancePROTECT nesse teste foi o mesmo criado em setembro de 2015, e não teve qualquer atualização.

Ao contrário dos antivírus tradicionais, que precisam ter sua base atualizada, a Inteligência Artificial desenvolvida pela Cylance permite a prevenção de ataques complexos e desconhecidos.

Outro teste realizado pela Cylance consistiu em 14.658 amostras de malware, dividido em várias categorias diferentes, como backdoors, bots, vírus, worms, downloaders, aplicativos para roubo de senhas, entre outros.

Deste total, ao menos 97% foram bloqueados antes de serem executados.

Dados da Kaspersky estimam que o Brasil concentra 92,31% de todos os casos de ransomware na América Latina.

Além disso, informações do ISTR Symantec 2016 revelam que os ataques de ransomware cresceram 35% em relação ao ano de 2015, sendo registrados cerca de 992 ataques por dia.

Preocupante, não?

Entenda sobre vulnerabilidades zero-day em apenas 10 minutos

[av_slideshow_full size=’entry_without_sidebar’ min_height=’0px’ stretch=” animation=’slide’ autoplay=’false’ interval=’5′ control_layout=’av-control-default’ src=” attachment=” attachment_size=” position=’top left’ repeat=’no-repeat’ attach=’scroll’]
[av_slide_full slide_type=’image’ id=’6559′ video=’http://’ mobile_image=” video_format=” video_ratio=’16:9′ title=” custom_title_size=” custom_content_size=” caption_pos=’caption_bottom’ link_apply=” link=’lightbox’ link_target=” button_label=’Click me’ button_color=’light’ link1=’manually,http://’ link_target1=” button_label2=’Click me’ button_color2=’light’ link2=’manually,http://’ link_target2=” font_color=” custom_title=” custom_content=” overlay_opacity=’0.5′ overlay_color=” overlay_pattern=” overlay_custom_pattern=”][/av_slide_full]

[/av_slideshow_full]

[av_textblock size=” font_color=” color=”]

Entenda sobre vulnerabilidades zero-day (ou de dia zero) em apenas 10 minutos

As vulnerabilidades zero-day (ou de dia zero) são aquelas em que hackers blackhat encontram e que poderiam ser exploradas antes que os desenvolvedores tenham tempo de reagir a respeito.

Mas é claro que nem todas as vulnerabilidades descobertas são do tipo zero-day.

A maioria das falhas de segurança são descobertas por outros desenvolvedores ou hackers whitehat em programas de Bug Hunting, por exemplo. Você já deve ter ouvido falar do Project Zero, certo?

Se não, vai ouvir agora. O Project Zero é uma iniciativa do Google para descobrir falhas de segurança em softwares de outras empresas antes que elas se tornem públicas. Seu objetivo é tornar a web mais segura.

Isso porque, com tempo suficiente para consertar as vulnerabilidades, os desenvolvedores podem lançar um patch de correção para que os usuários atualizem seus sistemas e fiquem seguros.

SOBRE OS USUÁRIOS

Uma premissa muito atestada no universo de segurança da informação é de que o usuário é o elo mais fraco da corrente.

Isso justifica o porquê de os atacantes estarem aumentando significativamente o alvo em usuários finais, uma vez que a falta de conhecimento e educação necessária em relação às boas práticas de segurança abrem diversas brechas para os hackers adentrarem no ambiente das organizações.

As vulnerabilidades podem aparecer em quase qualquer tipo de software, mas o alvo mais atraente para atacantes são os softwares populares, amplamente utilizado.

Novamente, a maioria dessas vulnerabilidades são descobertas em softwares como o Internet Explorer e o Adobe Flash, que são usados diariamente por um grande número de consumidores e profissionais.

Quatro das cinco vulnerabilidades zero-day mais exploradas em 2015 foram do Adobe Flash, por exemplo.

Exploits estão direcionando cada vez mais o alvo para tecnologias de usuários finais, isso porque eles podem permitir que os invasores instalem softwares mal-intencionados em dispositivos vulneráveis. Uma vez descobertos, os zero-days são rapidamente adicionados aos kits de ferramentas dos cibercriminosos e explorados.

Nesse ponto, milhões serão atacados e centenas de milhares serão infectados se um patch não estiver disponível ou se as pessoas não se moverem rápido o suficiente para aplicar o patch.

WANNACRY

É claro que você ficou sabendo do episódio do WannaCry, um dos maiores ataques cibernéticos da história.

Na sexta-feira, 12 de maio de 2017, uma série de ataques em escala global fazendo uso de versão atualizado do crypto-ransomware WanaCrypt0r. Nessa versão, uma novidade: um ransomware com funções de worm, o primeiro ransomworm da história!

Obs: pra você que quer entender mais sobre como evitar ataques de ransomware, confira nosso artigo clicando aqui.

Uma série de ataques em escala global fazendo uso de uma versão atualizada do crypto-ransomware, WanaCrypt0r 2.0 impactou organizações públicas e privadas ao redor do mundo, passando de 150 países e 350 mil máquinas infectadas.

E pensar que até a NSA – Agência Nacional de Segurança, dos EUA, está envolvido no evento.

Isso porque tudo começou com uma vulnerabilidade no sistema operacional da Microsoft, o Windows. Essa vulnerabilidade foi exposta pelo grupo The Shadow Brokers em abril desse ano. A Microsoft, no entanto, já teria criado o patch de correção no mês anterior, em março.

Ou seja, os endpoints afetados pelo ataque global de ransomware estavam com seus Sistemas Operacionais Windows desatualizados.

Por isso uma das boas práticas de segurança contra ransomware seria ter um gerenciamento centralizado de patchs. Assim, é garantia de que o ambiente está com todas suas aplicações atualizadas e seguras.

A atualização existe justamente pra evitar que episódios como esse não ocorram.

Você pode conferir muitas outras dicas no nosso ebook, clique aqui ou na imagem acima.

Por que o nome zero-day?

O termo zero-day se refere, principalmente, ao fato de que os desenvolvedores são instruídos a resolverem qualquer vulnerabilidade que seja em menos de um dia desde a sua descoberta (ou seja, dia zero). 

Os hackers se aproveitam desse tipo de falha de segurança para explorar ao máximo a vulnerabilidade enquanto ela ainda não é solucionada.Ou seja, eles atacam antes que haja qualquer solução disponível para o problema.

As vulnerabilidades zero-day podem ser exploradas por meio de vírus, worms, trojans e vários tipos de malwares.

Todas essas formas de ataque são facilmente adquiridas por cibercriminosos na deep web.

