Relatório do McAfee Labs sobre ameaças Novembro de 2014 Sobre o McAfee Labs O McAfee Labs é uma das maiores fontes do mundo em pesquisa de ameaças, inteligência sobre ameaças e liderança em ideias sobre segurança cibernética. Com dados de milhões de sensores nos principais vetores de ameaça – arquivos, Web, mensagens e rede – o McAfee Labs oferece inteligência sobre ameaças em tempo real, análises críticas e a opinião de especialistas para aprimorar a proteção e reduzir os riscos. A McAfee agora é parte da Intel Security. www.mcafee.com/br/mcafee-labs.aspx Siga o McAfee Labs Introdução O final do ano está chegando e os criminosos estão preparando seus truques habituais. A McAfee publicou recentemente os 12 golpes de final de ano, uma lista que destaca algumas dessas artimanhas. É uma leitura divertida que vale a pena conferir. Também começamos a observar inúmeras previsões para 2015, da direção da economia mundial até qual estrela de Hollywood vai brilhar mais. Nos últimos anos, o McAfee Labs também tem oferecido previsões em nossa área de atuação. No relatório de previsões do ano passado, acertamos várias delas em cheio. Por exemplo, previmos corretamente a proliferação do ransomware (vírus sequestrador, presente inclusive em plataformas móveis!), o aumento de ataques politicamente motivados e a adoção agressiva, pelas empresas, de serviços de informações e ferramentas de análise para identificar ameaças cada vez mais indetectáveis. Mas, é claro, não somos perfeitos, por isso erramos algumas delas. Afinal, essa é a natureza das previsões. Este ano, decidimos adiantar a publicação das nossas previsões sobre ameaças em 2015 e incluí-las neste relatório. Dessa forma, nossos clientes terão mais tempo para refletir sobre o que esperar no ano que vem e se preparar para as ameaças mais importantes. É claro, continuamos oferecendo as seções Tópicos em destaque e Estatísticas sobre ameaças, como em todos os relatórios trimestrais. O principal tópico em destaque deste trimestre é sobre a BERserk, uma vulnerabilidade dentro do software de verificação de assinatura RSA que pode ser explorada por criminosos cibernéticos de maneiras bem diversas. A divulgação da BERserk pela McAfee foi eclipsada pelo anúncio da Shellshock, mas o potencial de risco da primeira também é expressivo. Mais detalhes sobre a BERserk podem ser encontrados aqui. Em uma história afim, discutimos as diversas maneiras pelas quais os criminosos cibernéticos abusam da confiança dos usuários. Isso nos faz lembrar que percepção e treino são vitais para combater esse tipo de ameaça. Você vai notar que inserimos gráficos novos e alteramos alguns dos já existentes na seção Estatísticas sobre ameaças. Os leitores pediram para incluirmos estatísticas de grande valor para todos. Além disso, estamos começando a aproveitar uma melhor geração de relatórios com nossos próprios sistemas para melhorar a precisão de alguns de nossos gráficos. Esperamos que gostem das mudanças e inclusões. Nossos agradecimentos àqueles que participaram da nossa pesquisa do leitor no relatório sobre ameaças de agosto. Nós estamos ouvindo, como comprova o aprimoramento das estatísticas sobre ameaças citado anteriormente. Se você quiser compartilhar suas opiniões sobre este relatório, clique aqui para participar de uma rápida pesquisa de cinco minutos sobre o relatório sobre ameaças atual. Boas festas para você e sua família. – Vincent Weafer, vice-presidente sênior do McAfee Labs Compartilhe sua opinião Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 2 Sumário Relatório do McAfee Labs sobre ameaças Novembro de 2014 Este relatório foi pesquisado e redigido por: Cedric Cochin Benjamin Cruz Michelle Dennedy Aditya Kapoor Dan Larson Haifei Li Chris Miller Igor Muttik François Paget Eric Peterson Mary Salvaggio Craig Schmugar Ryan Sherstobitoff Rick Simon Dan Sommer Bing Sun Vinoo Thomas Ramnath Venugopalan James Walter Adam Wosotowsky Stanley Zhu Resumo executivo 4 Previsões do McAfee Labs sobre ameaças em 2015 Espionagem cibernética 6 A Internet das Coisas 6 Privacidade 8 Ransomware 9 Dispositivos móveis 9 Ponto de venda 10 Malware além do Windows 11 Vulnerabilidades12 Evasão da área restrita 14 Tópicos em destaque A ira da BERserk: um golpe forte nas conexões confiáveis 16 Abuso de confiança: explorando o elo frágil da segurança on-line 19 Estatísticas sobre ameaças 27 Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 3 Resumo executivo Previsões do McAfee Labs sobre ameaças em 2015 Este Relatório sobre ameaças começa com a atividade de ameaças que esperamos observar em 2015. Nossas previsões cobrem todos os pontos, incluindo opiniões acerca da Internet das Coisas, espionagem cibernética, dispositivos móveis, privacidade, ransomware, entre outros. A ira da BERserk: um golpe forte nas conexões confiáveis A BERserk se aproveita de uma falha do software de verificação de assinatura RSA, abrindo as portas para os criminosos cibernéticos estabeleceram ataques de interceptação sem o conhecimento dos usuários. Em setembro, a Intel Security divulgou detalhes sobre uma vulnerabilidade de longo alcance chamada de BERserk, uma espécie de referência à composição do código-fonte da vulnerabilidade. Enquanto este relatório estava sendo redigido, o impacto da BERserk não era totalmente conhecido, mas já era bastante expressivo. A BERserk se aproveita de uma falha do software de verificação de assinatura RSA, abrindo as portas para os criminosos cibernéticos estabelecerem ataques de interceptação sem o conhecimento dos usuários. A confiança no acesso a sites geralmente começa com o “https” no início do URL, acompanhado do amigável cadeado, que fecha a negociação. A BERserk compromete esse elo, permitindo que criminosos acessem e façam o que bem entenderem com o fluxo de informações entre usuário e site. Abuso de confiança: explorando o elo frágil da segurança on-line O McAfee Labs acredita que, em muitas formas de interação on-line, a confiança será como no caso do e-mail, que inspira pouca confiança quando a questão é autenticidade. Os elos mais frágeis da maioria dos sistemas de segurança são os usuários. Dependemos de dispositivos para grande parte de nossas informações e temos a confiança de que eles fornecem informações corretas de forma segura. Os atacantes costumam reduzir a zero a confiança em nossos dispositivos, usando-os contra nós para roubar informações. Este tópico em destaque explora o abuso de confiança, destacando, com exemplos recentes, as várias formas pelas quais os criminosos cibernéticos se aproveitam de nossas relações de confiança. O McAfee Labs acredita que, em muitas formas de interação on-line, a confiança será como no caso do e-mail, que levanta muitas suspeitas quando o assunto é autenticidade. