Relatório Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 Por McAfee Labs™ Sumário 2 Ameaças móveis 4 Ameaças de malware 6 Malware assinado 9 Ameaças em mensagens 11 Classificações das redes de bots 13 Ameaças de rede 17 Ameaças via Web 20 Crime cibernético 23 Ferramentas de crimeware 23 Bots e redes de bots 24 Ações contra criminosos cibernéticos 24 Hacktivismo 26 Sobre os autores 27 Sobre o McAfee Labs 27 Sobre a McAfee 27 Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 O filósofo grego Heráclito, conhecido por sua doutrina de que a mudança é parte fundamental do universo, certa vez escreveu que “tudo flui, nada permanece estático”. O primeiro trimestre de 2012 reflete a doutrina de Heráclito em quase todas as áreas do cenário de ameaças. Notamos quedas nos números em muitas áreas de malware e ameaças no final de 2011, mas neste trimestre o resultado foi praticamente o oposto. O malware para PC teve o trimestre mais movimentado dos últimos tempos, e o malware móvel também aumentou em enormes proporções. Vimos um crescimento nos rootkits já estabelecidos, assim como o surgimento de diversas famílias novas. Muitos exemplares conhecidos de malware que analisamos e combatemos voltaram neste trimestre, com destaque especial para os cavalos de Troia ladrões de senhas. Nesta edição do Relatório sobre Ameaças, apresentamos nosso rastreamento de novas ameaças como o rootkit ZeroAccess e o malware assinado. Também apresentamos a classificação mais detalhada que já realizamos dos ataques de rede. O volume de spam tornou a crescer no início do trimestre, mas depois retomou a tendência de queda. Percebemos um aumento no malware direcionado ao Mac. A tendência não foi extrema, mas houve crescimento. Embora os números do spam continuem relativamente baixos no mundo, ainda vemos diversidade e crescimento em alguns países, como na Alemanha e na China. As novas infecções por redes de bots se estabilizaram no período, embora vários países tenham apresentado crescimento, especialmente a Espanha e o Japão. Os Estados Unidos mais uma vez hospedaram a maior quantidade de conteúdo malicioso da Web do mundo. Essa tendência também pode ser observada em nossa seção expandida de ataques baseados em rede, que contém classificações detalhadas por país, tanto da perspectiva dos invasores quanto das vítimas. Os URLs maliciosos ativos seguiram a tendência de crescimento claramente estabelecida no trimestre passado. A Web é um lugar perigoso para quem não está bem informado ou protegido. As explorações de Java e Flash se mostraram populares nas ferramentas e kits de ferramentas de crimeware deste trimestre. As autoridades policiais realizaram prisões e ações muito importantes contra os criminosos cibernéticos e hacktivistas. As mais famosas provavelmente foram a derrubada da rede de bots kelihos/waledac e as prisões muito divulgadas de membros do Anonymous e do LulzSec. É sempre bom ver ações legais bem-sucedidas nessas áreas, mas outras ameaças vão continuar nos atormentando. As ameaças continuam evoluindo, e os invasores estão sempre inovando. Nós permanecemos vigilantes na defesa contra essas ameaças. Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 3 Ameaças móveis Neste trimestre, relatamos um grande aumento no malware móvel. O salto foi direcionado quase que exclusivamente à plataforma Android. As centenas de ameaças ao Android no meio de 2011 já se transformaram em milhares neste ano. Com as grandes melhorias em nossa capacidade de coletar, processar e detectar malware móvel, a contagem disparou ainda mais neste trimestre: as ameaças ao Android agora são quase 7.000, sendo que nosso banco de dados registra um total de 8.000 exemplares de malware móvel. Total de amostras de malware móvel no banco de dados 10.000 8.000 6.000 4.000 2.000 0 2004 2005 2006 2007 2008 2009 2010 2011 2012 T2 2011 T3 2011 T4 2011 T1 2012 Malware móvel novo 7.000 6.000 5.000 4.000 3.000 2.000 1.000 0 T1 2010 4 T2 2010 T3 2010 T4 2010 T1 2011 Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 Malware móvel total por plataforma Android Symbian Symbian 3ª edição Java ME Outros A grande maioria dos ataques móveis e seus respectivos malware têm como origem e alvo mercados de terceiros, especialmente na China e na Rússia. Na maioria dos casos, não encontramos esse tipo de malware no mercado oficial do Android. A loja de aplicativos da Google registrou alguns incidentes, mas até o momento os números são moderados. O McAfee Labs recomenda aos clientes que só instalem software oriundo do mercado oficial. Essa medida deve reduzir muito o risco de comprometimento de seu dispositivo Android. Neste trimestre, registramos uma quantidade significativa de novos exemplares de adware e malware de backdoor móvel, além de alguns exemplares muito simples de malware de envio de SMS com tarifas especiais. O adware móvel exibe anúncios no telefone da vítima sem permissão (isso não inclui jogos ou aplicativos patrocinados por anúncios). O adware vai de papéis de parede com oportunidades de novas vendas (Android/Nyearleaker.A) a versões falsas de jogos que levam os visitantes a sites de anúncios (Android/Steek.A). O adware não necessariamente reduz a segurança dos usuários, mas os sujeita a anúncios indesejados. Os cavalos de Troia de backdoor para o Android ficaram um pouco mais sofisticados. Em vez de realizarem