Clandestinamente, grupos de hackers geralmente divulgam vulnerabilidades zero day enquanto empresas estão sendo atacadas, pois nessa fase, os profissionais têm dificuldades para lançar patches para corrigir o problema.

De acordo com o Symantec 2016 Internet Security Threat Report (ISTR) – confira aqui a curadoria da PROOF -, as vulnerabilidades zero-day aumentaram 125% entre os anos de 2014 e 2015.

Em 2014, de acordo com a Symantec, as empresas levaram, em média, 59 dias para criar e divulgar patches – bem mais que os quatro dias que levavam em 2013.

Além disso, à medida que as vulnerabilidades zero-day estão sendo descobertas, elas podem se tornar um produto de commodities. Por exemplo, o famoso grupo hacker “The Hacking Team” foi exposto em 2015 tendo pelo menos seis zero-days em sua carteira, confirmou a caracterização da caça por zero-days como sendo profissionalizada.

Como se proteger

Como não são detectáveis, combater as vulnerabilidades zero-day é um grande desafio para os profissionais de segurança da informação. Confira algumas dicas que preparamos para te ajudar a proteger seus ativos corporativos!

1. Mantenha sistemas atualizados

Essa prática já é conhecida de longa data dos profissionais de segurança da informação, ainda assim, o ambiente cada vez mais complexo das empresas tem tornado isso mais difícil.

Organizações que contam com sistemas operacionais atualizados já contam com uma grande vantagem contra as vulnerabilidades zero-day. Por outro lado, empresas que usam sistemas operacionais ultrapassados (muitas vezes, por causa de sistemas legados responsáveis por processos críticos), como o Windows XP, estão em séria desvantagem.

Como não recebe mais patches de segurança da Microsoft, proteger-se das vulnerabilidades zero-day com ele é praticamente impossível. No entanto, pra esse tão famoso caso do WanaCryptor, a Microsoft liberou patch de correção até para sistemas descontinuados, como é o caso do Windows XP.

Mas é claro que odas as aplicações usadas pela empresa devem estar atualizadas, não apenas o sistema operacional.

O Microsoft Office, por exemplo, conta com uma grande biblioteca de vulnerabilidades previamente descobertas que possam ter sido exploradas em algum momento, portanto, é essencial manter as atualizações em dia.

2. Use ferramentas de segurança eficientes

Mesmo que você mantenha seus sistemas atualizados, é importante contar com um framework estratégico de soluções de segurança da informação.

Os antivírus são essenciais, especialmente os que contam com escaneamento em tempo real, detecção de phishing e gerenciamento de senhas.

Apesar de essenciais, é importante destacar que os antivírus tradicionais não são capazes de combater vulnerabilidades zero-day sozinhos, pois dependem de uma lista de assinaturas estática para detectar ameaças.

Como o número de códigos maliciosos e sua velocidade de criação são enormes, o método de assinaturas é ineficiente contra vulnerabilidades zero-day. 

Para dar conta dessa lacuna, as empresas precisam de soluções mais modernas de segurança do endpoint, como os next-generation antivírus (NGAV).

NEXT GENERATION ANTI-VÍRUS

Como permanecem sob exploração até que sejam descobertos, as ferramentas tradicionais de segurança do endpoint baseadas em blacklists não são capazes de identificar e bloquear as ameaças que podem se aproveitar dessas falhas de segurança.

Por isso, uma série de fabricantes de segurança estão se destacando no mercado ao oferecer alternativas capazes de cobrir essa lacuna com produtos de próxima geração.

Os next-generation antivírus, ferramentas capazes de identificar comportamentos anômalos em processos de sistemas e bloqueá-los, impedindo, assim, que ameaças como ransomware se proliferem e que vulnerabilidades zero-day sejam usadas por hackers para atingir seus objetivos.

Esse tipo de tecnologia baseada em Inteligência Artificial e Machine Learning se tornam essenciais diante do contexto em que são produzidos mais de 1 milhão de novas instâncias de malware por dia. Imagina, assinatura pra isso tudo…

Vantagens de um NGAV no combate a vulnerabilidades zero-day

Os NGAV trabalham com um número variado de técnicas de prevenção, atuando, por meio do aprendizado de máquina, na definição do comportamento normal dos processos dos sistemas para identificar anormalidades e bloquear ações potencialmente maliciosas.

Assim, a solução garante que nenhuma possibilidade de execução do código malicioso e invasão seja levada adiante.

NGAV como o da Cylance inclue o monitoramento em tempo real e a análise de comportamento de aplicações e processos com base nas atividades normais do sistema, incluindo memória, disco, registro, rede e outros.

Esse método de detecção é efetivo contra o uso de vulnerabilidades zero-day porque a maioria dos ataques usando esse vetor começa usando os processos de sistema para mascarar as atividades e passar despercebida por outros softwares de segurança.

Se quiser entender melhor os benefícios de uma solução de NGAV, leia a íntegra de  7 razões para você mudar de um antivírus para um NGAV, ou baixe nosso ebook sobre a diferença entre um AV tradicional e um NGAV clicando na imagem abaixo.


[/av_textblock]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_textblock size=” font_color=” color=”]

Gostou do conteúdo? Que tal dar uma olhada no nosso blog? 😉

[/av_textblock]

[av_postslider link=’post_tag,211′ columns=’3′ items=’9′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_icon_box position=’top’ boxed=” icon=’ue8d2′ font=’entypo-fontello’ title=’PRODUÇÃO DE CONTEÚDO’ link=’manually,http://www.proof.com.br/material-rico/’ linktarget=” linkelement=’both’ font_color=” custom_title=” custom_content=” color=’custom’ custom_bg=’#1f211f’ custom_font=” custom_border=”]

PROOF está se posicionando no mercado como uma empresa referência em segurança e produção de conteúdo relevante. Nosso objetivo é disseminar e compartilhar conhecimento para contribuir ao máximo no amadurecimento do mercado de segurança no Brasil. Isso porque, nós da PROOF, como uma empresa atenta às inovações do mercado de cibersegurança, estamos sempre nos atualizando das principais tendências tecnológicas do mundo, além dos novos vetores de ataque por parte da indústria do cibercrime.