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 4 Previsões do McAfee Labs sobre ameaças em 2015 Compartilhe sua opinião Espionagem cibernética Ponto de venda A Internet das Coisas Malware além do Windows Privacidade Vulnerabilidades Ransomware Evasão da área restrita Dispositivos móveis Previsões do McAfee Labs sobre ameaças em 2015 Espionagem cibernética Os ataques de espionagem cibernética serão cada vez mais frequentes. Atacantes de longa data tornar-se-ão coletores mais discretos de informações, enquanto os novatos procurarão maneiras de roubar dinheiro e prejudicar seus adversários. Governos de países pequenos e grupos terroristas estrangeiros entrarão no espaço cibernético para fazer guerra contra seus inimigos. Eles farão isso lançando ataques de negação de serviço distribuídos e incapacitantes ou utilizando um malware que elimine o registro mestre de inicialização para destruir as redes de seus inimigos. Ao mesmo tempo, espiões cibernéticos mais experientes implementarão métodos melhores para permanecerem ocultos na rede da vítima, utilizando tecnologias de ocultação melhores e mais sofisticadas e outros meios de se manterem abaixo do sistema operacional e fora de vista. Particularmente, o McAfee Labs tem testemunhado criminosos cibernéticos do Leste Europeu migrando de ataques rápidos e diretos a credenciais de clientes de instituições financeiras (o que resulta em roubo financeiro) para uma abordagem mais sofisticada de ameaça persistente avançada (APT), na qual coletam uma inteligência que podem vender ou utilizar posteriormente. Dessa forma, os criminosos estão começando a se assemelhar e a agir como sofisticados espiões cibernéticos a serviço de governos, os quais observam e aguardam para coletar inteligência. Uma abordagem semelhante começou a surgir no setor de varejo. Muitos varejistas atualmente criam perfis detalhados de seus clientes — incluindo hábitos de consumo e produtos de interesse, histórico de crédito, histórico de localização, dados de contato e mais. Além disso, planos estratégicos, operacionais e financeiros de varejistas bem-sucedidos podem ser de grande valia para o comprador certo. Alguns criminosos cibernéticos parecem estar adotando uma abordagem de espionagem cibernética com base em APTs para infiltrarem sistemas de varejistas, dos quais coletam sub-repticiamente inteligência além de informações de cartões de crédito para vender a quem pagar mais. – Ryan Sherstobitoff A Internet das Coisas Os ataques contra dispositivos da Internet das Coisas aumentarão rapidamente devido ao crescimento vertiginoso no número de objetos conectados, ao pouco rigor com a segurança e ao valor elevado dos dados contidos nesses dispositivos. O número e a variedade de dispositivos na família da Internet das Coisas (IoT) estão crescendo exponencialmente. No espaço de bens de consumo, eles já estão em eletrodomésticos, automóveis, automação residencial e até mesmo em lâmpadas. No mundo dos negócios, são muitas as aplicações, incluindo usos na agricultura, manufatura e serviços de saúde. Os dispositivos IoT são feitos com base em um conjunto crescente de elementos de software e hardware, resultando em uma complexidade significativa, a qual é inimiga da segurança. Esses componentes e, portanto, os próprios dispositivos não costumam ser construídos tendo a segurança como princípio básico de projeto. A distribuição cada vez mais ampla de dispositivos IoT, aliada à falta de uma segurança robusta, representa uma ameaça crescente à privacidade e à segurança, tanto de indivíduos quanto de empresas. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 6 Previsões do McAfee Labs sobre ameaças em 2015 Dispositivos conectados à Internet em todo o mundo 50 Bilhões A Internet das Coisas Dispositivos móveis Computadores pessoais 1995 1998 2001 2004 2007 2010 2013 2016 2019 Fontes: McAfee, segundo pesquisas da BI Intelligence, IDC e Intel. Fontes: McAfee, segundo pesquisas da BI Intelligence, IDC e Intel Ataques contra dispositivos IoT já são comuns — sejam contra câmeras IP com controles de segurança insuficientes, medidores inteligentes com falhas básicas na criptografia ou os dispositivos SCADA que alimentam infraestruturas críticas em todo o mundo. Na Espanha, por exemplo, medidores elétricos conectados em rede instalados em residências contêm vulnerabilidades que os atacantes podem utilizar para realizar fraudes de cobrança ou mesmo causar blecautes. Em uma conferência de hackers “white-hat” (hackers “do bem”), pesquisadores demonstraram como algumas câmeras de segurança conectadas à Internet podem ser facilmente violadas, o que lhes permite tanto roubar o sinal de vídeo das câmeras quanto obter acesso à rede das câmeras. Um determinado tipo de ameaça é particularmente alarmante: com a proliferação crescente de dispositivos IoT na medicina e seu uso em hospitais, a ameaça de perda das informações contidas nesses dispositivos se torna cada vez mais provável. Dados de assistência médica são ainda mais valiosos que dados de cartões de crédito porque credenciais de saúde roubadas são negociadas a US$ 10 cada, aproximadamente dez a vinte vezes o valor de um número de cartão de crédito nos EUA, segundo a agência Reuters. O que antes era exclusividade de governos e organizações do crime cibernético, agora está ao alcance de qualquer atacante motivado. Prevemos que em 2015 haverá um grande ataque diretamente relacionado a vulnerabilidades em dispositivos IoT. – Chris Miller e Ramnath Venugopalan Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 7 Previsões do McAfee Labs sobre ameaças em 2015 Privacidade A privacidade dos dados continuará sob ataque enquanto governos e empresas continuam a debater o que se pode considerar acesso legítimo e autorizado a “informações pessoais” vagamente definidas. Nós definimos privacidade de dados como o processamento legítimo e autorizado de informações de identificação pessoal. Embora a prática e o problema da privacidade possam ser enunciados em uma frase tão sucinta, a complexidade e o risco associados a percalços de privacidade estão crescendo e continuarão a crescer exponencialmente em 2015. Analisando a definição, “legítimo” é um conceito subjetivo para usuários de sistemas, consumidores ou funcionários de empresas ou cidadãos de um país. A legitimidade pode ser melhor definida como um grupo de princípios de manuseio legítimo de informações que são reconhecidos desde os anos 1960. Transparência, notificação, escolha, coleta proporcional, manuseio e compartilhamento de dados além de fronteiras, segurança, acesso limitado e descarte são alguns desses princípios. “Autorizado” é um outro elemento da privacidade de dados. Quem sou e o que faço ao administrar ativos de dados? Quem é você como cliente, funcionário ou cidadão em uma economia global cada vez mais digitalizada e ao seu alcance? Em 2015, continuaremos a ver esquemas de senhas e sistemas antiquados com base em cargos falharem e serem dominados por pessoas mal-intencionadas ou, no mínimo, por descaso. Biometria e identificações contextuais são, provavelmente, os melhores indicadores de presença e intenção. Ambos serão, portanto, uma área preferencial para inovação. Nós prevemos que o “quem, quando e onde”, em relação a você, continuarão a levar às alturas a inovação e os riscos de exploração. O último elemento da definição de privacidade são as “informações de identificação pessoal”. Em 2015 veremos ainda mais discussão e falta de clareza quanto ao que são, exatamente, nossas informações “pessoais” e ao que é razoável disponibilizar para observação por agentes governamentais ou privados. Em muitos lugares, a definição jurídica é de que informações pessoais são dados que identificam diretamente um determinado indivíduo ou dados que, em conjunto com outros dados, contribuem para a identificação de uma determinada pessoa. Embora estatísticos e economistas tenham sempre grandes volumes de casos com base nos quais gerar “dados”, a moda no meio tecnológico é chamar de “Big Data” o fenômeno de utilizar grandes volumes de informações. Quanto maior o Big Data, menores as probabilidades de permanecermos realmente anônimos. Assim, a tendência para 2015 e o futuro será o escopo cada vez maior das