apenas uma ação, eles usam explorações de “root” e lançam malware adicional. O Android/FoncyDropper.A, por exemplo, usa uma exploração de “root” para assumir o controle do telefone e iniciar um bot de IRC que recebe comandos do invasor. Ele também envia mensagens SMS com tarifas especiais, com base no país do cartão SIM. De maneira semelhante, o Android/Rootsmart.A usa uma exploração de “root” para fazer download do Android/DrdLive.A, um cavalo de Troia de backdoor que envia mensagens SMS com tarifas especiais e aceita comandos vindos de um servidor de controle. O Android/Stiniter.A usa uma exploração de “root” para fazer download de malware adicional, e envia informações do telefone para sites controlados pelo invasor. Ele também envia mensagens de texto para números de telefone com tarifas especiais. O servidor de controle do invasor atualiza o corpo da mensagem e o número de envio no telefone sequestrado. Neste trimestre, os criadores de malware desenvolveram um dos primeiros cavalos de Troia destrutivos para Android, o Android/Moghava.A. Em vez de danificar aplicativos ou outros executáveis, esse malware vai atrás de fotos. O Moghava.A procura fotos armazenadas no cartão SD e adiciona a imagem do Aiatolá Khomeini a cada uma delas. O malware também é um pouco instável, e continua adicionando fotos até que acabe o espaço do cartão. Uma coisa não é mais segredo para ninguém: temos que proteger todos os dispositivos, móveis ou não, que contenham dados valiosos. Caso contrário, os criminosos cibernéticos da atualidade terão o maior prazer em cuidar deles por nós. Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 5 Ameaças de malware Para dar início ao nosso debate sobre malware, devo dizer que a vida voltou ao normal nessa área. A trégua no crescimento geral do malware baseado em PCs registrado pelo McAfee Labs nos dois últimos trimestres de 2011 parece ter chegado ao fim. E não só chegou ao fim, como neste período tivemos a maior quantidade de malware detectada por trimestre nos últimos quatro anos! Entramos em 2012 com 75 milhões de amostras coletadas em nosso “zoológico combinado de malware”, mas com o crescimento enorme deste trimestre já atingimos 83 milhões de exemplares de malware. Não sabemos quando a marca de 100 milhões será atingida, mas certamente será daqui a poucos trimestres. Com o aumento dos rootkits e suas funcionalidades, o malware assinado e o crescimento desenfreado da maioria dos demais vetores de ameaças, parece que o caminho pela estrada da segurança em 2012 vai estar repleto de buracos e solavancos. Total de amostras de malware no banco de dados 100.000.000 80.000.000 60.000.000 40.000.000 20.000.000 0 ABR MAIO JUN 2011 2011 2011 JUL 2011 AGO 2011 SET 2011 OUT 2011 NOV 2011 DEZ 2011 JAN 2012 FEV 2012 MAR 2012 Malware novo 8.000.000 7.000.000 6.000.000 5.000.000 4.000.000 3.000.000 2.000.000 1.000.000 0 T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T4 T1 2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012 Os rootkits voltaram a crescer neste trimestre. Houve mais atividade do Koutodoor, mas essa atividade está bem distante do pico de malware alcançado no ano passado. A partir deste relatório, vamos tratar do rootkit ZeroAccess. Esse malware já é popular entre os criminosos cibernéticos e outros indivíduos maliciosos. Os rootkits, ou malware indetectável, são um dos tipos mais nocivos de malware. Eles têm grande influência em quase todas as demais áreas de malware, e são projetados para burlar a detecção e “habitar” um sistema por um longo tempo. 6 Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 Amostras exclusivas de rootkits descobertas 350.000 300.000 250.000 200.000 150.000 100.000 50.000 0 T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T4 Q1 2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012 Novas amostras de Koutodoor 200.000 180.000 160.000 140.000 120.000 100.000 80.000 60.000 40.000 20.000 0 T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T4 T1 2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012 Novas amostras de TDSS 250.000 200.000 150.000 100.000 50.000 0 T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T4 T1 2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012 Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 7 Novas amostras de ZeroAccess 250.000 200.000 150.000 100.000 50.000 0 T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T4 T1 2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012 Vamos falar sobre nossos outros tópicos “favoritos”: o antivírus falso (software de segurança falsificado), o AutoRun e os cavalos de Troia ladrões de senhas continuam incomodando. Os dois primeiros continuaram caindo levemente, mas os ladrões de senhas registraram um forte aumento neste trimestre. Novas amostras de antivírus falso 900.000 800.000 700.000 600.000 500.000 400.000 300.000 200.000 100.000 0 T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T4 T1 2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012 Novas amostras de Autorun 1.400.000 1.200.000 1.000.000 800.000 600.000 400.000 200.000 0 T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T4 T1 2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012 8 Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 Novas amostras de ladrões de senhas 1.200.000 1.000.000 800.000 600.000 400.000 200.000 0 