[/av_icon_box]

[av_one_fifth first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_three_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/THREAT-ANATOMY-REPORT.png’ attachment=’8902′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=’_blank’ caption=” font_size=” appearance=’on-hover’ overlay_opacity=’0.7′ overlay_color=’#1f211f’ overlay_text_color=’#ffffff’ animation=’no-animation’]
WANNACRY THREAT ANATOMY REPORT
[/av_image]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_button_big label=’BAIXE O THREAT ANATOMY REPORT’ description_pos=’below’ link=’manually,https://d335luupugsy2.cloudfront.net/cms/files/9568/1507148257WannaCry_Threat-Reportd.pdf’ link_target=” icon_select=’yes-left-icon’ icon_hover=’aviaTBicon_hover’ icon=’uf130′ font=’flaticon’ custom_font=’#e7e6e6′ color=’custom’ custom_bg=’#1f211f’ color_hover=’custom’ custom_bg_hover=’#fc9a1a’][/av_button_big]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_three_fifth]

[av_one_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/ransomware-saber.png’ attachment=’7032′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

INFOGRÁFICO RANSOMWARE

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Buyers-Guide-MSSP_vCapa-01.png’ attachment=’7013′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/buyers-guide-mssp’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

BUYER’S GUIDE

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Tudo-que-você-precisa-saber-sobre-ransomware-MAT-RICO.jpg’ attachment=’6450′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

EBOOK RANSOMWARE

[/av_textblock]
[/av_one_third]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_social_share title=” style=” buttons=”]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_comments_list]

Ransomware, o que você sabe sobre essa ameaça?

[av_image src=’http://www.proof.com.br/wp-content/uploads/2016/12/RANSOM-1030×517-1.jpg’ attachment=’6531′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

Ransomware, o que você sabe sobre essa ameaça?

Ransomware, ransom + malware. Ransom, do inglês, é resgate. Enquanto “malware” é um malicious software (ou software malicioso). Só de ler o nome da ameaça, já é possível imaginar do que ela é capaz.

E você sabe quantos ataques de ransomware ocorreram nos últimos anos? 269 mil em 2014, 362 mil em 2015 e 463 mil em 2016. Depois do incidente de sexta, não serial irreal considerar que 2017 vá terminar bem pior.

Importante frisar estatísticas da Symantec são apenas da variante de crypto-ransomware, sem contar outras categorias menos populares como o Scareware e Lock-screen.

A ameaça é uma espécie de malware que se instala no sistema da vítima e restringe seu acesso a dados e programas.

Trata-se de uma espécie de “sequestro” dos dados, em que o único objetivo é cobrar da vítima um resgate para que ela possa acessar novamente suas informações e ter suas informações restauradas. 

Como o ataque começa?

Esse tipo de ataque geralmente começa com um e-mail contendo um malware anexado ou um link para um site malicioso, ou ainda um pop-up ad que aparece na tela do usuário, dizendo que ele foi infectado e que, para encontrar a solução, precisa clicar no link fornecido. 

Depois de cair no golpe, o usuário logo descobre que seu sistema foi invadido por algum malware que pode criptografar todos os dados no seu HD, tornando-o inutilizável, ou criar um novo registro master boot para o drive.

Logo aparece uma mensagem dos hackers exigindo o pagamento de uma quantia em bitcoins para fornecer a chave para descriptografar o arquivo e restaurar os sistemas. 

Como essa do ransomware WannaCrypt0r do famoso episódio de sexta-feira, 12 de maio.

O valor do resgate pode variar de acordo com o tipo de malware, podendo ultrapassar US$ 1000 por máquina, dependendo de empresa atacada. Nesse caso, os cibercriminosos pediram “apenas” US$ 300 dólares.

Dependendo do tipo de malware que atacou a organização, o ransomware pode vir ainda com recursos para pressionar a vítima para que pague rapidamente o resgate – como aumentar o valor do pagamento depois de um certo período de tempo, apagar uma quantidade específica de arquivos de tempos em tempos até que o resgate seja pago, ou ainda exibir imagens pornográficas aleatórias na tela (causando grande constrangimento no ambiente de trabalho, por exemplo). 

Novamente, nesse caso do WannaCry, o valor do resgate era válido por três dias. A partir do quarto, subia para 600 dólares e, se não fosse pago em até sete dias, os dados seriam corrompidos pra sempre.

Quer entender tudo sobre ransomware? Então baixe nosso eBook e saiba todos os detalhes da ameaça!

O bitcoin, a criptomoeda virtual que fica armazenada em carteira digitais na nuvem ou no computador do usuário, é sempre usado para pedir o pagamento do resgate, pois impede que os dados sejam rastreados. Se quiser entender mais, leia nosso artigo sobre Blockchain, a rede que valida as transações de bitcoin.

Existe ainda a possibilidade de os cibercriminosos não cumprirem sua promessa e simplesmente não oferecerem as chaves de descriptografia necessárias para restaurar os sistemas.

Vale lembrar que os ransomwares geralmente incluem um spyware que pode permanecer na rede mesmo depois de restaurar os sistemas, gravando teclas digitadas, movimentos do mouse e outros dados. 

Você deve se preocupar com o ransomware? 

Como esse tipo de software malicioso pode ser adquirido facilmente e traz grandes retornos para os cibercriminosos, o ransomware deve se tornar cada vez mais comum e destrutivo.

As vítimas geralmente pagam o valor pedido para obter acesso a seus dados, pois acham que é melhor do que gastar tempo e dinheiro tentando restabelecer os sistemas.

Dados divulgados pelo FBI este ano revelam que, nos Estados Unidos, as empresas gastaram mais de US$ 325 milhões com resgates de ransomware apenas nos três primeiros meses do ano – a estatística leva em conta apenas as perdas reportadas pelas vítimas. O ano terminou com prejuízo na casa do um bilhão de dólares.

Um relatório divulgado em junho deste ano pela PhishMe sugere que, no fim do mês de março, 93% das mensagens de phishing nos Estados Unidos continham ransomwares. Assustador, não?

E pensar que o phishing é o principal vetor de ataque pelo qual o ransomware é infectado nas máquinas

No Brasil, dados da Kaspersky estimam que o país seja o mais afetado pelos ataques de ransomware na América Latina e alguns casos recentes mostram o poder de destruição dessa ameaça em empresas de diversos tamanhos. 

Enquanto a Trend Micro caminha nas mesmas conclusões.

No segundo semestre de 2016, a Trend Micro fez uma pesquisa sobre ataques de Ransomware e consultou mais de 500 empresas brasileiras e da América Latina. O resultado foi que 51% das empresas brasileiras tiveram algum tipo de incidente em 2015.

Casos recentes 

Há, claro,  o famoso e recente caso do Ransomware Wanna Cry  do episódio dessa sexta-feira, 12 de maio.

Uma série de ataques em escala global fazendo uso de uma versão atualizada do crypto-ransomware, WanaCrypt0r 2.0 impactou organizações públicas e privadas ao redor do mundo, passando de 150 países e 200 mil máquinas infectadas.