regras e regulamentos de privacidade de dados, com todas as suas especificações de segurança e requisitos de violação, no âmbito dos conjuntos de dados anteriormente anônimos. Até o final de 2015, esperamos que a União Europeia atualize sua diretiva de proteção de dados de 1995 com um regulamento de proteção de dados de 2016 que vigore em todos os países membros da UE e atinja todas as organizações internacionais. Essa iniciativa por parte da UE é, talvez, a mais evidente em termos de elaboração de políticas públicas, mas países da América Latina, Austrália, Japão, Coreia do Sul, Canadá e muitos outros tornar-se-ão mais agressivos e mais especificamente territoriais em suas leis e regulamentos de privacidade de dados. – Michelle Dennedy Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 8 Previsões do McAfee Labs sobre ameaças em 2015 Ransomware O ransomware (vírus sequestrador) evoluirá em seus métodos de propagação, na criptografia e nos alvos visados. Mais dispositivos móveis sofrerão ataques. Prevemos variantes de ransomware que consigam contornar programas de software de segurança instalados em sistemas e que visem especificamente endpoints de assinantes de soluções de armazenamento com base em nuvem, como Dropbox, Google Drive e OneDrive. Uma vez infectados esses endpoints, o ransomware tentará explorar as credenciais de acesso à nuvem dos usuários conectados para também infectar os dados armazenados na nuvem. Quando descobrirem que os dados de seus endpoints foram criptografados, as vítimas do ransomware terão uma surpresa desagradável ao tentar acessar seus armazenamentos na nuvem para restaurar os dados, pois constatarão que seus backups também foram criptografados pelo ransomware. Embora os arquivos criptografados pelo ransomware não possam se disseminar e infectar outros dispositivos autonomamente, podemos imaginar uma evolução tática na qual cada arquivo criptografado se torne um portador do próprio ransomware ao converter o arquivo-alvo em um executável, com o arquivo de dados original armazenado no corpo do malware. Essa técnica já foi utilizada por vírus infectadores de arquivos para transformar executáveis legítimos em portadores. Os autores de ransomware podem empregar o mesmo modelo para criptografia de arquivos. Conforme prevemos no ano passado, esperamos ver novamente um aumento no ransomware voltado para dispositivos móveis. Celulares e tablets, por conter dados pessoais e fotos inestimáveis, são um alvo atraente para autores de malware. Também prevemos que a técnica do ransomware voltado contra dados armazenados na nuvem se repita no espaço móvel. Com plataformas móveis compatíveis com uma variedade de métodos de pagamento não regulados, os atacantes terão inúmeras oportunidades de obter pagamentos de resgate das vítimas para liberar os dados criptografados. – Vinoo Thomas Dispositivos móveis Os ataques móveis continuarão a crescer rapidamente conforme novas tecnologias móveis expandirem a superfície de ataque e pouco for feito para deter o abuso das lojas de aplicativos. O malware para PC cresceu historicamente em volume na esteira de eventos de grande repercussão, como o surgimento de kits de geração de malware (que colocaram a criação de ameaças ao alcance de pessoas sem qualquer conhecimento sobre programação), a divulgação de código-fonte de malware (que permitiu modificar ameaças, bastando um mínimo de experiência em programação) e o abuso de recursos populares, aplicativos ou mecanismos de script. Veremos um impacto semelhante sobre o cenário de malware móvel em 2015. O código-fonte aberto e comercial de malware móvel está em alta e seus frutos serão provavelmente colhidos em um futuro próximo. É mera questão de tempo que sejam difundidos kits de geração de malware móvel, reduzindo a barreira de entrada para futuros ladrões. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 9 Previsões do McAfee Labs sobre ameaças em 2015 O Apple iPhone 6, com seu chip de comunicação a curta distância (NFC) e carteira de dinheiro digital integrada, legitimizará o uso da NFC para realização de pagamentos digitais. Outros fornecedores de dispositivos móveis adotarão rapidamente essas tecnologias em 2015 e os usuários começarão a realizar transações significativas de negócios utilizando essas tecnologias. Como se trata de transações de ponto de venda (PDV) e os ladrões cibernéticos adoram roubo de PDV, elas serão um alvo preferencial para os malfeitores. Em 2015, pesquisadores provavelmente descobrirão vulnerabilidades no hardware da NFC e no software de carteira digital e os ladrões cibernéticos tentarão explorá-las. O método de instalação do malware móvel continuará basicamente o mesmo. Lojas de aplicativos confiáveis, como a App Store da Apple e a Google Play fazem um bom trabalho de banir de suas prateleiras aplicativos que contenham malware, mas isso ainda ocorre. Além disso, existem muitas lojas de aplicativos não confiáveis e sites de download direto cujos aplicativos frequentemente contêm malware. O tráfego para esses sites e lojas de aplicativos maléficos costuma ser impulsionado por anúncios enganosos, os quais se voltaram rapidamente para as plataformas móveis. Em 2015, continuaremos a ver um rápido crescimento em anúncios enganosos voltados para usuários móveis, perpetuando o crescimento do malware móvel. Também prevemos crescimento no ransomware móvel, visto que os atacantes pretendem empregar métodos eficazes de extorsão trazidos do mundo dos PCs. Uma vez aperfeiçoado em plataformas móveis, o ransomware será ainda mais lucrativo para os ladrões cibernéticos do que nos PCs porque os usuários móveis dependem bastante de seus dispositivos para acesso imediato a informações críticas, como contatos, compromissos e endereços. Com tantos “ovos” na “cesta” do dispositivo móvel, os usuários farão o que for preciso — incluindo o pagamento de resgate — para reaver o acesso. – Craig Schmugar e Bing Sun Ponto de venda Ataques contra pontos de venda (PDV) continuarão lucrativos e um aumento significativo na adoção, pelo consumidor, de sistemas de pagamento digital em dispositivos móveis proporcionará novas superfícies de ataque para os criminosos cibernéticos explorarem. Em 2013, US$ 15 trilhões trocaram de mãos em transações de varejo, segundo um artigo da Forbes. Isso torna os sistemas de pagamento dessas transações um alvo cobiçado pelos criminosos cibernéticos. Em 2014 vimos um crescimento significativo nos ataques contra esses sistemas, incluindo uma violação de grandes proporções na Home Depot. Enquanto isso, fraudadores de cartões de crédito continuaram a afligir os consumidores. Eles também se tornaram mais difundidos neste ano, sendo vistos em toda parte, de copiadores de cartões em restaurantes a caixas eletrônicos em postos de combustível. Os ataques a PDVs são tão comuns que se tornaram parte da rotina diária dos que trabalham no setor. Apesar disso, pouco foi feito para melhorar a segurança dos PDVs. Por isso prevemos um crescimento continuado em violações de sistemas de PDV em 2015. Contudo, talvez tenhamos algum alívio nos EUA em 2015, conforme os varejistas começarem a distribuir cartões e leitores com chip e PIN. Compartilhe este relatório No próximo ano esperamos um aumento significativo na utilização de sistemas de pagamento digital. A Apple atualizou seu iPhone para incluir a tecnologia NFC. Isso viabilizou seu novo recurso iWallet, o qual transmitirá informações de cartão de crédito para sistemas de pagamento em vez de exigir que