Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
RELATÓRIO DO CENÁRIO DE AMEAÇAS2ºT 2018
2
ÍNDICE
Introdução e principais constatações . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Tendências de infraestrutura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Tendências de explorações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Minifoco: as vulnerabilidades ficam desnorteadas . . . . . . . . . . . . . . . 9
Tendências de malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Minifoco: um relance do GandCrab . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Tendências de botnets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Minifoco: epidemiologia de botnets . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Conclusões e recomendações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Fontes e métricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
ÍNDICE
3
DESTAQUES E PRINCIPAIS CONSTATAÇÕES DO 2ºT DE 2018
2ºT DE 2018 — INTRODUÇÃO E PRINCIPAIS CONSTATAÇÕES
Destaques Das manchetes:
AgênciAs do Reino Unido e dos eUA emitiRAm Um AleRtA conjUnto sobRe AtAqUes
cibeRnéticos pAtRocinAdos pelA RússiA envolvendo milhões de dispositivos.
todos os seRviços goveRnAmentAis dA ilhA de sAint mARtin , oRAm desAtivAdos poR UmA
semAnA, poR Um AtAqUe cibeRnético.
os detAlhes sURgiRAm em toRno de UmA cAmpAnhA diRecionAdA UsAndo o mAlwARe vpnFilteR
AFetAndo UmA gAmA de dispositivos de it e ot.
UmA FAlhA Foi descobeRtA no site dA web dA Rede de RestAURAntes pAneRA bReAd, qUe pode
AFetAR 37 milhões de clientes.
vARiAntes 3A e 4 do meltdown And spectRe FoRAm descobeRtAs, pRolongAndo A eRUpção de
vUlneRAbilidAdes do cAnAl lAteRAl.
Um AtAqUe de wipeR Ao bAnco de chile Foi UsAdo como UmA coRtinA de FUmAçA pARA Um
AssAlto RelÂmpAgo de Us$ 10 milhões.
em UmA vitóRiA pARA os mocinhos, A opeRAção wiRewiRe levoU à pRisão 74 cRiminosos
envolvidos com esqUemAs de compRometimento de e-mAil coRpoRAtivo globAl.
Chegou aquela hora de novo — nossa jornada trimestral pelo estado natural do cenário
de ameaças cibernéticas. Estamos felizes em ser seus anfitriões nesta aventura, e será
um prazer tê-lo conosco neste percurso.
Como os destaques à direita sugerem, muita coisa aconteceu desde o nosso último
passeio. Nenhuma violação, evento ou tema sequer dominou a tendência cibernética
no 2ºT de 2018. Ele apresentava uma dose saudável de intrigas internacionais, grandes
interrupções, infecções globais, malware inovador, roubos inteligentes e muito mais.
Parece devastador? Não se desespere, estamos aqui para ajudar. Começamos a
jornada com uma visão rápida das tendências de uso de aplicativos em todos os
setores. Nesse ponto, deparamo-nos com inúmeras vulnerabilidades e explorações que
afetam os aplicativos que usamos todos os dias. O malware é a próxima parada em
nosso tour, onde veremos uma série de recursos de agentes de ameaças em exibição,
desde crimeware comoditizado até kits de espionagem desenvolvidos sob medida. Em
seguida, voltamos nossa atenção para as botnets, que, literalmente, conectam todos os
elementos acima juntos em uma vasta rede de controle malicioso. Nossa parada final
será algumas recomendações de nossos especialistas sobre as ações que você pode
adotar à luz de tudo que vimos e aprendemos neste trimestre.
Compartilhe seus pensamentos conosco e com outras pessoas ao longo do caminho
usando #FortiResearch no Twitter/LinkedIn/Facebook.