Empresas como BBVA, KPMG, Teléfonica Espanha, Petrobras, até mesmo o INSS e o Ministério Público de São Paulo foram atacados. Muitos de seus funcionários foram instruídos a desligarem suas máquinas.

Mas também há outros casos conhecidos no mercado sobre infecções do malware.

Por exemplo, em fevereiro, hackers criptografaram dados do Hollywood Presbyterian Medical Center, em Los Angeles, deixando computadores offline por mais de uma semana até que os cibercriminossos recebessem US$ 17 mil.

Em março, o Methodist Hospital, no Kentucky, nos Estados Unidos, sofreu um caso semelhante – na ocasião, a empresa usou um backup e não pagou nada aos cibercriminosos. 

Na primeira semana do mês de junho, um relatório divulgado no veículo australiano The Sydney Morning Herald, revelou que pelo menos 10 mil pessoas tinham sido vítimas de um e-mail scam de ransomware que tentavam se passar pela empresa de energia australiana AGL.

As mensagens falsas foram enviadas aos clientes da empresa como se fossem boletos, pedindo para que fizessem download de uma cópia da conta, um arquivo fechado com ZIP. A ameaça, ao se instalar no computador das vítimas, exigia um pagamento de cerca de US$ 640. 

Em julho deste ano, por exemplo, o grupo Anonymous sequestrou dados da Anatel –  Agência Nacional de Telecomunicações.

No caso, em vez de pedir o pagamento de um resgate, o malware pediu um posicionamento mais firme da empresa sobre o fim da franquia de dados na internet, assunto que esteve em alta na mídia durante o período e revoltou usuários brasileiros. 

Como funciona o ransomware 

O funcionamento do ransomware pode variar de acordo com a variante usada pelo criminoso e pela família do malware.

Os vetores primários de infecção também podem mudar. Continue acompanhando o post e conheça as principais variantes, famílias e vetores de infecção do ransomware.

Variantes de ransomware 

  • Criptográfico: trata-se da forma mais clássica do ransomware. Malwares desse tipo podem criptografar todo o HD da vítima, e demandam o pagamento para fornecer a chave para descriptografar os arquivos. 
  • Lock-screen: esse malware trava o funcionamento da máquina na tela que exige o pagamento da vítima. Em alguns casos, o cibercriminoso tenta se passar por um órgão governamental cobrando uma multa. 
  • Scareware: essa variante de ransomware indica erroneamente que o computador da vítima está com problemas e exige um pagamento para solucioná-los. O computador continuará funcionando, mas a vítima receberá uma série de alertas e não conseguirá acessar alguns programas. 

Vetores de ataque de ransomware 

  • Malvertising: Campanhas maliciosas iludem a vítima para que clique em anúncios que levam a páginas falsas. Baixe o plugin do AdBlock aqui.
  • Outros computadores infectados: Os ransomwares infectam facilmente outros arquivos dentro da rede. Separe sua rede!
  • “Cracks” piratas: Cracks ou keygens presentes em sites de torrent podem também infectar a máquina com ransomware. Diga não a pirataria. 

Principais famílias de ransomware 

  • Cerber: O ransomware Cerber é distribuído por meio de e-mails de spam. Depois de infectar arquivos, ele adiciona extensão “.cerber” e pede que o pagamento do resgate seja feito em até 7 dias. 
  • Cryptolocker: Usa técnicas de engenharia social para persuadir a vítima a fazer download do malware. Quando o usuário abre o arquivo malicioso, o ransomware gera uma série de chaves de criptografia.
  • Cryptowall: Quando se instala na máquina, a ameaça comprime um código binário com uma série de instruções que dão a ele a capacidade de burlar o antivírus e criptografar os arquivos. 
  • Jigsaw: O nome faz referência ao personagem da franquia Jogos Mortais. A ameaça deleta arquivos de hora em hora para pressionar a vítima a pagar o resgate o mais rápido possível. 
  • Locky: O ransomware, que se espalha por meio de campanhas de spam e sites comprometidos, adiciona a extensão “.locky” aos arquivos criptografados. 
  • Petya: Essa variante de ransomware, que se espalha por meio de um link do Dropbox, é capaz de criptografar um HD inteiro de uma só vez. Profissionais de RH são seu principal alvo. 
  • Wanna Cry: Os ataques WanaCrypt0r iniciam seu ciclo a uma organização através de um ataque de phishing via e-mail que inclui um link ou documento PDF maliciosos. O ataque de phishing, obtendo sucesso, resulta na entrega do ransomware WanaCrypt0r na máquina local e consequente tentative de espalhar-se em larga escala na rede utilizando protocolo SMB, atacando a vulnerabilidade ‘EternalBlue’ (CVE-2017-0144) em sistemas operacionais Windows e que foi corrigida pela Microsoft em março de 2017 com o patch MS17-010. 

Proteja-se do ransomware 

Para evitar os ataques de ransomware, as empresas precisam investir cada vez mais em segurança, especialmente em ferramentas de prevenção, pois pouco pode ser feito depois que o ransomware já está na rede. 

Os softwares de próxima geração, como o next-generation antivirus (NGAV), são mais efetivos contra o ransomware do que as ferramentas tradicionais, que dependem de blacklists e detecções dinâmicas.

Além de soluções mais modernas de prevenção, processos eficazes de backup e restauração de dados podem salvar a empresa nesses momentos.

Com uma boa estratégia de backup, basta limpar o malware e restaurar os sistemas sem ter que pagar o resgate.
[/av_textblock]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_one_half first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/ransomware-saber.png’ attachment=’7032′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

10 COISAS QUE VOCÊ PRECISA SABER SOBRE RANSOMWARE

[/av_textblock]
[/av_one_half]

[av_one_half min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/NGAV-CYLANCE-1030×709.png’ attachment=’6462′ attachment_size=’large’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ngav-cylance’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

NEXT GENERATION ANTIVÍRUS

[/av_textblock]
[/av_one_half]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_textblock size=” font_color=” color=”]

QUER CONHECER UM POUCO MAIS SOBRE OS CONTEÚDOS DA PROOF?

ENTÃO CONFERE NOSSO BLOG

[/av_textblock]

[av_postslider link=’post_tag,162′ columns=’3′ items=’6′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_social_share title=” style=” buttons=”]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_comments_list]

Ameaças persistentes avançadas: conheça tudo sobre APT

[av_image src=’http://www.proof.com.br/wp-content/uploads/2016/12/APT-1500×430.jpg’ attachment=’6391′ attachment_size=’featured’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

Ameaças persistentes avançadas: conheça tudo sobre APT

[/av_textblock]

[av_textblock size=” font_color=” color=”]
O Brasil é o país mais afetado por ameaças persistentes avançadas (APT) na América Latina.