os consumidores passem seus cartões. Vários dispositivos Android também apresentam Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 10 Previsões do McAfee Labs sobre ameaças em 2015 compatibilidade com NFC e utilizam um processo chamado Host Card Emulation para possibilitar pagamentos móveis. Tanto a Visa quanto a MasterCard adotaram essa tecnologia e já oferecem aplicativos de pagamento móvel que funcionam com dispositivos compatíveis com NFC. Com a infraestrutura implantada, esperamos ampla adoção por parte dos consumidores. E, com isso, esperamos também ataques bem-sucedidos contra esses sistemas. Os sistemas de pagamento digital podem eliminar o risco de copiadores de cartões de crédito, mas acarretam riscos próprios. Dentre esses riscos, destacam-se as vulnerabilidades na tecnologia NFC empregada. Algumas dessas vulnerabilidades foram destacadas na DEF CON 2013 e continuam a ser rastreadas pelo NFC Awareness Project. O problema fundamental é que informações confidenciais passam a ser enviadas sem fio e existe a possibilidade de que atacantes explorem essa conexão. Há um histórico confirmado de ataques dessa natureza, incluindo o ataque “Bluetooth Sniper Rifle” de 2005 e a clonagem remota de passaportes com identificação por radiofrequência (RFID) em 2009. Ataques semelhantes voltados contra dispositivos NFC são prováveis porque já existem vulnerabilidades documentadas. Agora que os consumidores estão enviando informações de pagamento por meio de um protocolo com vulnerabilidades conhecidas, é altamente provável que surjam ataques contra essa infraestrutura em 2015. – Dan Larson Malware além do Windows Haverá uma explosão em ataques de malware não voltados para Windows, alimentados pela vulnerabilidade Shellshock. Durante o segundo semestre de 2014, conhecemos a vulnerabilidade Shellshock: uma fraqueza do Bash, um shell de comando encontrado em máquinas Unix, Linux e OS X. Ela permite que um atacante execute comandos arbitrários na máquina da vítima, o que a torna o tipo mais perigoso de vulnerabilidade — avaliado como nível dez (em uma escala até dez) pelo National Vulnerability Database dos EUA. As implicações dessa vulnerabilidade recém-descoberta serão sentidas durante anos. Muitos e muitos dispositivos, como roteadores, TVs, controladores industriais, sistemas de voo e infraestruturas críticas executam alguma forma de Unix ou Linux. Estamos apenas começando a compreender o escopo dessa vulnerabilidade. Esse vetor de ataque será o ponto de entrada para infraestruturas tão diversas quanto eletrodomésticos e corporações que dependem intensamente de sistemas não Windows. Como resultado, esperamos ver um aumento significativo em malware não Windows durante 2015, à medida que os atacantes buscarem capitalizar com vazamento de dados, pedidos de resgate de sistemas, assimilação de bots de spam e outras manobras ilícitas. O Shellshock ficará em evidência quando os atacantes explorarem dispositivos vulneráveis, novos e antigos, para realizar seus ataques. – Craig Schmugar Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 11 Previsões do McAfee Labs sobre ameaças em 2015 Vulnerabilidades As vulnerabilidades aumentarão devido ao crescimento continuado no número de falhas em programas de software populares. Dados do National Vulnerability Database do governo dos EUA mostram que nos últimos três anos o número de vulnerabilidades aumentou. Com base em aproximadamente 5.200 itens registrados até 30 de setembro, o número total para 2014 deve exceder o recorde estabelecido em 2006. A contagem de vulnerabilidades não é uma indicação direta do risco porque há muitos fatores inter-relacionados em jogo — a velocidade de aplicação e a abrangência dos patches, a gravidade de cada vulnerabilidade, a janela de exposição e muitos outros. Porém, essas contagens nos dão uma visão das condições gerais do ecossistema. Vulnerabilidades de aplicativos relatadas 8.000 7.000 6.000 5.000 4.000 3.000 2.000 1.000 0 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 Fonte: Banco de dados nacional de vulnerabilidades (National Vulnerability Database) Fonte: National Vulnerability Database – National Institute of Standards and Technology – National Institute of Standards and Technology Vimos um declínio no número de vulnerabilidades entre 2006 e 2011, mas este não é mais o caso. Essa queda pode ser atribuída a verificação de pilhas em compiladores, prevenção de execução de dados e aleatorização do layout do espaço de endereçamento em software de 64 bits. A tendência de aumento recente provavelmente reflete novas técnicas de exploração, como pivotagem de pilha, bem como programação com base em retornos e saltos, aliada a uma compreensão melhor do software de 64 bits por parte de caçadores de vulnerabilidades, tanto black-hat quanto white-hat. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 12 Previsões do McAfee Labs sobre ameaças em 2015 Porcentagem de novas amostras de malware que exploram vulnerabilidades conhecidas 8% 7% 6% 5% 4% 3% 2% 1% 0% T1 T2 T3 2011 T4 T1 Fonte: McAfee Labs. T2 T3 2012 T4 T1 T2 T3 2013 T4 T1 T2 2014 T3 Fonte: McAfee Labs O McAfee Labs analisou nosso zoológico de malware para determinar com que frequência o malware explora vulnerabilidades conhecidas. Dependendo do trimestre, de 1% a 6% de todas as amostras novas de malware tiraram proveito de alguma vulnerabilidade conhecida. Nesse período, o número foi de aproximadamente 2%, correspondente a 821.000 novas amostras de malware que exploraram alguma vulnerabilidade conhecida. Conforme cresce o número absoluto de amostras que fazem uso de técnicas de exploração, o volume de malware também cresce. Com isso, a proporção de amostras “relacionadas a explorações” permanece relativamente estável. Em 2015, não esperamos mudanças significativas em termos de reduções de vulnerabilidades disponíveis para desenvolvedores de sistemas operacionais ou aplicativos. Além disso, é improvável que aumente a taxa de adoção de melhores práticas, tanto atuais quanto emergentes. Portanto, prevemos que o número de vulnerabilidades recém-descobertas continuará a aumentar, bem como o volume de malware a explorar essas vulnerabilidades recém-descobertas. – Igor Muttik e François Paget Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 13 Previsões do McAfee Labs sobre ameaças em 2015 Evasão da área restrita A evasão de áreas restritas será um campo de batalha significativo em termos de segurança de TI. Muitos aplicativos críticos e populares, incluindo Microsoft Internet Explorer, Adobe Reader e Google Chrome, já implementaram tecnologias próprias de área restrita para confinar comportamentos maliciosos. Como a execução de aplicativos em áreas restritas é um método eficiente de interromper vários tipos de ataque, os autores de malware vêm procurando maneiras de contornar esse tipo de mecanismo de segurança. Vejamos o Internet Explorer, por exemplo. O malware que não passa pela área restrita não constitui ameaça para os usuários porque a exploração não consegue causar uma alteração persistente no sistema. Contudo, existem duas versões da tecnologia de área restrita do Internet Explorer: Protected Mode (PM) e Enhanced Protected Mode (EPM). Atualmente, o padrão para Internet Explorer 10 e 11 é a versão PM. Nossa pesquisa demonstrou que a PM é relativamente fácil de contornar. Embora ainda não tenhamos visto uma exploração à solta (in the wild) que contorne a PM ou a EPM, os componentes para isso estão disponíveis. Portanto, provavelmente