2ºT DE 2018 EM NÚMEROS:
Explorações
§ 7.230 detecções únicas
§ 811 detecções por empresa
§ 96% observaram explorações graves
§ 30 dias zero encontrados pelo FortiGuard Labs
§ 5,7% das CVEs exploradas em estado natural
Malware
§ 23.945 variantes únicas
§ 4.856 famílias diferentes
§ 13 detecções diárias únicas por empresa
§ 6 variantes se espalham por 10% ou mais das empresas
§ 23,3% observaram malware de cryptojacking
Botnets
§ 265 detecções de botnets únicos
§ 7,6 dias de infecção por empresa
§ 1,8 botnets ativos por empresa
§ 10% dos botnets atingem mais de 1,1% das empresas
§ 5% das infecções por botnets duram mais de 1 semana
Tendências de longo prazo que estamos acompanhando:
§ Dinâmica econômica que impulsiona o desenvolvimento de ransomware, cryptojacking e outros crimewares
§ Evolução do desenvolvimento rápido de malware por meio de reutilização de código, abordagens ágeis e outros métodos
§ Aumento contínuo de ameaças destrutivas e o impacto variável no risco e na resiliência do negócio
§ Evolução de ataques direcionados à infraestrutura fundamental e dispositivos IoT
TENDÊNCIAS DE INFRAESTRUTURA
5
TENDÊNCIAS DE INFRAESTRUTURA
Este é o “Relatório do cenário de ameaças”, mas é bom lembrar que o que está acontecendo em todo o ambiente externo de ameaças é muito mais um reflexo do que está acontecendo dentro de nossos próprios ambientes internos. Por isso, periodicamente, incluímos uma visão das tendências de infraestrutura antes de trabalhar em atualizações centradas na ameaça.
FIGURA 1: ESTATÍSTICAS DE USO DE APLICAÇÕES PARA OS PRINCIPAIS SETORES. OS NÚMEROS REPRESENTAM OS VALORES MEDIANOS.
TENDÊNCIAS DE INFRAESTRUTURA
FIGURA 2: VARIAÇÃO EM CONTAGEM DE APLICAÇÕES POR SETORES.
Sites maliciosos diariamente
Aplicativos de jogos
Aplicativos de streaming
Aplicativos de redes sociais
Aplicativos P2P
Aplicativos de proxy
Aplicativos de RAS
Aplicativos de IaaS
Aplicativos de SaaS
Total de aplicativos diariamente
Proporção de HTTPS
Construçã
o
Educaçã
o
Serviço
s fina
nceir
os
Governo
Cuidados médico
s
Fabricaçã
o
Varejo/
hosp
italida
de
Serviço
s
Tecnologia
Transporte
62,2% 65,7% 69% 64,3% 67,3% 65,7% 69,4% 63,4% 66,1% 62,6%
182 352 194 255 190 199 181 174 159 196
26 51 32 70 42 44 26 35 19 31
21 29 25 38 31 33 24 21 15 21
4 5 4 6 5 4 4 3 3 4
4 11 3 6 4 5 4 3 2 4
<1 4 <1 2 1 1 1 1 <1 1
14 26 14 18 14 15 14 14 11 14
12 33 12 20 14 15 10 12 9 14
2 12 2 4 1 2 2 2 1 2
<1 2 1 2 1 <1 1 <1 <1 1
Tecnologia
Serviços
Varejo/hospitalidade
Construção
Cuidados médicos
Serviços financeiros
Transporte
Fabricação
Governo
Educação
Total de aplicativos detectados0 100 200 300 400 500 600
Nesta edição, optamos por apresentar estatísticas de uso para vários tipos de aplicações divididos por setor. A Figura 1 compara o valor mediano (número de aplicativos na maioria dos casos) para cada item, mas deve-se notar que existe uma grande variação entre as organizações do mesmo setor. A Figura 2 ilustra bem isso; a contagem mediana de aplicativos (linha do meio no gráfico-caixa) difere, mas as distribuições globais para empresas dentro dos setores se sobrepõem consideravelmente. Algumas organizações de tecnologia (a menor mediana) usam mais aplicativos do que algumas no setor de educação (a maior mediana).
Não podemos determinar definitivamente a partir dos dados o motivo pelo qual existem diferenças nas Figuras 1 e 2, mas suspeitamos, por exemplo, que alunos, laboratórios, tecnologia instrucional e políticas de uso menos rigorosas têm grande relação com a maior contagem em geral para instituições educacionais. As empresas de tecnologia e construção executam ambientes de aplicações relativamente esparsos, o que, sem dúvida, tem muito a ver com os modelos de negócios e o tamanho da empresa.