A informação é de uma pesquisa da FireEye divulgada no fim do último ano.

O dado revela que as APTs deverão se tornar uma preocupação constante nas empresas nos próximos anos, especialmente nos setores de química/manufatura/mineração, serviços financeiros e energia/utilities, os três mais afetados de acordo com a pesquisa da FireEye. 

Mas afinal, o que são ameaças persistentes avançadas e por que esse tipo de ameaça é mais preocupante do que as que conhecemos como tradicionais?

A resposta está no nível de sofisticação desse tipo de ataque e nos objetivos mais claros e definidos dos hackers, que tentam atingi-lo a qualquer custo, mesmo que levem meses para burlar todas as camadas de segurança do alvo. 

O termo “ameaça persistente avançada” é usado para descrever uma campanha maliciosa em que o cibercriminoso, ou o grupo de cibercriminosos, estabelecem presença na rede durante um longo período para minar o máximo de dados altamente sensíveis.

Os alvos desses hackers são cuidadosamente escolhidos e pesquisados durante um longo período e, geralmente, se restringem a grandes empresas e órgãos governamentais, devido aos seus dados de alto valor. 

Os dados de alto valor são, inclusive, o maior diferencial de um ataque executado por APTs.

Diferente das ameaças tradicionais, em que os hackers buscam alvos para obter ganhos financeiros fáceis ou simplesmente prejudicar o negócio (como nos casos de hacktivismo), as ameaças persistentes avançadas têm um objetivo maior, que é o roubo de informações com o maior valor possível, como dados de propriedade intelectual e informações sensíveis dados de funcionários e clientes. 

Mais recursos e mais expertise 

Os responsáveis por ataques avançados contam com muito mais recursos que os cibercriminosos “comuns”.

Os hackers que usam APTs são geralmente mais experientes e contam com ferramentas mais sofisticadas – alguns são patrocinados por governos e usados como armas. 

Veja alguns aspectos que diferenciam os ataques por ameaças persistentes avançadas dos ataques comuns: 

  • São muito mais complexas 
  • Levam muito mais tempo: uma vez na rede, o invasor permanece lá o máximo de tempo possível sem ser notado para obter o máximo de informações 
  • São totalmente manuais, seja contra um alvo específico ou contra um grupo de alvos 
  • Tem como alvo toda a rede, não apenas uma parte dela 

Ataques como remote file inclusion (RFI), injeção de SQL e cross-site scripting (XSS) são alguns dos recursos usados pelos hackers para estabelecer uma relação com a rede da vítima.

Em seguida, os cibercriminosos usam trojans e backdoors para expandir sua presença e criar uma permanência persistente dentro do perímetro da vítima. 

Estágios de um ataque por ameaça persistente avançada 

Um ataque por APT consiste em três estágios: infiltração na rede, expansão da presença e extração de dados. Para que seja bem-sucedidos, não pode haver detecção em nenhum desses estágios. Confira: 

Infiltração

Os hackers se infiltram na rede comprometendo áreas como ativos web, recursos da rede ou usuários com privilégios de acesso.

Para isso, usam uploads maliciosos, por meio de ataques de injeção de SQL, por exemplo, ou técnicas de engenharia social, como spear phishing

Ao mesmo tempo, pode ser que os cibercriminosos executem também um ataque DDoS para servir de distração.

Os profissionais de segurança ficam ocupados tentando “apagar o incêndio” e fazer os sistemas voltarem a funcionar e, enquanto isso, o perímetro de segurança enfraquece, tornando a invasão mais fácil. 

Depois de entrar na rede, os cibercriminosos instalam uma backdoor, que também podem vir em forma de trojans mascarados como trechos de softwares legítimos, evitando sua detecção por ferramentas de segurança. 

Expansão

Essa etapa envolve o comprometimento de membros da equipe com acesso a informações sensíveis.

Ao fazer isso, os cibercriminosos podem obter informações críticas para o negócio, incluindo dados sobre o lançamento de produtos, informações de funcionários e registros financeiros. 

Os dados obtidos podem ser vendidos a concorrentes, alterados para sabotar a organização ou usados para prejudicar a empresa.

Os hackers podem, por exemplo, deletar bases de dados inteiras dentro da empresa e prejudicar as comunicações da rede para prolongar o processo de recuperação para causar o máximo de danos. 

Extração

Os dados roubados geralmente ficam salvos em locais seguros dentro da própria rede da vítima.

Quando coletam o máximo de dados possível, os hackers então fazem a extração sem que sejam detectados

Para isso, pode ser que, novamente, a empresa sofra um ataque DDoS para distrair a equipe de segurança e enfraquecer as defesas, facilitando a extração sem detecção. 

Tendências para os próximos meses 

Para os próximos meses, a tendência é que as ameaças avançadas se tornem cada vez mais silenciosas e destrutivas. 

Grupos conhecidos de APTs começarão a usar diferentes tipos de malwares, possivelmente criados por outros grupos de cibercriminosos, em uma tentativa dificultar investigações sobre os possíveis autores de ataques cibernéticos.

Além disso, o número de ataques de APTs deve aumentar , levando também a um rápido crescimento de soluções específicas para esse tipo de ataque no mercado. 

Os hackativistas também devem começar a preferir ataques mais persistentes e avançados e deixar de lado as atividades mais “oportunistas”.

O número de cibercriminosos que usam APTs também deve aumentar devido à maior disponibilidades de ferramentas mais sofisticadas, que deve facilitar as ações de grupos ligados a objetivos políticos. 

Com isso, podemos esperar consequências cada vez mais severas desse tipo de ataque, com ações mais destrutivas.

Além de roubar informações, os hackers poderão modificar ou corromper informações em que dados são totalmente deletados ou criptografados

Se quiser estudar mais sobre apt, confira nossa curadoria de relatórios de segurança da informação!

Casos recentes 

Recentemente, um grupo conhecido como Dukes invadiu organizações governamentais nos Estados Unidos, como ministérios e agências, por cerca de sete anos.

O grupo aparentemente tinha ligação com o governo russo, devido à mensagem de erro em russo e aos horários das atividades do grupo, que eram compatíveis com o horário comercial de Moscou. 

Esse é apenas um dos exemplos recentes que temos de ataques de ameaças persistentes avançadas. Veja outros: 

Target 

Em 2013, a varejista americana Target foi vítima de um ataque de APT que roubou uma série de números de cartões de crédito de clientes.