T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T4 T1 2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012 Malware assinado Em um excelente blog do McAfee Labs, o pesquisador sênior Craig Schmugar explicou por que os criadores de malware usam assinaturas digitais no malware: “Os invasores assinam o malware para tentar enganar os usuários e administradores, fazendo com que confiem no arquivo. Mas eles também fazem isso para evitar a detecção por software de segurança e burlar políticas de sistema. A maior parte desse malware é assinada com certificados roubados; outros binários são autoassinados ou ‘assinados para testes’. Às vezes, a assinatura para testes é usada como parte de um ataque de engenharia social.”1 Neste trimestre, mais de 200.000 novos binários de malware exclusivos foram encontrados com assinaturas digitais válidas. Em nossas Previsões sobre ameaças em 2012, previmos que essa técnica, provavelmente inspirada no sucesso do Duqu e do Stuxnet, cresceria.2 Três meses depois, parece que é isso mesmo que está acontecendo. Total de binários assinados maliciosos 350.000 300.000 250.000 200.000 150.000 100.000 50.000 0 1º SET 2011 1º OUT 2011 1º NOV 2011 1º DEZ 2011 1º JAN 2012 1º FEV 2012 1º MAR 2012 1º ABR 2012 Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 9 Total de binários assinados maliciosos 100.000 80.000 60.000 40.000 20.000 0 SET 2011 OUT 2011 NOV 2011 DEZ 2011 JAN 2012 FEV 2012 MAR 2012 O malware para Macs da Apple continua mostrando um crescimento consistente. Como sempre, o malware para Macs parece relativamente brando quando comparado ao malware para PCs, mas é possível criar malware para qualquer sistema operacional e plataforma. Todos os usuários devem ter cuidado. Malware novo para Mac 700 600 500 400 300 200 100 0 T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T4 T1 2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012 Depois do grande aumento registrado no meio do ano passado, o malware de antivírus falso para Macs parece ter adquirido alguma consistência. Malware novo de antivírus falso para Mac 600 500 400 300 200 100 0 T1 2010 10 T2 2010 T3 2010 T4 2010 T1 2011 T2 2011 T3 2011 T4 2011 Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 T1 2012 Ameaças em mensagens Em nossa última edição, nós comentamos que no fim de 2011 os níveis de spam haviam atingido sua marca mais baixa de todos os tempos. Mesmo com um pico em janeiro, ao fim do trimestre os níveis de spam já haviam caído novamente para a marca baixa do período anterior. Nos últimos três meses, observamos aumentos na China, Alemanha, Polônia, Espanha e no Reino Unido, mas os volumes caíram no Brasil, na Indonésia e na Rússia. Apesar da queda nos níveis globais, o spearphishing e o spam continuam perigosos como sempre, e os consumidores e as empresas devem se manter vigilantes. A sofisticação das ameaças atuais continua alta. Volume de e-mail global, em trilhões de mensagens 2,0 1,5 Spam mensal E-mail legítimo 1,0 0,5 0,0 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 Volume de spam Alemanha Argentina 16.000.000 16.000.000 14.000.000 14.000.000 12.000.000 12.000.000 10.000.000 10.000.000 8.000.000 8.000.000 6.000.000 6.000.000 4.000.000 4.000.000 2.000.000 2.000.000 0 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 0 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 Austrália Brasil 4.000.000 120.000.000 3.500.000 100.000.000 3.000.000 80.000.000 2.500.000 2.000.000 60.000.000 1.500.000 40.000.000 1.000.000 20.000.000 500.000 0 0 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 China Colômbia 18.000.000 25.000.000 16.000.000 20.000.000 14.000.000 12.000.000 15.000.000 10.000.000 8.000.000 10.000.000 6.000.000 4.000.000 5.000.000 2.000.000 0 ABR MAIO JUN JUL AGO SET OUT NOV OUT JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 0 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 11 Volume de spam Coreia do Sul Espanha 50.000.000 16.000.000 45.000.000 14.000.000 40.000.000 12.000.000 35.000.000 30.000.000 10.000.000 25.000.000 8.000.000 20.000.000 6.000.000 15.000.000 4.000.000 10.000.000 2.000.000 5.000.000 0 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 0 Índia Estados Unidos 250.000.000 100.000.000 200.000.000 80.000.000 150.000.000 60.000.000 100.000.000 40.000.000 50.000.000 20.000.000 0 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 0 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 Itália Indonésia 80.000.000 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 12.000.000 70.000.000 10.000.000 60.000.000 8.000.000 50.000.000 40.000.000 6.000.000 30.000.000 4.000.000 20.000.000 2.000.000 10.000.000 0 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 0 Japão ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 Reino Unido 14.000.000 2.500.000 12.000.000 2.000.000 10.000.000 1.500.000 8.000.000 1.000.000 6.000.000 4.000.000 500.000 0 2.000.000 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 0 Venezuela Rússia 100.000.000 80.000.000 90.000.000 70.000.000 80.000.000 60.000.000 70.000.000 50.000.000 60.000.000 50.000.000 40.000.000 40.000.000 30.000.000 30.000.000 20.000.000 20.000.000 10.000.000 10.000.000 0 12 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 0 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 Classificações das redes de bots O crescimento geral das redes de bots