Resumo executivo
Relatório da McAfee sobre Ameaças:
Quarto trimestre de 2012
Ao término de 2012, o cenário de ameaças continuava a evoluir em muitas frentes,
de maneiras que ameaçavam tanto consumidores quanto empresas. As três principais
tendências e eventos observados pelos pesquisadores do McAfee Labs durante
o quarto trimestre foram:
•
Crescimento súbito no malware voltado para dispositivos baseados em Android
•Surgimento de uma nova ameaça persistente avançada direcionada contra
empresas de serviços financeiros e seus clientes
•
Uma volta a taxas de crescimento de dois dígitos nas ameaças direcionadas para
plataformas PC e o surgimento de ameaças e táticas novas e mais perigosas por
parte das quadrilhas de criminosos cibernéticos
Tendências das ameaças móveis
Até muito recentemente acreditava-se que o cenário de ameaças de malware móvel evoluiria da mesma forma que o cenário de ameaças a PCs de uma década atrás. No entanto, essa impressão subestimava completamente as habilidades e ambições da comunidade de criminosos cibernéticos. Conforme mostra a figura 1, o segmento de ameaças de malware móvel não está, de forma alguma, evoluindo linearmente como o segmento de PCs.
O número de amostras de malware móvel descobertas pelo McAfee Labs em 2012 foi 44 vezes maior que o número encontrado em 2011. Isso significa que 95% de todas as amostras de malware móvel já vistas apareceram no ano passado. A outra mudança ocorrida em 2012 foi que os criminosos cibernéticos passaram a se dedicar exclusivamente a atacar o Android, com 97% das amostras de malware encontradas no ano passado voltadas contra essa única plataforma. Somente no quarto trimestre, o número de amostras de malware baseadas em Android subiu 85%.
Total de amostras de malware móvel no banco de dados
0 5.000 10.000 15.000 20.000 25.000 30.000 35.000 40.000 2012 2011 2010 2009 2008 2007 2006 2005 2004
Figura 1. Novas amostras de malware móvel.
As razões para esse crescimento explosivo são várias, mas as principais motivações das quadrilhas de criminosos cibernéticos que desenvolvem e distribuem ameaças móveis são:
• O valor intrínseco das informações que podem ser encontradas em dispositivos móveis, incluindo
senhas e catálogos de endereços
• Novas oportunidades de “negócios” que não estão disponíveis na plataforma PC, como cavalos de Troia
que enviam mensagens SMS para serviços pagos que, por sua vez, cobram o usuário por cada mensagem
• A propensão de alguns usuários a fazer “rooting” em seus próprios celulares para personalizar
a interface ou adicionar funcionalidades, permitindo que hackers explorem as vulnerabilidades subjacentes do dispositivo
• A oportunidade de criar rapidamente redes de bots móveis muito grandes
• A capacidade de instalar malware que bloqueie atualizações de software das operadoras dos usuários
que possam remover outros elementos de malware instalados anteriormente
Ameaças persistentes avançadas
Após a leve calmaria que se seguiu ao surgimento do Stuxnet, o surgimento de novas ameaças persistentes avançadas (APTs) acelerou-se no segundo semestre de 2012. O primeiro desenvolvimento de APT anunciado em 2012 foi a Operação High Roller. Ela foi originalmente desenvolvida para atacar sistemas de transferência automática na Europa, mas os pesquisadores do McAfee Labs observaram novos ataques baseados na High Roller voltados contra empresas de manufatura e importação/
exportação dos Estados Unidos e América Latina. A expectativa é de que novas variantes da High Roller visem a infraestrutura de compensação automática de pagamentos utilizada para processar a maioria das operações de comércio eletrônico do mundo.
No quarto trimestre, surgiu uma nova APT chamada Blitzkrieg. Ao contrário da High Roller, que visava principalmente a infraestrutura de serviços financeiros, a Blitzkrieg ataca tanto consumidores quanto suas instituições bancárias. A Blitzkrieg primeiro ataca máquinas de usuários utilizando um ataque de phishing e instala um cavalo de Troia conhecido como Prinimalka. Em seguida, o cavalo de Troia monitora as ações e o tráfego de Web do usuário para detectar a utilização de credenciais de login em bancos. Os perpetradores da Blitzkrieg, então, exportam essas credenciais para um servidor de controle e as utilizam para realizar transferências eletrônicas de fundos ilícitas.