No último trimestre deste ano, a empresa teve uma queda de 50% nas vendas e, entre 5% e 10% dos clientes disseram que nunca mais comprariam algo da loja. 

Escritório de gestão pessoal (OPM) dos Estados Unidos 

Em 2015, hackers atacaram o escritório de gestão pessoal (em inglês, office of personnel management – OPM) dos Estados Unidos e obtiveram uma série de informações sensíveis sobre funcionários.

Foram mais de 21 milhões de registros comprometidos. 

Ranking de países mais atingidos por ameaças persistentes avançadas na América Latina 

  1. Brasil 
  2. Chile 
  3. México 
  4. Peru 
  5. Argentina 

*Fonte: FireEye, 2015 

Ranking de setores mais atingidos por ameaças persistentes avançadas: 

  1. Química/Manufatura/Mineração 
  2. Serviços financeiros 
  3. Energia/utilities 
  4. Governo federal 
  5. Varejo 
  6. Saúde/farmacêutico 
  7. Serviços/consultoria 
  8. Telecomunicação 
  9. Aeroespacial/defesa 
  10. Entretenimento/mídia/hospedagem 

*Fonte: FireEye, 2015 

Gostou do nosso material?

Que tal conferir alguns dos nossos outros eBooks? 😉
[/av_textblock]

[av_one_half first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Tudo-que-você-precisa-saber-sobre-ransomware-MAT-RICO-300×210.jpg’ attachment=’6450′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

RANSOMWARE

[/av_textblock]
[/av_one_half]

[av_one_half min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/CIBERCRIME-E-AS-FRAUDES-FINANCEIRAS-NAS-EMPRESAS-1-300×210.png’ attachment=’6470′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/crimecrime-fraudes-financeiras’ target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

CIBERCRIME

[/av_textblock]
[/av_one_half]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_textblock size=” font_color=” color=”]

Que tal dar uma olhada no nosso blog?

[/av_textblock]

[av_blog blog_type=’taxonomy’ link=’category,35′ blog_style=’blog-grid’ columns=’3′ contents=’title’ content_length=’content’ preview_mode=’custom’ image_size=’entry_with_sidebar’ items=’3′ offset=’0′ paginate=’no’ conditional=”]

[av_social_share title=” style=” buttons=”]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_comments_list]

Tudo que você precisa saber sobre spear phishing

[av_image src=’http://www.proof.com.br/wp-content/uploads/2016/12/SPEAR-PHISHING-1210×423.jpg’ attachment=’6390′ attachment_size=’entry_without_sidebar’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

Tudo que você precisa saber sobre spear phishing

[/av_textblock]

[av_textblock size=” font_color=” color=”]
Ataques persistentes e sofisticados contra organizações governamentais e empresas de todos os tamanhos representam riscos para a segurança nacional e para a economia.

Enquanto isso, as campanhas de Spear Phishing se tornaram mais discretas, visando menos indivíduos dentro de um número menor de organizações.

Segundo o Global Threat Intelligence Report de 2016 da Dimension Data, Spear Phishing teve um salto de 2% em 2014 para 17% em 2015 nas categorias de incidentes de segurança identificados do ano.

No quadro geral, os ciberataques estão em constante crescimento e cada vez mais sofisticados. Consequentemente, o custo gerado quando encontram uma brecha é cada vez maior.

De acordo com o World Economic Forum’s 2016 Global Risks Report, o custo dos cibercrimes em 2016 está estimado em US$445 billhões (de dólares!).

Segundo o relatório ISTR (Internet Security Threat Report) 2016 da Symantec, em 2015 foram criados incríveis 430,5 milhões, um aumento de 36% em relação ao ano anterior . O que significa mais de 1 milhão e 179 mil novos malwares por dia!

O primeiro passo para se proteger dentro desse cenário preocupante é conhecer as ameaças, como elas funcionam, os perfis de risco, casos recentes e dicas de como evita-las!

O QUE É SPEAR PHISHING?

Spear Phishing são mensagens de e-mail, assim como o Phishing, mas dessa vez parecem vir de uma fonte confiável.

Mensagens de Phishing geralmente parecem vir de uma empresa grande e conhecida ou de um website com uma base de contatos extensa, como eBay ou Paypal, por exemplo.

Já no Spear Phishing, o e-mail parece ter sido enviado por um indivíduo ou empresa que você conhece, e mantém contato.

Não são apenas os websites que podem esconder exploits. Uma vulnerabilidade previamente desconhecida pode ser explorada para atacar uma organização usando um documento infectado no anexo de um email.

Esse ataque é conhecido como Spear Phishing, e conta com engenharia social para montar o email, de forma que ele pareça convincente.

Os emails de Spear Phishing são enviados em campanhas, para um grupo pequeno de pessoas, mas não todas ao mesmo tempo, são enviados individualmente ou quando pode atingir mais de uma pessoa da organização.

Com o tempo, exploits diferentes podem ser usados contra as mesmas pessoas, se os ataques anteriores não derem resultado. Porém, recentemente, os atacantes rapidamente mudam suas táticas após apenas algumas tentativas falhas, para se manter fora do radar.

Anteriormente, era mais provável que eles continuassem com usando exploits diferentes, ou atacando pessoas diferentes, mas dentro da mesma organização.

Resumindo, o Spear Phishing é uma tentativa de roubar informações pessoais como login, senhas, dados do cartão de crédito (e indiretamente, dinheiro), se passando por uma entidade conhecida e confiável, em uma comunicação eletrônica, como o email.

POR QUE É DIFERENTE DO PHISHING TRADICIONAL?

Ao contrário dos ataques isolados de Phishing, Spear Phishing é uma campanha, exige uma inteligência por trás de forma que o ataque seja direcionado, e tem um objetivo e alvo específicos.

Esses ataques são muito utilizados para obtenção de informações importantes, como dados bancários e informações corporativas. Se um funcionário for fisgado, o hacker pode ter acesso ao core de informações da organização.

Ataques de Spear Phishing são menos propensos a levantar suspeitas por serem campanhas menores, mais curtas e direcionadas para um número menor de pessoas.

Há um tempo atrás, uma campanha era direcionada para centenas de pessoas ou mais, qualquer um dos quais pode suspeitar e levantar a bandeira vermelha. Com menos pessoas, essa probabilidade é bastante reduzida.

Um ataque tradicional de Phishing pode ocorrer quando alguém manda uma mensagem para milhares de pessoas com o texto “Ai meu deus! Eu não acredito que você está nesse vídeo ” enquanto um ataque de Spear Phishing consiste em analisar cuidadosamente o alvo e seus hábitos.