de mensagens deu um grande salto em relação ao trimestre passado. As infecções cresceram na Colômbia, no Japão, na Polônia, na Espanha e nos Estados Unidos. Indonésia, Portugal e Coreia do Sul mantiveram a queda. Infecções globais por redes de bots 5.000.000 4.000.000 3.000.000 2.000.000 1.000.000 0 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 Novos remetentes de redes de bots Alemanha Argentina 50.000 90.000 45.000 80.000 40.000 70.000 35.000 60.000 30.000 50.000 25.000 40.000 20.000 30.000 15.000 20.000 10.000 10.000 5.000 0 0 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 Austrália Brasil 16.000 250.000 14.000 200.000 12.000 10.000 150.000 8.000 100.000 6.000 4.000 50.000 2.000 0 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 0 China ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 Coreia do Sul 250.000 80.000 70.000 200.000 60.000 50.000 150.000 40.000 100.000 30.000 20.000 50.000 10.000 0 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 0 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 13 Novos remetentes de redes de bots Estados Unidos Espanha 250.000 70.000 60.000 200.000 50.000 150.000 40.000 30.000 100.000 20.000 50.000 10.000 0 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 0 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 Índia Indonésia 350.000 140.000 300.000 120.000 250.000 100.000 200.000 80.000 150.000 60.000 100.000 40.000 50.000 20.000 0 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 0 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 Japão 30.000 Polônia 80.000 70.000 25.000 60.000 20.000 50.000 40.000 15.000 30.000 10.000 20.000 5.000 0 10.000 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 0 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 Reino Unido 60.000 Rússia 250.000 50.000 200.000 40.000 150.000 30.000 100.000 20.000 50.000 10.000 0 14 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 0 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 Muitas das maiores redes de bots de mensagens deste trimestre mostraram um crescimento tímido ou queda em novas infecções, com exceção da Cutwail, que registrou um aumento expressivo. Maiores infecções globais por redes de bots 2.500.000 2.000.000 Bobax 1.500.000 Cutwail Grum 1.000.000 Lethic Maazben 500.000 0 ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 Não esqueça que novas infecções não significam que as infecções atuais desapareceram. Nossa classificação de redes de bots por país mostra que muitas dessas redes ainda apresentam grande atividade ao redor do mundo, mesmo com a queda de novas infecções. A Cutwail é líder mundial em novas infecções e infecções atuais, exceto no Brasil, onde quem prevalece é a Grum. Alemanha Austrália Brasil Redes de bots Bobax Cutwail Grum Lethic Maazben Outras China Colômbia Coreia do Sul Espanha Estados Unidos Índia Japão Reino Unido Rússia Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 15 Redes de bots Reino Unido Japão Rússia Bobax Cutwail Grum Lethic Maazben Outras Como sempre, as “iscas” de engenharia social e os tópicos de spam variam muito, de acordo com a localização geográfica. As iscas variam de acordo com o mês e a estação do ano, e muitas vezes se aproveitam de feriados, eventos esportivos e tragédias. No Brasil, o spam ligado a jogos de azar se mostrou popular, enquanto em muitos outros países o spam de medicamentos foi o mais usado. Os Estados Unidos, por outro lado, foram assolados por falsas notificações de status de entrega (DSN, Delivery Status Notification). Iscas diferentes apelam a culturas diferentes. Tipos de spam 419 Scams Produtos para adultos Drugs Drugs Fashion Diplomas Fashion Diplomas Adult Products Newsletters Periódicos Coreia do Sul DSN Drugs Marketing Jogos de azar Casinos Drugs Lottos Notificações de status de entrega 419 Scams Gambling DSN DSN Casinos Medicamentos Phishing Gambling DSN Diplomas Brasil Bielorrússia Alemanha Fraudes 419 Lottos Adult Products Marketing 419 Scams 419 Scams Newsletters Phishing Phishing Third Parties Third Parties Viruses Viruses Watches Watches Estados Unidos França Produtos Gambling Terceiros DSN Vírus Drugs Relógios Diplomas Adult Products 419 Scams Índia Indonésia Paquistão Gambling DSN Drugs Diplomas Adult Products 419 Scams Reino Unido 16 Rússia Venezuela Gambling Gambling DSN DSN Drugs Drugs Diplomas Diplomas Adult Products Adult Products 419 Scams 419 Scams Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 Ameaças de rede Será que os Estados Unidos são a maior fonte de ataques cibernéticos do mundo? Determinar a origem e a atribuição dos ataques é uma tarefa complexa. Há poucos anos, a maioria dos clientes, tanto consumidores quanto empresas, não perguntava “de onde veio esse ataque?” ou “quem é o responsável pelo ataque?” Hoje nós ouvimos essas perguntas, mas é difícil respondê-las de forma precisa. Na maioria das vezes, a atribuição e a origem dos ataques se baseiam fortemente nos endereços IP e em funções geográficas básicas. Esses elementos são um bom ponto de partida, mas não vão muito além disso, porque o local e o endereço IP não necessariamente levam a uma identidade ou pessoa. Muitas vezes, uma máquina comprometida é usada para proxy de spam, redes de bots, negação de serviço ou outros tipos de atividades maliciosas. Essas máquinas podem estar localizadas em qualquer lugar do mundo, e a