Malware
Após cair um pouco no terceiro trimestre, novas descobertas de malware apresentaram um crescimento considerável no quarto trimestre, com as novas amostras crescendo 35% em relação ao terceiro trimestre (figura 2). No ano, as descobertas de novas amostras de malware aumentaram 50%, havendo atualmente mais de 120 milhões de amostras no “zoológico” do McAfee Labs.
Malware novo 2.000.000 4.000.000 6.000.000 8.000.000 10.000.000 12.000.000 T4 2012 T3 2012 T2 2012 T1 2012 T4 2011 T3 2011 T2 2011 T1 2011 T4 2010 T3 2010 T2 2010 T1 2010
Figura 2. Novas amostras de malware.
Além do maior volume de ameaças, a natureza das ameaças voltadas contra usuários de PC continua a se tornar mais perigosa e sofisticada. As ocorrências de novos cavalos de Troia exclusivos para roubo de senhas, por exemplo, cresceram 72% no quarto trimestre. Os criminosos cibernéticos evidentemente perceberam que as credenciais de autenticação dos usuários são um dos mais valiosos tipos de
propriedade intelectual que se pode encontrar na maioria dos computadores.
Os criminosos cibernéticos também determinaram que uma das melhores maneiras de se contornar uma segurança de sistema padrão é “assinar” eletronicamente o malware utilizando um certificado roubado ou fabricado. No quarto trimestre houve um crescimento pronunciado dessa tática, com um aumento de três vezes nas ocorrências de binários de malware assinados (figura 3).
Total de binários assinados maliciosos 0 500.000 1.000.000 1.500.000 2.000.000 2.500.000 1° MAR 2012 1° ABR2012 1° FEV
2012 1° MAIO2012 1° JUN2012 1° JUL2012 1° AGO2012 1° SET2012 1° OUT2012 1° NOV2012 1° DEZ2012 1° JAN
2012
Figura 3. Total de binários assinados maliciosos.
Além de ter como alvos habituais o sistema operacional e aplicativos, os criminosos cibernéticos estão avançando agressivamente contra camadas mais baixas do sistema, atacando o BIOS e pilhas de armazenamento. Ataques a subsistemas de armazenamento foram particularmente populares no quarto trimestre. Um dos métodos mais populares utilizados foi atacar o registro mestre de inicialização (MBR) da unidade de disco do sistema.
Um ataque de MBR bem-sucedido costuma roubar dados ou fazer “rooting” do sistema para dar ao atacante controle suficiente para adicionar o sistema a uma rede de bots existente ou instalar algum outro malware. Por enquanto, os ataques de MBR são uma parcela relativamente pequena de todo o cenário de malware para PC, mas o McAfee Labs prevê que eles se tornem um dos principais vetores de ataque no próximo ano.
Novas ameaças relacionadas ao registro mestre de inicialização (MBR)
100.000 200.000 300.000 400.000 500.000 600.000 700.000 T4 2012 T3 2012 T2 2012 T1 2012 T4 2011 T3 2011 T2 2011 T1 2011 T4 2010 T3 2010 T2 2010 T1 2010
Componentes de MBR identificados Variantes de famílias com cargas de MBR conhecidas
Figura 4. Novas amostras relacionadas a ataques de MBR.
Uma das formas mais espúrias de ataque que apresentou um crescimento material em 2012 foi o ransomware. Os ataques de ransomware costumam se manifestar de duas formas. Na primeira forma de ataque, o criminoso cibernético expropria informações confidenciais do sistema de um usuário ou da infraestrutura de TI de uma empresa e, em seguida, exige um pagamento para não tornar públicos os dados. Na segunda forma de ataque, o criminoso cibernético estabelece controle sobre o sistema (ou dispositivo móvel) de um usuário, criptografa os dados do usuário e exige um pagamento em troca da chave de criptografia. Infelizmente, mesmo os usuários que concordam em pagar o resgate exigido não têm como saber se irão receber a chave de criptografia prometida.
Novas amostras de ransomware (vírus sequestrador) 0 50.000 100.000 150.000 200.000 250.000 T4 2012 T3 2012 T2 2012 T1 2012 T4 2011 T3 2011 T2 2011 T1 2011 T4 2010 T3 2010 T2 2010 T1 2010
Figura 5. Novas amostras de ransomware.