Por exemplo, se você vai participar de algum evento em São Paulo, mas coloca no Facebook que está no Rio de Janeiro, um atacante pode te mandar a seguinte mensagem: “Oi João. Eu ouvi que você está indo para São Paulo na semana que vem. Enquanto você estiver lá, vale a pena visitar esse restaurante maravilhoso , tenho certeza de que você vai gostar!”

 

COMO O ATAQUE FUNCIONA

Segundo a Symantec, 91% dos ciber ataques começam com um email de Spear Phishing.

A fim de passar despercebidas, as campanhas de Spear Phishing aumentaram em número, mas agora são menores e com menos pessoas direcionadas em cada uma.

Segundo o ISTR, é esperado que em pouco tempo as campanhas de Spear Phishing vão consistir em um único alvo, ou um número seleto de indivíduos em uma mesma organização. 

Além disso, as campanhas maiores de Spear Phishing provavelmente serão conduzidas usando ataques watering hole, com websites comprometidos explorando vulnerabilidades zero-day altamente cobiçadas.

O QUE SÃO VULNERABILIDADES ZERO-DAY E WATERING HOLES

Um ataque watering hole é um exploit de segurança em que o atacante procura comprometer um grupo específico de usuários finais infectando sites que eles normalmente visitam. O objetivo é infectar o computador de um usuário-alvo e obter acesso à rede no local de trabalho do alvo.

O termo “zero-day” refere-se à natureza desconhecida da vulnerabilidade (menos para os hackers). Este ponto cego de segurança é então explorado por hackers antes que o servidor tenha conhecimento e possa corrigi-lo.

Dados do ISTR apontam um crescimento de 125% das vulnerabilidades ‘Zero-Day‘ em relação à 2013. A média de novas vulnerabilidades por semana passou de 24 em 2014 para 54 em 2015.

SPEAR PHISHING COMO RECURSO DOS ATAQUES APT

Spear phishing é o método mais usado em ataques de ameaça persistente avançada (APT). Os ataques APT usam malware sofisticado e campanhas sustentadas, multi-vetoriais e em várias etapas para alcançar um objetivo específico, ganhando acesso de longo prazo às redes, dados e ativos sensíveis de uma organização.

Ataques APT que entram em uma organização através Spear Phishing representam uma mudança clara na estratégia dos cibercriminosos.

Eles não precisam mais campanhas de spam em massa. O retorno de um ataque APT é bem maior se os criminosos direcionarem e-mails de Spear Phishing com precisão, e feitos sob medida de maneira a parecer completamente legítimos.

84% das organizações disseram que um ataque de Spear Phishing se concretizou em 2015. O impacto médio de um ataque bem-sucedido de Spear Phishing é de 1,6 milhões de dólares. As vítimas viram os preços de suas ações caírem 15%. (Fireeye White Paper – SPEAR-PHISHING ATTACKS WHY THEY ARE SUCCESSFUL AND HOW TO STOP THEM)

SERÁ QUE VOCÊ SE ENCAIXA NO PERFIL DE RISCO?

Esses tipos de ataques são normalmente direcionados a indivíduos específicos dentro das organizações. O objetivo é adquirir informações como nomes de usuários, senhas e detalhes do cartão de crédito (e indiretamente, dinheiro).

Em 2015, muitos ataques foram relacionados com fraude financeira e direcionado para executivos e o departamento financeiro. Os atacantes muitas vezes adquiriram um conhecimento detalhado da estrutura organizacional e realizaram engenharia social bem elaborada e ataques de Spear Phishing.

SETORES (INDÚSTRIAS) MAIS ATACADAS

O relatório ISTR (Internet Security Threat Report) 2016 da Symantec divulgou dados de uma pesquisa que mostram quais foram os setores mais alvejados por ataques de Spear Phishing.

Em 2015, o setor financeiro foi o alvo da maioria dos ataques, com 34,9% de todos os e-mails de Spear Phishing direcionados para empresas desse setor, 15% maior do que o ano anterior.

A probabilidade de uma empresa desse setor ser alvo de um ataque pelo menos uma vez no ano era 8,7% (aproximadamente 1 em cada 11 empresas).

A área de serviços ficou como alvo de 22% dos ataques de Spear Phishing, nessa mesma linha, o setor de manufatura ficou em terceiro lugar com 14% e o setor de transporte logo em seguida com 13%.

FUNCIONÁRIOS MAIS ATACADOS

Dados do ISTR apontam que o número de campanhas de Spear Phishing direcionados à funcionários cresceu 55% em 2015.

Outro relatório da Symantec mostra que indivíduos dos setores de Vendas e Marketing foram os maiores alvos em 2014, 1 em 2,9 deles seriam alvo pelo menos uma vez. Isso equivale a 35%.

Nessa mesma linha, os funcionários do setor financeiro ficaram em segundo lugar com 30%, e 1 a cada 3,3 sofreram ataques direcionados pelo menos uma vez no ano. A área de Operações ficou em terceiro lugar com 27% (1 a cada 3,8 funcionários).

Os gerentes foram o nível alvejado com maior frequência em 2014, com 1 em 3,8 deles sendo alvos pelo menos uma vez no ano – o que equivale a 26% dos indivíduos no nível gerencial.

O segundo nível mais direcionado foram os estagiários, com 25% e 1 em cada 3,9 dos estagiários seriam alvo desses ataques.

As pesquisas apontam que os usuários são o elo frágil dos esquemas de segurança, então os ataques são direcionados a eles.

Ataques de Spear-Phishing pelo tamanho da organização

Em 2015, uma organização do governo ou do setor financeiro que foi alvo de um ataque uma vez, era mais provável que ela fosse atacada novamente pelo menos mais três vezes durante o ano.

No geral, as grandes empresas que sofreram um ataque cibernético viram uma média de 3,6 ataques bem-sucedidos cada.

Nos últimos cinco anos, foi observado um aumento constante nos ataques dirigidos a empresas com menos de 250 funcionários, com 43% de todos os ataques dirigidos a pequenas empresas em 2015, provando que empresas de todos os tamanhos estão em risco.

Não é apenas empresas da Fortune 500 e nações-estado que estão em risco de ter seu IP roubado, até mesmo um serviço de lavanderia local pode ser um alvo. Em um exemplo, uma organização de 35 funcionários foi vítima de um ataque cibernético por parte de um concorrente.

O concorrente se escondeu em sua rede por dois anos roubando informações de clientes e preços, dando-lhes uma vantagem significativa.