veremos alguns casos de evasão de área restrita do Internet Explorer e subsequentes ataques de dia zero em 2015. Vulnerabilidades que podem levar a uma evasão de área restrita de aplicativo já foram encontradas e divulgadas em muitos aplicativos clientes importantes. Vulnerabilidades documentadas foram encontradas no Adobe Reader e Flash, Chrome, Apple Safari, Oracle Java e Internet Explorer. Essas vulnerabilidades levaram tanto pesquisadores quanto atacantes a investigar mais. Na BlackHat 2014, por exemplo, pesquisadores descreveram quatro técnicas de evasão de área restrita de aplicativo utilizadas com êxito por vencedores do concurso de hackers Pwn2Own deste ano. De fato, quase todos os “pwns” bem-sucedidos do concurso deste ano incluíam evasões de área restrita bem-sucedidas no estágio final de exploração. Já vimos técnicas que exploram vulnerabilidades e que contornam áreas restritas de aplicativos. É mera questão de tempo para que essas técnicas sejam oferecidas a criminosos cibernéticos no mercado negro. Acreditamos que isso acontecerá em 2015. Mais uma previsão: até hoje, os criminosos cibernéticos têm se concentrado principalmente na evasão de áreas restritas de aplicativos. No entanto, sistemas de área restrita independentes e cada vez mais populares oferecidos por fornecedores de software de segurança representam um novo obstáculo para os ladrões cibernéticos. Em resposta, os criminosos cibernéticos começaram a explorar novas maneiras de seu malware evitar esses sistemas de área restrita. Atualmente, um número significativo de famílias de malware identifica e evita detecções com base em área restrita. Contudo, até hoje não conhecemos malware algum à solta (in the wild) que tenha explorado com êxito vulnerabilidades de hipervisor para evadir um sistema de área restrita independente. Esperamos que isso mude em 2015. – Haifei Li, Rick Simon, Bing Sun e Stanley Zhu Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 14 Tópicos em destaque A ira da BERserk: um golpe forte nas conexões confiáveis Abuso de confiança: explorando o elo frágil da segurança on-line Compartilhe sua opinião Tópicos em destaque A ira da BERserk: um golpe forte nas conexões confiáveis – James Walter No tópico em destaque “Abuso de confiança: explorando o elo frágil da segurança on-line”, oferecemos um panorama dos desafios enfrentados hoje em relação ao nível de confiabilidade dos sites da Internet. Neste tópico em destaque, analisamos vulnerabilidades específicas que afetam profundamente a confiança. A equipe de pesquisa sobre ameaças avançadas da Intel Security se concentra em diversas áreas vitais que afetam a segurança de transações e do fluxo de informações on-line. Uma dessas áreas é a linha de base das comunicações de segurança e inclui análises de ameaças profundas e exposição dentro dos protocolos SSL/TLS, TPM 2.0, canais laterais de criptografia e outras áreas que não costumam ser monitoradas por se considerar que os modelos de confiança existentes são “sólidos”. Em setembro, a equipe de pesquisa sobre ameaças avançadas da Intel Security divulgou detalhes da vulnerabilidade chamada de BERserk. O nome vem da condição de vulnerabilidade permitida pela análise de sequências codificadas específicas que seguem regras básicas de codificação (BER ou basic encoding rules) dentro da implementação da verificação de assinatura RSA. Tanto a Intel Security quanto o pesquisador de segurança Antoine Delignat-Lavaud revelaram a vulnerabilidade à Mozilla, levando a empresa a lançar atualizações para diversos produtos, entre eles Firefox, Thunderbird, SeaMonkey e NSS. A Google também atualizou o navegador e o sistema operacional Chrome porque a biblioteca de criptografia NSS está presente nesses produtos. A falha se situa dentro da verificação de assinatura RSA, especificamente na análise incorreta de sequências codificadas por ASN.1 durante a verificação de sequência. Essa vulnerabilidade é uma variação da falsificação de assinatura RSA Bleichenbacher PKCS#1 v1.5 definida em CVE-2006-4339. Implementações vulneráveis procuram uma série de bytes 0xFF na mensagem codificada até que o byte separador 0x00 seja encontrado. O processo continua a validar DigestInfo e MessageDigest em relação aos valores esperados sem se certificar de que DigestInfo e MessageDigest estejam justificados à direita na mensagem codificada (EM), o que garante que não haja bytes sobrando após MessageDigest. Sem essa verificação, uma EM’ pode ser construída contendo lixo extra logo após MessageDigest de forma que essa EM’ satisfaça a seguinte verificação de assinatura: EM’ = 00 01 FF FF FF FF FF FF FF FF 00 DigestInfo MessageDigest Garbage O lixo adicional na EM’ permite que um criminoso gere assinaturas RSA que, após elevação ao cubo do módulo RSA, resultam nesta EM’: EM’ = (s’)^3 mod N Um criminoso pode criar assinaturas RSA sem saber a chave privada RSA {p,q,d} e, assim, forjar assinaturas RSA. O resultado permite que um atacante forje certificados RSA sem nenhum conhecimento da chave privada RSA correspondente. Mas, o que isso significa? Como isso nos afeta? Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 16 Tópicos em destaque A BERserk permite que criminosos cibernéticos estabeleçam ataques de interceptação em sessões de Internet sem o conhecimento dos usuários. Seu potencial de risco se iguala ao da Shellshock. A resposta é simples. Nós, bons cidadãos e usuários da Internet, acostumamonos com um certo modelo de confiança. Quando nos envolvemos em uma transação on-line (bancária, médica ou qualquer tipo de transação que exija dados pessoais), sabemos como verificar se a sessão é segura. Aprendemos a procurar por “https” nos URLs acompanhado do respectivo símbolo do cadeado. Essas coisas nos ajudam a decidir se um site ou aplicativo é seguro e a não expormos dados a indivíduos mal-intencionados. A BERserk e vulnerabilidades relacionadas mudam essa relação e põem em cheque nossa percepção da confiança e a segurança das sessões que se comunicam por meio de SSL/TLS. Com a habilidade de forjar assinaturas RSA com precisão, um atacante pode estabelecer sessões de interceptação em qualquer tipo de situação. A vulnerabilidade BERserk pode levar a ataques de interceptação Certificado da autoridade certificadora raiz RSA-2048/ Baixo expoente público Autoridade de certificação Certificado de servidor falso Assinatura forjada da autoridade certificadora raiz Dispositivos de usuários exibindo conexões seguras Indivíduo Certificados malicioso agindo seguros como interceptador A confidencialidade e integridade das sessões entre clientes e o site do seu banco, por exemplo, podem ser comprometidas. Com certificados falsos, os usuários podem visitar sites e até mesmo visualizar certificados para confirmar sua autenticidade. Tudo parecerá válido quando, na verdade, é o contrário. De maneira análoga, os usuários que efetuarem login em sites médicos podem ser vítimas dessa falha. O mesmo se aplica ao pagamento de impostos on-line e diversas outras situações. Olhando para além das ameaças da Web e de software, as bibliotecas de criptografia usadas em dispositivos de hardware, como telefones, armazenam dados confidenciais acessados sob demanda por aplicativos. Imagine que um celular ou um tablet contêm memória e execução seguras para oferecer funções de criptografia ao software do dispositivo. No dispositivo, haverá um firmware assinado digitalmente para impedir modificações não autorizadas por meio de malware ou intervenção manual do usuário. Com a falha BERserk, porém, é possível comprometer o firmware, impactando, assim, a integridade e a confidencialidade de dados sujeitos ao elemento de hardware seguro. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 17 Tópicos em destaque Saiba como a McAfee pode lhe ajudar a se proteger dessa ameaça. Um uso comum desse modelo é o armazenamento de dados financeiros de contas usados para pagamentos em fornecedores ou terminais especializados, como sistemas de pagamento com NFC, nos quais todos os dados do cartão são armazenados no dispositivo. Nessa situação, os atacantes podem manipular sessões de diversas formas, inclusive por meio do sequestro e manipulação da entrada e saída de dados, ou simplesmente por meio da coleta e roubo de dados confidenciais. Em nossa pesquisa, conseguimos forjar certificados RSA de até 1.024 e 2.048 bits. Isso pode beneficiar um atacante. Especificamente no caso da Mozilla NSS, os certificados podem ser forjados por atacantes e a cadeia de certificados será aprovada pela Mozilla NSS. Certificado forjado visto no Firefox. A equipe de pesquisa sobre ameaças avançadas da Intel Security continua a examinar esses problemas e como outros cenários exteriores ao navegador são afetados. Nossa equipe também está colaborando com CERTs e fornecedores afetados para solucionar esses problemas. Fornecedores de bibliotecas de criptografia afetadas continuam a lançar atualizações e orientações. Mozilla e Google atualizaram seus produtos. Os usuários afetados devem seguir as orientações dos fornecedores e manter seus sistemas atualizados. Para informações adicionais sobre a BERserk: • Vulnerabilidade BERserk: Part 1: RSA signature forgery attack due to incorrect parsing of ASN.1 encoded DigestInfo in PKCS#1 v1.5 (Parte 1: Ataque por falsificação de assinatura RSA decorrente de análise incorreta de DigestInfo com codificação ASN.1 em PKCS#1 v1.5) • Vulnerabilidade BERserk: Part 2: Certificate forgery in Mozilla NSS (Parte 2: Falsificação de certificados na Mozilla NSS) • Intelsecurity.com: BERserk • Equipe de resposta a emergências em computação (CERT): VU#772676 Compartilhe este relatório • National Vulnerability Database: CVE-2014-1568 Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 18 Tópicos em destaque Abuso de confiança: explorando o elo frágil da segurança on-line – Cedric Cochin e Craig Schmugar Todos os dias, grande parte da população mundial depende de dispositivos eletrônicos, seja um computador pessoal, um celular, uma televisão ou até mesmo um automóvel. Passamos a depender desses objetos e, na maioria dos casos, temos confiança de que nos oferecem informações corretas. Mas a confiança deve ser conquistada e estabelecida, um processo que costuma demandar tempo e dinheiro. Corporações gastam milhões de dólares todos os anos para fortalecer suas marcas, sabendo que um bom investimento nessa área renderá lucros consideráveis. Eles sabem que os consumidores estão mais propensos a agir quando uma marca importante está associada a um produto. Os atacantes estão bastante cientes disso, mas não costumam ter o tempo, os recursos e a paciência necessária para estabelecer uma relação de confiança com suas vítimas. Eles precisam descobrir maneiras de explorar investimentos de confiança e relacionamentos de terceiros. Formas de abuso de confiança ocorrem muitas vezes por dia e tendem a piorar. Por exemplo, o McAfee Labs rastreia binários assinados maliciosos, que são uma forma de abuso de confiança porque os atacantes camuflam malware fazendo com que se passe por um arquivo legítimo e certificado. Os binários assinados maliciosos tiveram um crescimento espantoso desde que começamos a rastreá‑los em 2007. Total de binários assinados maliciosos 45.000.000 40.000.000 35.000.000 30.000.000 25.000.000 20.000.000 15.000.000 10.000.000 5.000.000 0 T3 T4 2012 T1 T2 T3 2013 T4 T1 T2 2014 T3 Criadores de malware assinam digitalmente suas ameaças para explorar a confiança de usuários, de produtos e de sistemas operacionais. Fonte: McAfee Labs. Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 19 Tópicos em destaque A confiança herdada explora o valor que os usuários depositam em uma marca. É frequente que haja confusão na relação entre as marcas confiáveis e outras em um mesmo site. Confiança herdada Durante muitos anos, estabelecer uma relação de confiança com uma marca comercial durante uma transação costumava ser tão simples quanto confirmar a marca. Hoje, os consumidores também devem determinar se a marca confiável, por sua vez, confia em outras marcas representadas por meio de sua presença on-line. Em setembro, a rede de anúncios maliciosos “Kyle and Stan” foi exposta distribuindo “malvertisements” (malware disfarçados de anúncios) por meio de sites populares, como Amazon.com, ads.yahoo.com e youtube.com, bem como em importantes redes de anúncios, como DoubleClick e Zedo. Uma campanha maliciosa enviada por meio da rede de anúncios Zedo teria afetado usuários dos sites mais visitados, segundo classificação do Alexa, disseminando variantes assinadas do cavalo de Troia CryptoWall. A assinatura digital usada foi emitida para a “Trend”, com a provável intenção de imitar o fornecedor de produtos de segurança Trend Micro. A telemetria inicial mostra que os usuários norte-americanos estavam entre os mais afetados. Infelizmente, muitos consumidores caem em uma relação de confiança do tipo “inocência por associação” que costuma ser equivocada. Certificado usado para assinar o CryptoWall. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 20 Tópicos em destaque Essa relação de confiança entre um consumidor e uma marca comercial costuma ser alvo de abusos. Como exemplo, pode-se citar uma imitação de aplicativo legítimo e, em geral, popular que carrega um vírus ou cavalo de Troia. No último trimestre, golpistas tentaram fazer um suposto “FlashPlayer11” se passar pelo aplicativo legítimo. De acordo com a contagem de downloads da Google Play e da telemetria de detecção feita pelo McAfee Mobile Security, os golpistas tiveram relativo êxito em enganar os usuários. Uma de várias imitações do aplicativo “FlashPlayer11” na Google Play. Detecções do malware “FlashPlayer11” (Android/Fladstep.B) pelo McAfee Mobile Security. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 21 Tópicos em destaque Os atacantes exploram a confiança nos produtos ou sistemas operacionais por meio do sideload de DLL, uma técnica comum usada para inserir código malicioso. Confiança em produtos e sistemas operacionais Os produtos de segurança de hoje dependem muito da confiança. Para aprimorar o desempenho e reduzir falsos positivos, um inventário de sistemas determina aplicativos insuspeitos, cujo comportamento não é examinado. Os atacantes sabem que, se seu código malicioso conseguir pegar carona em um aplicativo confiável, terá maiores chances de sucesso. O malware tem se aproveitado desse fator por vários anos, utilizando uma abordagem conhecida como sideload de DLL. Essa técnica consiste em executar um aplicativo legítimo que executa código de uma biblioteca externa. Os atacantes fazem com que sua carga assuma o papel da DLL pretendida, fazendo com que o aplicativo limpo execute o código malicioso. Confiável.exe Confiável.dll Cenário típico: executáveis confiáveis carregam uma biblioteca confiável. Confiável.exe Desconhecido.dll Cenário malicioso: executáveis confiáveis carregam uma biblioteca com malware desconhecido. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 22 Tópicos em destaque No terceiro trimestre, o McAfee Labs observou ataques de sideload de DLL explorando um alvo relativamente novo – um aplicativo Google Updater assinado. Novas variantes do malware PlugX assumem o papel do goopdate.dll importado, mas o PlugX dá um passo além para ocultar suas ações. O módulo goopdate.dll não passa de um intermediário que lê o conteúdo de um arquivo de dados criptografado (goopdate.dll.map), descriptografa-o na memória e transfere o controle da execução para esse código. Essa abordagem oferece a vantagem de mascarar a funcionalidade do arquivo DLL intermediário. Cada um dos três componentes envolvidos no ataque são benignos em si e a análise dos arquivos em separado facilmente levaria a conclusões equivocadas mas, combinados, a intenção maliciosa fica bastante aparente. Os produtos que confiam em arquivos assinados por um certificado Google Inc. legítimo estão sendo explorados por atacantes que se valem dessa técnica. GoogleUpdate.exe Goopdate.dll Aplicativo atualizador da Google legítimo e assinado. Atualizador legítimo da Google carrega biblioteca da Google. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 23 Tópicos em destaque GoogleUpdate.exe Goopdate.dll Ilegítima Goopdate.dll.map Carga maliciosa criptografada Executável legítimo da Google carrega módulo malicioso que carrega uma carga. Atualizador da Google carrega biblioteca da Google. Este aplicativo de lista branca confia implicitamente em aplicativos válidos da Google por padrão. [Fornecedor confiável] aplicativo permitido por padrão. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 24 Tópicos em destaque Temos observado um avanço mais expressivo na confiança em produtos em uma variante do kit de exploração Angler. Esse ataque permite a execução direta de uma carga sem que esta seja antes gravada em disco, o que anula a possibilidade de adicionar aplicativos à lista branca para permitir ou negar o código recém-fornecido e, posteriormente, executado. Essa etapa também ignora verificações de arquivos pelo antivírus porque não há um arquivo para verificar nesse ponto do ataque. Outra forma de abuso de confiança envolve a interação entre o sistema operacional e os controles de roteamento da rede. Os aplicativos confiam que o sistema operacional fornecerá um meio de comunicação seguro e confiável. A título de exemplo, os aplicativos supõem que o tráfego que geram serão direcionados de forma segura e precisa para o destinatário pretendido. Uma família bastante conhecida de malware é a dos modificadores de DNS. Seu único objetivo é alterar a configuração de DNS do sistema operacional, forçando todas as consultas de DNS para um servidor DNS controlado pelos atacantes. Apesar de o navegador agir como se estivesse se comunicando com um site confiável de banco, na verdade está fazendo intercâmbio de dados com um site falso ou um proxy transparente malicioso que está capturando dados do usuário. Determinar se um usuário está interagindo com um site falso não é tão fácil quanto se imagina. A vulnerabilidade ASN.1 “BERserk” divulgada pela Intel em 24 de setembro e discutida no tópico em destaque “A ira da BERserk: um golpe forte nas conexões confiáveis” deste relatório, ilustra perfeitamente como os navegadores podem ser subvertidos de forma a acharem que estão se comunicando com sites confiáveis. Essa vulnerabilidade permite que os atacantes forjem assinaturas RSA, ignorando, assim, a autenticação a sites que usam SSL/TLS. Visto que os certificados podem ser forjados para qualquer domínio, esse problema causa sérias preocupações sobre integridade e confidencialidade quando visitamos o que achamos serem sites seguros. A exploração “BERserk” ASN.1. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 25 Tópicos em destaque Saiba como a McAfee pode lhe ajudar a se proteger dessa ameaça. Os abusos de resolução de nomes também comprometem sistemas operacionais. Direcionando o sistema para um servidor de atualização malicioso e usando um certificado confiável fora do escopo pretendido, os atacantes têm conseguido distribuir malware. Um exemplo famoso é o malware espião Flame, descoberto em 2012. O Flame continha código para infectar os computadores visados sequestrando o mecanismo de atualização do Microsoft Windows que distribui patches de segurança. Ataques similares podem comprometer elementos de rede, como roteadores, permitindo que os atacantes capturem o tráfego de computadores desktop e laptops, bem como TVs, consoles e outros dispositivos conectados. Um ataque desse tipo aconteceu em agosto, quando usuários do armazenamento conectado à rede Synology relataram infecções do SynoLocker, um cavalo de Troia ransomware que sequestra os dados. A confiança oferece oportunidades para os atacantes, o que faz o abuso aumentar. Os usuários precisam ficar muito atentos. Os produtos de segurança precisam permitir aos usuários definir o que deve ou não ser considerado confiável e oferecer controles flexíveis que deem mais permissões a elementos confiáveis, ao mesmo tempo que impõem limites aos demais. A incapacidade de superar esse desafio pode resultar na crescente desconfiança em relação a diversas tecnologias utilizadas para acessar a Internet e mesmo culminar na redução do uso da Web. Protegendo-se contra abusos de confiança Abuso Contramedida Confiança herdada (anúncios enganosos), confiança em produtos e sistemas operacionais Manter sistemas operacionais, aplicativos e software de segurança atualizados. Explorações maliciosas (downloads de passagem) Manter sistemas atualizados. Visitar sites com boa reputação. Passar o mouse sobre os hiperlinks para visualizar os destinos. Não clicar em links suspeitos que cheguem por e-mail ou pelas redes sociais. Abuso de marca (e-mail forjado, imitação de aplicativos, domínios falsos) Suspeitar e verificar, digitar manualmente endereços da Web, procurar aplicativos em sites confiáveis, escolher os de melhor reputação (muitos downloads, boas avaliações) e inspecionar os pedidos de permissão do aplicativo. Abuso de dispositivo Manter os dispositivos atualizados com o firmware mais recente. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 26 Estatísticas sobre ameaças Malware móvel Malware Ameaças via Web Compartilhe sua opinião Ameaças em mensagens Ameaças de rede Estatísticas sobre ameaças Malware móvel Malware móvel novo 900.000 800.000 700.000 600.000 500.000 400.000 300.000 200.000 100.000 0 T3 T4 T1 T2 2012 T3 T4 T1 2013 T2 2014 T3 Fonte: McAfee Labs. Total de malware móvel 6.000.000 O número total de amostras de malware para dispositivos móveis ultrapassou cinco milhões no terceiro trimestre de 2014, com um aumento de 16% neste trimestre e de 112% em relação ao ano anterior. 5.000.000 4.000.000 3.000.000 2.000.000 1.000.000 0 T3 T4 2012 T1 T2 T3 2013 T4 T1 T2 2014 T3 Fonte: McAfee Labs. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 28 Estatísticas sobre ameaças Malware Novos itens de malware 45.000.000 40.000.000 35.000.000 Existem mais de 307 novas ameaças a cada minuto, ou mais de cinco por segundo. 30.000.000 25.000.000 20.000.000 15.000.000 10.000.000 5.000.000 0 T3 T4 T1 2012 T2 T3 T4 T1 T2 2014 T3 T1 T2 2014 T3 2013 Fonte: McAfee Labs. Total de malware O zoológico de malware do McAfee Labs conta com mais de 300 milhões de amostras no terceiro trimestre de 2014, crescendo 76% em relação ao ano anterior. 350.000.000 300.000.000 250.000.000 200.000.000 150.000.000 100.000.000 50.000.000 0 T3 T4 2012 T1 T2 T3 2013 T4 Fonte: McAfee Labs. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 29 Estatísticas sobre ameaças Novo ransomware 400.000 Após quatro trimestres, o número de novas amostras de ransomware parou de cair. Estamos perplexos com a queda, mas não nos surpreende que esse número tenha voltado a crescer. 350.000 300.000 250.000 200.000 150.000 100.000 50.000 0 T3 T4 T1 T2 2012 T3 T4 T1 T2 2014 T3 T1 T2 2014 T3 2013 Fonte: McAfee Labs. Total de ransomware 2.500.000 2.000.000 1.500.000 1.000.000 500.000 0 T3 T4 2012 T1 T2 T3 2013 T4 Fonte: McAfee Labs. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 30 Estatísticas sobre ameaças Malware de rootkit novo 120.000 100.000 80.000 Novos rootkits caíram 65% no terceiro trimestre, refletindo a volatilidade dessa forma de malware. 60.000 40.000 20.000 0 T3 T4 T1 2012 T2 T3 T4 T1 2013 T2 2014 T3 Fonte: McAfee Labs. Total de malware de rootkit 1.600.000 1.400.000 1.200.000 1.000.000 800.000 600.000 400.000 200.000 0 T3 T4 2012 T1 T2 T3 2013 T4 T1 T2 2014 T3 Fonte: McAfee Labs. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 31 Estatísticas sobre ameaças Ameaças via Web O número de novos URLs suspeitos explodiu neste trimestre. Parte desse crescimento pode ser atribuído à duplicação do número de novos URLs curtos, que costumam ocultar sites maliciosos, e um crescimento significativo dos URLs de phishing. Novos URLs suspeitos 35.000.000 30.000.000 25.000.000 20.000.000 15.000.000 10.000.000 5.000.000 0 T2 T3 2012 URLs T4 T1 T2 T3 T4 T1 2013 T2 2014 Domínios associados Fonte: McAfee Labs. Localização dos servidores que hospedam conteúdo suspeito 2,4% 0,6% 0,2% 13,9% 47,8% 35,0% América do Norte Europa e Oriente Médio Ásia-Pacífico América Latina Austrália África Fonte: McAfee Labs. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 32 T3 Estatísticas sobre ameaças Novos URLs de phishing 3.000.000 O imenso salto neste trimestre pode ser atribuído principalmente a uma campanha de phishing e spam de pílulas russas que cria um subdomínio separado para cada destinatário. Nossa coleta de dados conta cada um desses subdomínios. 2.500.000 2.000.000 1.500.000 1.000.000 500.000 0 T2 T3 2012 URLs T4 T1 T2 T3 T4 T1 2013 T2 2014 Domínios associados Fonte: McAfee Labs. Principais países que hospedam domínios de phishing Estados Unidos 33% Alemanha 49% Canadá Rússia Reino Unido Brasil 3% Outros 3% 3% 4% 5% Fonte: McAfee Labs. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 33 T3 Estatísticas sobre ameaças URLs de spam novos 700.000 A partir deste trimestre, oferecemos uma contagem de novos URLs de spam de todo o mundo. O número de novos URLs no terceiro trimestre caiu um pouco em comparação com o segundo trimestre. A grande mudança ocorreu no quarto trimestre do ano passado, com o aprimoramento da nossa coleta de dados. 600.000 500.000 400.000 300.000 200.000 100.000 0 T2 T3 2012 URLs T4 T1 T2 T3 T4 T1 2013 T2 2014 Domínios associados Fonte: McAfee Labs. Principais países que hospedam domínios de spam Estados Unidos China 21% Bulgária 2% Turquia 3% 54% 3% Alemanha Suécia 4% Rússia 4% Japão 4% 5% Outros Fonte: McAfee Labs. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 34 T3 Estatísticas sobre ameaças Mensagens e ameaças de rede O aumento de 148% em e-mails legítimos neste trimestre é resultado da melhora do modo de coleta de dados. O número não é diretamente comparável a trimestres anteriores, mas, no futuro, teremos uma medida histórica mais precisa do volume de mensagens. Enquanto isso, o volume de spam cresceu 40%. Atribuímos esse número, em parte, ao modo como coletamos dados, mas também a uma base de clientes crescente, ao aumento na atividade de redes de bots e ao spam “snowshoe”. Volume global de spam e e-mail (trilhões de mensagens) 12 10 8 6 4 2 0 T3 T4 2012 Spam T1 T2 T3 2013 T4 T1 T2 2014 T3 E-mail legítimo Fonte: McAfee Labs. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 35 Estatísticas sobre ameaças A partir deste trimestre, oferecemos uma nova classificação das 20 maiores redes de bots de spam. A Kelihos foi a rede de bots mais prolífica do ano. No terceiro trimestre, 76% do spam gerado pelas 20 maiores foram e-mails da Kelihos. Mais recentemente, a Kelihos tem sido associada a spam para melhoria de negócios (“Oito regras simples expressam a essência das vendas B2B”), spam de remédios (“Compre remédios baratos. Economize até 70%”) e spam para enriquecer depressa (“$376 em APENAS UM DIA? Sério? Aqui está a prova”). A Kelihos tem ampla distribuição, com IPs de envio de spams com origem em 226 países este ano. E-mails de spam das 20 maiores redes de bots (milhões de mensagens) 1.500 1.000 500 0 T3 T4 T1 T2 2012 T3 T4 T1 2013 Kelihos Festi Gamut Cutwail Lethic Darkmailer Slenfbot Grum Waledac T2 2014 T3 Outras Fonte: McAfee Labs. Principais ataques a redes Os três principais tipos de ameaças neste trimestre representam 78% de todas as ameaças. Ataques SSL saltaram 8% no terceiro trimestre, um aumento de 5% em relação ao trimestre anterior. Esse aumento está provavelmente relacionado à enorme epidemia ainda em curso do Heartbleed. 3% 2% 1% 5% Negação de serviço 3% Força bruta Navegador 8% 39% SSL Backdoor 19% Varredura 20% Chamada de procedimento remoto XSS (Cross-Site Scripting) Outros Compartilhe este relatório Fonte: McAfee Labs. Relatório do McAfee Labs sobre ameaças, novembro de 2014 | 36 Sobre a Intel Security Comentários. Para ajudar a orientar nosso trabalho futuro, estamos interessados na sua opinião. Se você quiser compartilhar suas opiniões, clique aqui para participar de uma rápida pesquisa de cinco minutos sobre o Relatório de ameaças. A McAfee agora é parte da Intel Security. Com sua estratégia Security Connected, sua abordagem inovadora para a segurança aprimorada por hardware e a exclusiva Global Threat Intelligence, a Intel Security está sempre empenhada em desenvolver soluções de segurança proativas e comprovadas e serviços para a proteção de sistemas, redes e dispositivos móveis para uso pessoal ou corporativo no mundo todo. A Intel Security combina a experiência e o conhecimento da McAfee com a inovação e o desempenho comprovado da Intel para tornar a segurança um elemento essencial em toda arquitetura e plataforma de computação. A missão da Intel Security é oferecer a todos a confiança para viver e trabalhar de forma segura no mundo digital. www.intelsecurity.com Siga o McAfee Labs As informações deste documento são fornecidas somente para fins educacionais e para conveniência dos clientes da McAfee. As informações aqui contidas estão sujeitas a alterações sem aviso prévio, sendo fornecidas “no estado”, sem garantia de qualquer espécie quanto à exatidão ou aplicabilidade das informações a qualquer circunstância ou situação específica. McAfee. Part of Intel Security. Av. das Nações Unidas, 8.501 - 16° andar CEP 05425-070 - São Paulo - SP - Brasil Telefone: +55 (11) 3711-8200 Fax: +55 (11) 3711-8286 www.intelsecurity.com Intel e o logotipo da Intel são marcas comerciais da Intel Corporation nos EUA e/ou em outros países. McAfee e o logotipo da McAfee são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros países. Outros nomes e marcas podem ser propriedade de terceiros. Os planos, especificações e descrições de produtos aqui contidos são fornecidos apenas para fins informativos, estão sujeitos a alterações sem notificação prévia e são fornecidos sem garantia de qualquer espécie, expressa ou implícita. Copyright © 2014 McAfee, Inc. 61504rpt_qtr-q3-2015-predictions_1214_fnl