A última área de crescimento de malware voltado para PC detectada pelo McAfee Labs no quarto trimestre de 2012 é um nítido aumento nas ameaças com base na Web. O mecanismo básico de infecção permite que um criminoso cibernético faça download de malware de um site sub-repticiamente, sem o conhecimento do usuário. O malware, então, adiciona o sistema a uma rede de bots ou expropria dados do sistema do usuário.
A distribuição de malware a partir de sites infectados tornou-se uma tática cada vez mais popular em 2012 devido às operações policiais que derrubaram algumas das maiores redes de bots. O McAfee Labs também detectou uma nova tendência, na qual uma quadrilha criminosa constroi um “superdomínio” de sites infectados. Utilizando essa técnica, centenas ou milhares de sites separados podem ser colocados por trás de um único endereço IP. O endereço pode, então, ser alterado frequentemente para evitar detecção e o tráfego pode ser roteado para ele através de envenenamento de DNS e outras técnicas.
Uma das vantagens dessa abordagem, do ponto de vista de uma empresa, é que a quadrilha que opera o “parque” de Web resultante pode utilizá-lo para distribuir seu próprio malware ou alugá-lo para outras quadrilhas criminosas como um serviço à base de nuvem.
O McAfee Labs monitoriza e categoriza milhões de sites por dia com base em seu perfil de risco. O serviço Global Threat Intelligence™ de reputação na Web da McAfee detectou um aumento de dois
terços em novos endereços de URL suspeitos no quarto trimestre, identificando quase 4,5 milhões de URLs suspeitos em operação.
Novos URLs suspeitos
0 2.000.000 4.000.000 6.000.000 8.000.000 10.000.000 12.000.000 14.000.000 16.000.000 T4 2012 T3 2012 T2 2012 URLs Domínios associados
McAfee do Brasil Comércio de Software Ltda.
Av. das Nações Unidas, 8.501 - 16° andar McAfee, o logotipo McAfee e McAfee Global Threat Intelligence são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas Outras tendências de ameaças no quarto trimestre de 2012
Embora as três tendências discutidas acima representem a maior parte das “novidades” no cenário de ameaças para o quarto trimestre, houve também três outros desdobramentos dignos de nota. O primeiro foi o declínio continuado no volume de spam e o número de sistemas infectados controlados por operadores de redes de bots. A tendência das redes de bots é determinada parcialmente pelas operações policiais citadas anteriormente, mas também pelo apelo decrescente do modelo de negócios das redes de bots. Os volumes de spam costumam ser uma indicação da atividade das redes de bots, e o quarto trimestre refletiu isso (figura 7). A tendência de queda continuada no volume de spam indica que muitos spammers estão recorrendo a outras formas de crime cibernético ou concentrando seus esforços em ataques de phishing muito mais direcionados contra grupos específicos de vítimas.
Spam mensal E-mail legítimo 0 0,4 0,6 0,8 1,0 1,4 1,6 0,2 1,2 SET
20122012OUT 2012NOV 2012DEZ AGO 2012 JUL 2012 JUN 2012 MAIO 2012 ABR 2012 MAR 2012 FEV 2012 JAN 2012
Volume de e-mail global, em trilhões de mensagens
Figura 7. Volume de spam — trilhões de mensagens.
Segundo, o McAfee Labs descobriu um crescimento material no uso da Internet para vender documentos falsos, como passaportes, documentos de identidade e contas de serviços públicos, além de outros tipos de documentos emitidos pelo governo. Embora seja preocupante, essa tendência evidencia pouco mais que a aplicação da tecnologia de comércio eletrônico, por parte de quadrilhas criminosas, a um ramo de atividade já existente várias gerações antes do advento da Internet.
Finalmente, a atividade hacktivista aumentou modestamente no quarto trimestre, com ataques observados contra alvos dos setores público e privado em Israel, Síria, Reino Unido e Estados Unidos. Embora os ataques realizados por hackers supostamente ligados ao grupo Anonymous provavelmente continuem sendo uma característica do cenário de ameaças ao longo de 2013, o McAfee Labs prevê o declínio desses ataques ao longo do ano, dando lugar a ataques patrocinados e executados por países.