julgar pelos números do trimestre, muitas estão localizadas nos Estados Unidos. Vamos investigar algumas áreas coletadas e analisadas pela rede do McAfee Global Threat Intelligence™. Também expandimos consideravelmente nossos relatórios de análise baseados em rede no relatório sobre ameaças deste trimestre. As maiores ameaças de rede mais uma vez foram os ataques por chamada de procedimento remoto e injeção de SQL. As ameaças de XSS (Cross-Site Scripting) caíram um pouco, dos 19% do trimestre passado para 8%. Maiores ameaças de rede Chamada de procedimento remoto Injeção de SQL Navegador XSS (Cross-Site Scripting) Outras Os Estados Unidos foram a maior fonte de ataques por injeção de SQL, e também seu maior alvo. Maiores invasores por injeção de SQL Reino Unido Estados Unidos Venezuela Alemanha Holanda China Turquia Coreia do Sul Outros Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 17 Maiores vítimas de injeção de SQL Estados Unidos China Alemanha Reino Unido Espanha Coreia do Sul Japão França Outras Os Estados Unidos lideraram com ampla vantagem a lista de fontes de ataques de XSS (Cross-Site Scripting) detectados neste trimestre. Eles também foram as maiores vítimas desse tipo de ataque, seguidos por Taiwan, que ocupa a segunda posição. Maiores invasores por XSS Estados Unidos Taiwan Canadá Alemanha Reino Unido Outros Maiores vítimas de XSS Estados Unidos Taiwan Malásia China Outras 18 Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 Neste trimestre, também incluímos um gráfico das maiores detecções de redes de bots. A líder isolada foi a Mariposa, uma rede de bots financeira que rouba dados bancários e de cartão crédito. A Pushdo (também conhecida como Cutwail) ficou bem atrás no segundo lugar. Maiores detecções de redes de bots Pacotes de sondagem UDP da Mariposa DoS de SSL da Pushdo Varreduras de IRC SpyBot Ainslot.B Traffic Outras Os Estados unidos lideraram outra de nossas listas de rede. Quase metade dos novos servidores de controle de redes de bots detectados pelo McAfee Global Threat Intelligence reside nos Estados Unidos. Maiores servidores de controle de redes de bots Estados Unidos China Japão Alemanha Reino Unido Coreia do Sul França Outros As vítimas de redes de bots, que constituem outra seção nova do relatório, prevaleceram na Venezuela. Os Estados Unidos ficaram em um distante segundo lugar. Maiores vítimas de redes de bots Venezuela Estados Unidos Chile Colômbia Argentina Marrocos Rússia Outras Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 19 Ameaças via Web Os sites da Web podem obter uma reputação ruim ou maliciosa por diversos motivos. As reputações podem se basear em domínios completos e em qualquer quantidade de subdomínios, bem como em um único endereço IP ou mesmo em um URL específico. As reputações maliciosas são influenciadas pela hospedagem de malware, programas potencialmente indesejáveis ou sites de phishing. Muitas vezes observamos combinações de códigos e funcionalidades questionáveis. Esses são muitos dos fatores que contribuem para nossa classificação de reputação de um site. No trimestre passado, o McAfee Labs registrou uma média de 9.300 novos sites nocivos por dia. Se incluirmos URLs de e-mail de spam, os números chegam a 11.000 por dia. No período atual, entretanto, esse último valor caiu para 9.000 novos sites nocivos por dia. Novos URLs de má reputação 35.000 30.000 25.000 20.000 15.000 10.000 5.000 0 1º JAN 2012 1º FEV 2012 1º MAR 2012 1º ABR 2012 Ainda que a quantidade de URLs nocivos esteja caindo, a quantidade de clientes da McAfee direcionados a sites maliciosos está aumentando. No trimestre passado, a McAfee impediu diariamente que, em média, um em cada oito clientes sofresse um ataque de malware com base na Web (os outros sete clientes não visitaram nenhum site arriscado). Neste trimestre, entretanto, a taxa subiu para um em cada seis clientes. Esse número se manteve constante ao longo do trimestre, e representa o êxito obtido pelos criminosos cibernéticos no redirecionamento de usuários para seus sites nocivos. A grande maioria dos novos sites maliciosos encontra-se nos Estados Unidos. Em uma análise detalhada por região, podemos observar que nenhuma área da Internet global está fora de perigo. 20 Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 Localização dos servidores que hospedam conteúdo malicioso América do Norte África África do Sul Estados Unidos Reunião Canadá Marrocos Outras América Latina Ásia-Pacífico Bahamas Coreia do Sul Brasil China Ilhas Virgens Britânicas Cingapura Ilhas Cayman Região Ásia/Pacífico Outras Hong Kong Indonésia Outras Europa e Oriente Médio Austrália e Nova Zelândia Austrália Holanda Nova Zelândia Reino Unido Alemanha Suíça França Outras Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 21 A quantidade de sites que hospedam downloads maliciosos ou explorações de navegadores continua aumentando. URLs maliciosos ativos 900.000 800.000 700.000 600.000 500.000 400.000 300.000 200.000 100.000 0 JAN FEV MAR ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR 2011 2011 2011 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 A quantidade de sites que distribui malware e programas potencialmente indesejáveis caiu aproximadamente um terço neste trimestre, com média aproximada de 4.200 novos sites por dia. No quarto trimestre de 2011, a média foi de 6.500 