Isso mostra que nenhum negócio é sem risco. Atacantes motivados puramente por lucro podem ser tão tecnicamente sofisticados e bem organizados como qualquer nação patrocinada pelos estados atacantes.

Os ataques contra as pequenas empresas continuaram a crescer em 2015, embora muitos desses ataques tenham sido dirigidos a um número menor de organizações, aumentando em 9 pontos percentuais.

Em 2015, 35% dos ataques de Spear Phishing foram direcionadas para empresas de grande porte (+2.500). 43% foram direcionados a empresas de pequeno porte (até 250 funcionários). E 22% para empresas de médio porte (de 251 a 2.500). 

CASES RECENTES

Spear Phishing virou notícia em 2011, quando um ataque na RSA, a divisão de segurança da EMC, foi descoberto. O ataque foi direcionado a apenas quatro indivíduos dentro da empresa.

Como a FireEye explica em um White Paper, um deles fez o download de uma planilha de Excel que foi cuidadosamente trabalhada pelos hackers com um cavalo de tróia que permitiu o acesso à rede corporativa através de uma vulnerabilidade zero-day no Adobe Flash.

O ataque de spear phishing foi o meio para iniciar a invasão e, em seguida, seguiu um movimento APT que permitiu os hackers roubarem as credenciais dos administradores e terem acesso a informações sobre clientes da Secure-ID incluindo Lockheed Martin e Northrop Grumman.

O potencial destrutivo dos ataques de spear phishing para as empresas é claramente evidenciado no caso da Ubiquiti Networks Inc., uma empresa americana. Em julho de 2015, a empresa perdeu U$46,7 milhões de dólares por causa de um email de Spear Phishing. Uma reportagem da U.S. Securities and Exchange Commission mostra que o atacante se passou por um funcionário da empresa e fez solicitações fraudulentas de uma empresa externa para o departamento financeiro. A fraude resultou em uma transferência de fundos que somaram U$46,7 milhões. As transferências foram realizadas diretamente por funcionários da Ubiquiti que foram enganados ao pensar que estavam recebendo pedidos legítimos de executivos graças a endereços de e-mail falsos e domínios parecidos.

Os ataques resultam em roubo de identidade, fraude financeira, roubo de propriedade intelectual ou espionagem. Os ataques mais recentes foram vinculados à espionagem afiliada a um Estado por uma causa política. De acordo com o último relatório Data Breach Investigations Report (DBIR) 2016 da Verizon, phishing foi o principal ataque utilizado nos incidentes de espionagem cibernética.

COMO SE PROTEGER

Segundo o White Paper da FireEye, “Spear-Phishing Attacks”, o impacto médio de um ataque bem-sucedido de spear phishing é de 1.6 milhões de dólares.

Os atacantes só têm que ter sucesso uma vez, enquanto as empresas devem bloquear cada tentativa de ataque para permanecerem seguras.

As empresas devem começar a pensar sobre o que fazer quando (e não “se”) tal violação ocorrer. A primeira dica, portanto, é: espere ser atacado. Não se, mas quando.

A segunda dica pode parecer óbvia, mas é extremamente importante. Troque suas senhas frequentemente. E não use a mesma senha para mais de um aplicativo, sistema ou website.

Terceiro, eduque seus colaboradores sobre o que é um email de Spear Phishing e como ele aparenta.

Uma plataforma de TI só é segura até onde os usuários fazem dela. Em outras palavras, você é tão seguro quanto o seu elo mais fraco. Por isso, os funcionários precisam ser treinados devidamente quando o assunto é segurança da rede. Conscientização de segurança deve ser a sua primeira linha de defesa contra todos os tipos de phishing, e até mais, contra ataques de spear phishing.

Cibercriminosos estão aumentando seus recursos para explorar qualquer informação pessoal descoberta através de engenharia social. Qualquer um pode virar um alvo de um ataque de Spear Phishing, então combater esse problema requer treinamentos de conscientização contínuos para todos os usuários para que eles sejam cuidadosos com o que eles compartilham e evitar revelar informações pessoais online para não se tornarem vítimas de roubo de identidade.

Por fim, a maioria das soluções tradicionais não está preparada para lidar com as ameaças avançadas, como ransomware, spear phishing, zero-day e APTs. Antes que um antivírus tradicional possa detectar e parar um ataque, o ransomware já criptografou todos os arquivos e bloqueou o acesso ao sistema. Nesse sentido, os softwares de próxima geração, ou next-generation antivírus, são as melhores ferramentas para proteger o negócio.

NGAV tem uma visão centrada no sistema de segurança de endpoint, examinando todos os processos em cada extremidade para detectar e bloquear as ferramentas, táticas, técnicas e procedimentos maliciosos usados pelos atacantes, através de algoritmos.

CONCLUSÃO

Podemos perceber que o Spear Phishing é uma ameaça recente, mas agressiva. E os riscos associados são substanciais.

O relatório DBIR 2016 da Verizon também compartilha conclusões interessantes sobre o número de usuários que abriram os e-mails de phishing em todas as campanhas, que por incrível que pareça é de 30% e, mais preocupante ainda, cerca de 12% abriram os anexos.

Isso mostra o despreparo que ainda existe, enfatizando a importância do treinamento e capacitação dos colaboradores no que diz respeito a identificação dos email de phishing (e, principalmente, Spear Phishing).

Afinal, a maioria dos ataques começam com um email mal intencionado. Especificamente, e-mails que utilizam engenharia social, como o Spear Phishing, é o favorito dos atacantes, por que é eficaz.

Por isso, é importante a conscientização sobre esse tema e continuar atento às mudanças do mercado de cibersegurança.
[/av_textblock]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_blog blog_type=’taxonomy’ link=’category,105′ blog_style=’blog-grid’ columns=’3′ contents=’title_read_more’ content_length=’content’ preview_mode=’custom’ image_size=’timeline-express’ items=’3′ offset=’0′ paginate=’no’ conditional=”]

ISTR Symantec Facts

[av_image src=’http://www.proof.com.br/wp-content/uploads/2016/12/ISTR-SYMANTEC-FACTS-1030×517.jpg’ attachment=’6395′ attachment_size=’large’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

Tudo que você precisa saber do ISTR Symantec 2016

[/av_textblock]

[av_textblock size=” font_color=” color=”]
Desafiados pela missão de democratizar o conceito de Segurança da Informação e explicar para mais pessoas a importância do trabalho de educação e conscientização em relação às boas práticas de segurança, foi criada a série de posts ISTR Symantec Facts.

(mais…)