O número de observações e possíveis explicações das Figuras 1 e 2 são quase ilimitadas, por isso, vamos simplesmente oferecê-las para consideração como achar melhor. Mas se você quiser trocar teorias, não há dúvida de que seu representante atencioso da Fortinet estará à sua disposição.
TENDÊNCIAS DE EXPLORAÇÕES
7
As tendências de exploração revelam o que os adversários fazem para identificar e comprometer os sistemas vulneráveis. O disparo de uma das muitas ameaças detectadas neste trimestre não significa que o ataque foi bem-sucedido ou que as vulnerabilidades existiam no ambiente. Como a atividade de exploração tende a ser bastante ruidosa, concentramos a análise em detecções críticas e de alta gravidade para esta seção.
Existem muitas maneiras diferentes de estudar as explorações em nosso conjunto de dados. Muitas vezes, mostramos as principais assinaturas, que têm o benefício da especificidade, mas o desafio da legibilidade. Afinal, nem todo mundo fala a língua nativa dos
FIGURA 3: TECNOLOGIAS SUPERIORES DIRECIONADAS POR EXPLORAÇÕES.
TENDÊNCIAS DE EXPLORAÇÕES
ESTATÍSTICAS RÁPIDAS:
§ 7.230 detecções únicas
§ 811 detecções por empresa
§ 96% observaram explorações graves
§ Microsoft é alvo de exploração nº 1
§ Schneider Electric é o alvo nº 1 do ICS
§ 30 dias zero encontrados pelo FortiGuard Labs
TENDÊNCIAS DE EXPLORAÇÕES
nossos sensores dos Sistemas de prevenção de intrusão (IPS) do FortiGuard. Como um compromisso, às vezes, mostramos diferentes categorizações ou abstrações de explorações. A Figura 3 fornece dois exemplos com base no prefixo da assinatura, que corresponde à tecnologia ou serviço visado. A coluna da esquerda, lista as tecnologias exploradas de forma mais ampla no geral, enquanto a da direita filtra isso exclusivamente nos sistemas de controle industrial (ICS).
Obfuscated.RichJava.DebugMS.OfficeApache.TomcatJoomla.CorePHP.MaliciousDrupal.CoreRed.HatNetwork.WeathermapApache.CommonsD-Link.DSL2750-BOpenSSL.HeartbleedPHP.CGIHTTP.URIMS.WindowsLinksys.RoutersMS.IISOracle.WebLogicApache.StrutsMS.IE
50 1 em1 em
21 em
2
Dois prefixos
AzeoTechGEIntelliComKingviewMeasuresoftMitsubishiUnitronics3S-SmartTrihedralWellinTechVIPAMicrosysQNXProgeaTeeChart-7TechnologiesInduSoftSearchBloxSiemensAdvantechSchneider
1 em10 mil
1 em1 mil
Prefixos SCADA
A primeira coluna da Figura 3 é como uma placa “Mais desejada da internet” de notórias explorações. Não há novos desenvolvimentos dignos de notas relacionados ao Apache Struts (da fama do Equifax) e ao Heartbleed — e eles são abordados extensivamente em relatórios anteriores — então vamos pular o comentário sobre eles por enquanto. A presença deles nesta lista é um lembrete suficiente de que os criminosos ainda estão ativamente buscando uma captura imprudente.
A exploração da Oracle está relacionada ao CVE-2017-3506, uma falha no componente Oracle WebLogic Server do Oracle Fusion Middleware. Ela permite que um invasor não autenticado com acesso à rede via HTTP comprometa o servidor, resultando em acesso não autorizado ou modificação de dados críticos.
Observamos que isso está sendo aproveitado para executar malware de cryptojacking nos últimos tempos.
A plataforma de gerenciamento de conteúdo, Drupal, subiu na lista no último trimestre devido à vulnerabilidade denominada “Drupalgeddon 2”. Ela permite a execução remota de código em sistemas vulneráveis devido à validação de entrada insuficiente ao analisar uma solicitação HTTP criada. Uma vez, desenvolvido o código de exploração, a popularidade do Drupal e a facilidade de exploração combinaram-se para torná-lo irresistível para os invasores. Como resultado, registramos um aumento de mil vezes nas detecções durante um período de 24 horas no início de maio. Muitos desses ataques visaram dispositivos da Internet das Coisas (IoT) e serviram de base para várias operações de mineração com criptomoeda.