por dia. Novos sites de malware 20.000 18.000 16.000 14.000 12.000 10.000 8.000 6.000 4.000 2.000 0 1º JAN 2012 1º FEV 2012 1º MAR 2012 1º ABR 2012 Os sites de phishing não sofreram alterações em relação ao trimestre passado. Tornamos a identificar uma média aproximada de 2.200 novos URLs de phishing por dia neste trimestre. Os sites de phishing continuam sendo um risco considerável a quem navega na Web: há mais sites hospedando tentativas de phishing do que sites hospedando apenas downloads maliciosos ou spam. Novos sites de phishing 10.000 8.000 6.000 4.000 2.000 0 22 1º JAN 2012 1º FEV 2012 1º MAR 2012 Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 1º ABR 2012 Crime cibernético Ferramentas de crimeware Além dos habituais pacotes de exploração atualizados, este trimestre também trouxe uma onda de novatos. A princípio, essas ferramentas de crimeware faziam uso maciço da vulnerabilidade do Java Rhino (CVE-2011-3544), revelada em outubro de 2011, mas logo passaram a tirar proveito de duas vulnerabilidades de 2012: • A vulnerabilidade de execução remota de código MIDI na biblioteca multimídia do Windows (CVE‑2012-0003), resolvida com a atualização de segurança MS12-004 de janeiro. • A violação do ambiente isolado (sandbox) do Java Runtime Environment (CVE-2012-0507), corrigida no meio de fevereiro como parte da recomendação de atualização de correção crítica do Oracle Java SE.3 Essa exploração é conhecida como Java AtomicReferenceArray. Na tabela abaixo, apenas o kit de exploração Phoenix inclui a exploração CVE-2012-0507 do Java Atomic. No entanto, lemos em vários blogs e fóruns sobre atualizações parecidas para o BlackHole, o Eleonore e o Incognito. Acreditamos que muitos kits de explorações farão uso dessa vulnerabilidade nos próximos meses. Nome Origem Detalhes da exploração Sakura 1.0 Rússia ou Europa Oriental Três explorações, incluindo Java Rhino (CVE-2011-3544) Hierarchy Rússia ou Europa Oriental 16 explorações, sendo duas de 2011: • Flash 10 (CVE-2011-0611) • Java Rhino Yang Pack China Janeiro Quatro explorações, incluindo: • Flash 10.3.181.x (CVE-2011-2110) • Flash 10.3.183.x (CVE-2011-2140) • Java Rhino Zhi Zhu China Fevereiro Cinco explorações, incluindo: • HTML+TIME (CVE-2011-1255) • Flash 10.3.181.x • Flash 10.3.183.x • WMP MIDI (CVE-2012-0003) Gong Da Pack China Fevereiro Três explorações: • Flash 10.3.183.x • Java Rhino • WMP MIDI Phoenix Exploit Kit 3.1 Março Rússia Em nosso relatório sobre ameaças do quarto trimestre de 2011, observamos a versão 3.0, que incluía a exploração do Java Rhino (CVE-2011-3544). A versão 3.1 inclui a exploração do Java Atomic (CVE-2012-0507). Aos que procuram detalhes sobre os pacotes chineses listados acima, recomendamos o blog Kahu Security4. Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 23 Bots e redes de bots Os fóruns clandestinos oferecem inúmeros anúncios de pacotes de redes de bots. As tabelas abaixo mostram que certas redes de bots oferecem preços especiais: Nome Preços (em dólares dos EUA) Darkness by SVAS/Noncenz Atualização para a versão 10 em janeiro: US$ 120 Bot de negação de serviço distribuído (DDoS) Pacotes • Minimum: Bot de DDoS, sem atualizações gratuitas, sem módulos = US$ 450 • Standard: Bot de DDoS, um mês de atualizações gratuitas, módulo de captura de senhas = US$ 499 • Bronze: Bot de DDoS, três meses de atualizações gratuitas, módulo de captura de senhas, uma recompilação gratuita = US$ 570 • Silver: Bot de DDoS, seis meses de atualizações gratuitas, módulo de captura de senhas, três recompilações gratuitas = US$ 650 • Gold: Bot de DDoS, atualizações gratuitas para sempre, módulos de captura de senhas e editor de “hosts”, cinco recompilações gratuitas, 8% de desconto em outros produtos = US$ 699 • Platinum: Bot de DDoS, atualizações gratuitas para sempre, módulo de captura de senhas, recompilações gratuitas ilimitadas, 20% de desconto em outros produtos = US$ 825 • Brilliant: Bot de DDoS, atualizações gratuitas para sempre, recompilações gratuitas ilimitadas, todos os módulos gratuitamente, 25% de desconto em outros produtos = US$ 999 Outros: • Recompilação (mudança de URLs) = US$ 35 • Fontes = US$ 3.500 – US$ 5.000 • Reinstalação do painel da Web (a primeira vez é gratuita) = US$ 50 Citadel5 Variante do Zeus, rede de bots financeira THOR by TheGrimReap3r Rede de bots ponto a ponto para vários fins Carberp Rede de bots financeira • Criador de bots e painel de administração = US$ 2.399 mais US$ 125 de “aluguel” mensal (preço em dezembro de 2011) • Recursos de atualização automática para burlar antivírus = US$ 395. Cada atualização custa US$ 15. • US$ 8.000 pelo pacote sem módulos. Desconto de US$ 1.500 para os cinco primeiros compradores. • Módulos esperados em desenvolvimento: eliminador de bots avançado, DDoS, capturador de formulários, keylogger (programa de captura por digitação)/ladrão de senhas e envio de e-mails em massa. • Carregador, capturadores, todas as funcionalidades básicas (exceto pelas listadas a seguir) = US$ 2.500 • Funcionalidades listadas acima, mais 500 conexões tipo back-connect e injeção para Internet Explorer e Mozilla FireFox = US$ 5.000 • Funcionalidades listadas acima, mais navegador oculto (semelhante ao VNC) = US$ 8.000 A oferta da Carberp é surpreendente. A data da oferta é 21 de março, mas no dia 20 de março as autoridades russas anunciaram a prisão