Infraestruturas frágeis, limpeza insatisfatória das redes e taxas lentas de detecção são alguns dos motivos que tornam empresas atualmente despreparadas para encarar futuros desenvolvimentos de ransomwares mais sofisticados. Isso é o que aponta relatório Midyear Cybersecurity Report 2016 da Cisco.
Segundo o levantamento, organizações levam, em média 200 dias para identificar novas ameaças. De novembro a abril desse ano, o tempo médio da Cisco para detecção (TTD) continuou a superar o da indústria, atingindo um novo mínimo de aproximadamente 13 horas para detectar ameaças anteriormente desconhecidos (um resultado abaixo das 17,5 horas verificadas em outubro de 2015).
Um tempo mais rápido para detecção de ameaças é crítico para restringir o espaço operacional dos atacantes – considerado maior desafio de empresas no combate a ameaças – e minimizar danos das intrusões. Este número é baseado em telemetria de segurança opt-in, recolhida a partir de equipamentos de segurança da Cisco implantados em todo o mundo.
Além disso, sistemas sem suporte e não corrigidos criam oportunidades adicionais para atacantes ganharem acesso facilmente, permanecendo sem serem detectados e maximizando danos e lucros.
Escala global
Enquanto organizações em segmentos críticos como a área da saúde sofreram um significativo aumento de ataques ao longo dos últimos meses, as conclusões do relatório indicam que todos as verticais e regiões do mundo têm se tornado alvos.
Clubes e organizações, instituições de caridade, organizações não governamentais (ONGs) e empresas eletrônicas têm experimentado um aumento em ataques no primeiro semestre de 2016.
No cenário mundial, as preocupações geopolíticas incluem a complexidade regulamentar e as políticas de segurança cibernética contraditórias de cada país. A necessidade de controlar ou acessar dados limitam e entram em conflito com o comércio internacional, em um cenário de ameaças sofisticadas.
Ransomware, ameaça constante
O ransomware tornou-se em 2016 o tipo de malware mais rentável da história. A expectativa da Cisco é que esta tendência continue com malwares ainda mais destrutivos, se espalhando por si só e contendo redes inteiras, fazendo as empresas de reféns. Novas variedades modulares de ransomware serão capazes de mudar rapidamente as táticas para maximizar a eficiência.
Por exemplo, futuros ataques de ransomware poderão evitar a detecção apenas limitando o uso de CPU e abstendo-se de ações de comando e controle. Estas novas variedades de ransomware irão se espalhar mais rapidamente e se replicarão dentro das organizações antes de coordenar as atividades de resgate.
Tendências
As vulnerabilidades do Adobe Flash continuam a ser um dos principais alvos de publicidade maliciosa e exploit kits (kits de sondagem de brechas). No popular “Nuclear Exploit Kit”, o Flash representou 80% de tentativas bem-sucedidas.
A Cisco também identificou uma nova tendência em ataques de ransomware que exploram vulnerabilidades dos servidores, especificamente dentro dos servidores Jboss, dos quais 10% daqueles em todo o mundo conectados à Internet foram comprometidos. Muitas das vulnerabilidades Jboss usadas para comprometer estes sistemas foram identificadas há cinco anos, ou seja, as atualizações básicas de instalação e reparação do fornecedor poderiam ter facilmente prevenido tais ataques.
Desenvolvendo os métodos de ataque: Durante o primeiro semestre de 2016, os adversários continuaram a evoluir seus métodos para capitalizar sobre a falta de visibilidade dos defensores.
Exploit kit do tipo Windows Binary se tornou o principal método de ataque web ao longo dos últimos seis meses. Este método proporciona uma base forte em infraestruturas de rede e faz com que os ataques sejam mais difíceis de serem identificados e removidos.
Durante este mesmo período, golpes via engenharia social do Facebook caíram do primeiro lugar em 2015.
Mascarando as evidências: contribuindo para os desafios de visibilidade dos defensores, os adversários estão aumentando o uso de criptografia como forma de mascarar vários componentes de suas operações.
A Cisco observou um aumento do uso de criptomoeda (ou criptodinheiro), Transport Layer Security (TLS) e do Tor, formas de proteção dos dados que permitem a comunicação anônima na web.
Significativamente, malwares voltados para HTTPS (navegação segura) e usados em campanhas de malvertising aumentaram 300% a partir de dezembro 2015 a março de 2016. O malware encriptado ainda permite que os adversários escondam suas atividades web e expandam seu tempo para operar.
Defender-se de atacantes corrigindo brechas de segurança, portanto, torna-se principal prioridade das organizações.
“Para fechar brechas, clientes vão precisar de mais visibilidade em suas redes e devem ainda melhorar atividades, aplicando patches e aposentando infraestruturas antigas, carentes de recursos avançados de segurança”, comenta Marty Roesch, vice-presidente e arquiteto chefe da área de Security Business Group da Cisco.