8
TENDÊNCIAS DE EXPLORAÇÕES
ESPERE — VOCÊ DISSE CRYPTOJACKING COM DISPOSITIVOS IoT?
Sim . Agora, isso é uma “coisa” . Os criminosos aparentemente não estão satisfeitos com o fornecimento de servidores e PCs vulneráveis para minerar sua criptomoeda favorita, e assim se voltaram para outra fonte rica de potência computacional — os dispositivos IoT .
Os dispositivos de mídia são commodities especialmente interessantes devido ao uso de poderosas GPUs para decodificar e transcodificar conteúdo em formatos de alta resolução . Os invasores aproveitam isso ao carregar malwares que podem ser minerados continuamente pelo fato dos dispositivos permanecem ligados e conectados . Para piorar, a interface de muitos desses dispositivos funciona como um navegador da Web modificado, com todas as vulnerabilidades que o acompanham . Já pegamos vários desses em nossos honeypots e esperamos que isso se torne uma tendência no futuro próximo .
A inclusão de explorações direcionadas à Linksys e à D-Link aponta para o “link” em andamento entre a atividade maliciosa e os dispositivos IoT. Esta não é mais uma notícia de hoje, mas também não é uma notícia falsa. Os criminosos não abandonaram seus planos de acumular exércitos de coisas comprometidas em todo o mundo para diversos esquemas ilícitos. O FortiGuard Labs está fazendo sua parte para revidar, com uma das explorações passando à frente da D-Link na lista, sendo uma vulnerabilidade de estouros de buffer não autenticada encontrada por nossos pesquisadores em 2017. O patch foi lançado em março deste ano, pouco antes da exploração entrar em nossas cinco principais detecções em abril.
Olhando para o lado direito da Figura 3, encontramos um registro dos fabricantes SCADA mais atacados. Antes de examinar os nomes da lista, observe a escala na parte inferior. Os valores de prevalência são muito, muito inferiores aos das explorações gerais. No entanto, esses valores simplesmente refletem o fato de que muito menos organizações executam sistemas SCADA em seu
ambiente do que, por exemplo, servidores Web Apache. Aqueles que entendem esses pequenos números fazem grande diferença.
Voltando à lista em si, a Schneider Electric fica no topo com uma vantagem confortável. A tentativa de exploração mais predominante no trimestre envolveu acesso de backdoor no Módulo Ethernet Quantum da Schneider devido a uma conta padrão de fábrica com uma senha embutida no código. Os invasores remotos podem obter acesso ao dispositivo com essa conta por meio do acesso FTP.
As tentativas de explorar uma vulnerabilidade de estouros de buffer no Gerenciador de Licenças de Automação da Siemens estão na sequência na lista, que foi seguida de perto por outra condição de estouro no WebAccess da Advantech. Ambos resultam da limpeza inadequada de entradas e permitem a execução de código arbitrário. Definitivamente, não é algo que você queira que aconteça em seu ambiente de tecnologia operacional.
Durante o 2ºT de 2018, nossos pesquisadores divulgaram 30 vulnerabilidades que afetam uma série de produtos. Os fornecedores desses produtos estão listados abaixo, juntamente com uma contagem de vulnerabilidades encontradas e um link para as vulnerabilidades que descobrimos para cada fornecedor.
Fornecedor Vulnerabi-lidades Fornecedor Vulnerabi-
lidades
Adobe 2 Joomla 1
Caixa 1 Microsoft 5
Cisco 3 Naver 2
CrashPlan 1 Recon Instruments 1
D-Link 2 Shenzhen Lingan Intelligent Technology 1
FooLabs 2 Smarter 1
Foxit Software 1 Telesquare 1
Free Software Foundation 1 Tresorit 1
Golden Frog 1 Zabbix 1
Google 1 Zimbra 1
FIGURA 4: FORNECEDORES ASSOCIADOS ÀS VULNERABILIDADES DE DIA ZERO DESCOBERTAS PELO FORTIGUARD LABS NO 2ºT DE 2018.