da quadrilha da Carberp (leia a próxima seção para obter mais detalhes). Ações contra criminosos cibernéticos Neste trimestre, as autoridades policiais e outros benfeitores realizaram ações e derrubadas expressivas contra criminosos cibernéticos. Em janeiro, a Microsoft fez uma queixa contra um habitante de São Petersburgo, na Rússia, suspeito de controlar a rede de bots Kelihos (também conhecida como Waledac).6 De acordo com o especialista em segurança Brian Krebs, de 2005 a 2007 o suspeito foi desenvolvedor sênior de sistemas e gerente de projetos em uma empresa russa de antivírus chamada Agnitum.7 Em entrevista ao jornal Gazeta.ru, o suposto operador negou as acusações.8 24 Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 Um cidadão russo detido desde março de 2011 em Zurique, na Suíça, foi extraditado para Nova York em janeiro. Junto com o filho, que continua solto, ele soma nove acusações de conspiração, fraude de e-mail, fraude eletrônica, fraude de computador, roubo de identidade com agravante e fraude de investimentos usando sites falsos desde 2005.9 No dia 16 de março, o Serviço Secreto dos EUA, em coordenação com a U.S. Immigration and Customs Enforcement (ICE, agência de imigração e alfândega dos EUA), anunciou os resultados da Operação “Open Market” contra 50 indivíduos supostamente envolvidos em crimes como roubo de identidade e tráfico de cartões de crédito falsificados.10 Os suspeitos foram ligados ao crime organizado transnacional que opera em várias plataformas cibernéticas, comprando e vendendo em fóruns on-line informações pessoais e financeiras roubadas. Todos os acusados supostamente são membros, associados ou funcionários da organização criminosa Carder.su (que também inclui Carder.info, Crdsu.su, Carder.biz e Carder.pro). No dia 20 de março, o ministério russo de assuntos internos e o Federal Security Service (FSB) anunciaram a prisão de oito supostos criminosos cibernéticos, suspeitos de roubar mais de 60 milhões de rublos (US$ 2 milhões) de contas bancárias de pelo menos 90 vítimas com a ajuda do cavalo de Troia Carberp.11 Dois homens, presos em maio de 2011, foram acusados em março no Reino Unido de ações de hacking nos computadores da Sony Music e roubo de músicas avaliadas em aproximadamente 160 milhões de libras.12 A Serious Organised Crime Agency afirmou que o hacking teria ocorrido no ano passado, quando outros hackers acessaram a Playstation Network e fizeram download das informações pessoais de 77 milhões de usuários registrados. Acredita‑se que o caso não esteja ligado aos ataques do Anonymous e do LulzSec. Neste trimestre, vários membros ou afiliados do Anonymous foram alvo de operações das autoridades policiais. Depois que o membro “Sabu” do LulzSec foi considerado culpado em agosto de 2011 e cooperou com o FBI, os agentes das autoridades policiais prenderam outros membros importantes do grupo de hackers de computadores. Os suspeitos, que incluíam dois homens do Reino Unido, dois da Irlanda e dois dos Estados Unidos, foram indiciados no Distrito Sul de Nova York.13 Antes disso, ainda neste trimestre, a Interpol anunciou a prisão de 25 pessoas suspeitas de serem membros do Anonymous na Argentina, no Chile, na Colômbia e na Espanha.14 W0rmer e Kahuna, dois membros do CabinCr3w, um grupo hacker próximo ao Anonymous, foram presos no dia 20 de março nos Estados Unidos.15 Neste trimestre, vimos que a polícia não é a única capaz de atrapalhar as operações dos criminosos cibernéticos. Em uma postagem em janeiro, o famoso pesquisador Dancho Danchev revelou a identidade e os dados que descobriu sobre um russo ligado à quadrilha responsável pelo Koobface.16 Dias depois, o The New York Times revelou mais quatro nomes que um grupo de pesquisadores de segurança planejava anunciar.17 Para terminar, temos a Operação B71 da Microsoft, que se concentrou nas redes de bots que usam o Zeus, o SpyEye e variantes do Ice-IX. No dia 23 de março, a Microsoft anunciou uma ação conjunta com o Financial Services - Information Sharing and Analysis Center (FS-ISAC) e a National Automated Clearing House Association (NACHA). A Microsoft e seus agentes capturaram quatro horas de tráfego de rede e confiscaram servidores hospedados em dois locais diferentes na Pensilvânia e em Illinois. Além disso, mais de 1.700 nomes de domínio foram analisados para que se pudesse entender sua função nesse ramo.18 Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 25 Hacktivismo Além dos eventos relacionados à prisão de Sabu, os ataques em represália ao fechamento forçado do Megaupload foram a maior notícia envolvendo o hacktivismo neste trimestre. Através de contas no Twitter e de comunicados à imprensa, o Anonymous afirmou que milhares de pessoas participaram de sua OpMegaupload, que tirou diversos sites do ar, incluindo os do Departamento de Justiça, da Recording Industry Association of America (RIAA), da Motion Picture Association of America (MPAA), da BMI e do FBI. O mais interessante é que o Anonymous também conseguiu mobilizar seus simpatizantes nas ruas da Europa. Usando o fechamento do Megaupload como pretexto, demonstrações organizadas pelo Anonymous protestaram nos dias 11 e 25 de fevereiro contra as controversas leis SOPA, PIPA e ACTA em mais de cem cidades de aproximadamente 15 países. Foi uma curiosa mescla de hacktivismo digital e ativismo físico. Será que isso é um sinal do que está por vir? Os protestos contra a ACTA se espalharam pela Europa no dia 11 de fevereiro. Neste trimestre, também observamos dezenas de operações distribuídas pelo mundo. Nenhuma teve grande impacto, e é difícil destacar algumas: • A #OpGlobalBlackout, no dia 31, não causou o prometido blecaute global. Os pesquisadores de segurança eram quase unânimes em afirmar que o ataque era tecnicamente impossível. Mesmo assim, é interessante observar a ampla cobertura e todo o debate que essa #Op gerou. O Anonymous continua se mostrando capaz de conseguir manchetes com sua experiência em mídia. 26 • O hack ArcelorMittal: em reação à decisão de fechamento de dois altos-fornos na cidade belga de Liège.19 • O DDoS do Vaticano: um ataque que não era direcionado aos católicos do mundo, mas sim à Igreja “corrupta”.20 • O lançamento do Anonymous-OS Linux, imediatamente anunciado como falso.21 Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 Sobre os autores Este relatório foi preparado e escrito por Zheng Bu, Toralv Dirro, Paula Greve, Yichong Lin, David Marcus, François Paget, Craig Schmugar, Jimmy Shah, Dan Sommer, Peter Szor e Adam Wosotowsky do McAfee Labs. Sobre o McAfee Labs McAfee Labs é o grupo de pesquisa global da McAfee. Com a única organização de pesquisa dedicada a todos os vetores de ataque (malware, Web, e-mail, redes e vulnerabilidades), o McAfee Labs reúne informações de seus milhões de sensores e de seu serviço com base na nuvem, o McAfee Global Threat Intelligence™. Os 350 pesquisadores multidisciplinares do McAfee Labs em 30 países acompanham toda a gama de ameaças em tempo real, identificando vulnerabilidades em aplicativos, analisando e correlacionando riscos e permitindo correções instantâneas para proteger as empresas e o público. Sobre a McAfee A McAfee, uma subsidiária pertencente à Intel Corporation (NASDAQ:INTC), é a maior empresa do mundo dedicada à tecnologia de segurança. A McAfee provê soluções proativas e com qualidade comprovada, além de serviços que ajudam a manter sistemas, redes e dispositivos móveis protegidos mundialmente, permitindo aos usuários conectarem-se à Internet, navegarem e realizarem compras pela Web com segurança. Apoiada pelo incomparável centro Global Threat Intelligence, a McAfee desenvolve produtos inovadores que capacitam os usuários domésticos, as empresas dos setores público e privado e os provedores de serviços, permitindo-lhes manter a conformidade com as regulamentações de mercado, proteger dados, prevenir interrupções, identificar vulnerabilidades e monitorar continuamente dados, além de incrementar a segurança em TI. A McAfee protege o seu mundo digital. O compromisso maior da McAfee é encontrar constantemente novas maneiras de manter nossos clientes seguros. www.mcafee.com/br Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012 27 http://blogs.mcafee.com/mcafee-labs/signed-malware-you-can-runbut-you-cant-hide http://www.mcafee.com/br/resources/reports/rp-threat-predictions-2012.pdf http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html 4 http://www.kahusecurity.com/ 5 http://krebsonsecurity.com/2012/01/citadel-trojan-touts-trouble-ticket-system/ 6 http://blogs.technet.com/b/microsoft_blog/archive/2012/01/23/microsoft-names-new-defendant-in-kelihos-case.aspx 7 http://krebsonsecurity.com/2012/01/microsoft-worm-author-worked-at-antivirus-firm/ 8 http://en.gazeta.ru/news/2012/03/07/a_4030561.shtml 9 http://www.justice.gov/usao/nys/pressreleases/January12/zdoroveninvladimirandzdoroveninkirillindictmentpr.pdf 10 http://www.secretservice.gov/press/GPA03-12_OpenMarket2.pdf 11 http://garwarner.blogspot.fr/2012/03/russian-mvd-announces-arrest-of-carberp.html 12 http://www.huffingtonpost.com/2012/03/05/michael-jackson-hacking-james-marks-james-mccormick_n_1321912.html 13 http://www.smashtheman.com/2012/03/news/the-legal-attack-against-anonymous-and-lulzsec 14 http://www.interpol.int/News-and-media/News-media-releases/2012/PR014 15 http://blogs.mcafee.com/mcafee-labs/hacker-leaves-online-trail-loses-anonymity 16 http://ddanchev.blogspot.com/2012/01/whos-behind-koobface-botnet-osint.html 17 http://www.nytimes.com/2012/01/17/technology/koobface-gang-that-used-facebook-to-spread-worm-operates-in-the-open.html 18 http://blogs.technet.com/b/microsoft_blog/archive/2012/03/25/microsoft-and-financial-services-industry-leaders-target-cybercriminal-operations-from-zeusbotnets.aspx 19 http://www.cyberguerrilla.info/?p=3747 20 http://geeks.thedailywh.at/2012/03/07/geek-news-anonymous-vatican-hack-of-the-day/ 21 http://www.tomshardware.com/news/Anonymous-Anonymous-OS-Viruses-Trojans-Fake,15027.html 1 2 3 McAfee do Brasil Comércio de Software Ltda. Av. das Nações Unidas, 8.501 - 16° andar CEP 05425-070 - São Paulo - SP - Brasil Telefone: +55 (11) 3711-8200 Fax: +55 (11) 3711-8286 www.mcafee.com/br McAfee, o logotipo McAfee, McAfee Labs e McAfee Global Threat Intelligence são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros países. Outros nomes e marcas podem ser propriedade de terceiros. Os planos, especificações e descrições de produtos aqui contidos são fornecidos apenas para fins informativos, estão sujeitos a alterações sem notificação prévia e são fornecidos sem garantia de qualquer espécie, expressa ou implícita. Copyright © 2012 McAfee 44605rpt_quarterly-threat-q1_0512_fnl_ETMG