LEMBRANDO OS BONS TEMPOS
A equipe de analistas e pesquisadores especializados da Fortinet examina diariamente muitos produtos de terceiros e aplicativos de software, procurando por pontos fracos e vulnerabilidades exploráveis . Quando uma vulnerabilidade é encontrada, as equipes do FortiGuard Labs trabalham juntas para criar medidas de proteção que podem ser entregues aos nossos clientes e notificar o software/fornecedor do produto sobre a vulnerabilidade . Saiba mais .
9
MINIFOCO: AS VULNERABILIDADES FICAM DESNORTEADAS
MINIFOCO: AS VULNERABILIDADES FICAM DESNORTEADAS
Outra maneira interessante de estudar as explorações é por meio das vulnerabilidades
que elas visam. Acompanhamos essa importante associação em nossa Enciclopédia
de Ameaças. Juntar essas duas informações nos permite medir quais vulnerabilidades
*conhecidas* estão sendo atacadas em seu estado natural a qualquer momento.
Sobre esse tema, Kenna Security e o Cyentia Institute publicaram um relatório
recentemente afirmando que cerca de 2% de todos as CVEs publicadas foram
exploradas em seu estado natural. Alguns sugeriram que a estimativa estava inferior à
realidade, então queríamos duplicar a análise deles usando nosso conjunto de dados
FIGURA 5: PROPORÇÃO DE CVES PUBLICADAS COM EXPLORAÇÕES OBSERVADAS NO 2ºT DE 2018.
Das 103.786 vulnerabilidades
publicadas na Lista de CVE desde
o seu início, 5.898 (5,7%) foram
exploradas em seu estado natural
durante o 2ºT de 2018, de acordo
com nossos sensores globais.
1 Este número inclui entradas da Lista de CVE com um status de “Publicado” ou “Disputado”, que espelha a metodologia usada pela Kenna Security. 2 Estamos cientes de que a Lista de CVE não é uma lista abrangente de todas as vulnerabilidades conhecidas. Baseamos nossa análise em CVEs porque estão disponíveis publicamente e porque isso espelha a metodologia usada pela Kenna Security.3 Caso você esteja curioso, apenas 4 das 4.122 CVEs publicadas no 2ºT foram exploradas no 2ºT (0,1%).
94,3% 5,7%
Não observado
Observado
Embora nossa estatística seja quase
3 vezes mais alta do que a do relatório
Kenna-Cyentia — e provavelmente
subestimada por ter apenas um quarto
de observações — ela corresponde com
a conclusão geral de que uma pequena
minoria de vulnerabilidades publicadas é
explorada em seu estado natural. Isso é
importante porque afeta drasticamente
as decisões de remediação e como as
fazemos. Se a grande maioria não for
explorada, “consertar tudo” não é apenas
impossível, mas extremamente ineficiente.
O conhecimento do que é realmente
explorado se torna muito valioso.
Como consideramos ser nosso trabalho
compartilhar informações valiosas,
de detecções de exploração. Das 103.7861 vulnerabilidades publicadas na Lista CVE2 desde o seu início, 5.898 (5,7%) foram exploradas
em estado natural durante o 2ºT de 2018, de acordo com nossos sensores globais.3
Vol
ume
1 bi
100 mi
10 mi
1 mi
100 mil
10 mil
1 mil
100
10
10 mil 1 mil 100 10 11 em 1 em 1 em 1 em 1 em
a Figura 6 representa as CVEs com base na prevalência e no volume de detecções de exploração relacionadas. Se você pensar em todos
esses pontos como uma decisão “devo remediar isso?”, você terá uma noção da dimensão do desafio. Ainda mais quando você considera
que a Figura 6 inclui apenas um subconjunto do subconjunto para o qual observamos tentativas de exploração no 2ºT. A maioria das CVEs
no canto superior direito se relaciona com as explorações discutidas anteriormente, mas sinta-se à vontade para acessar a página de
pesquisa da Lista de CVE para procurar qualquer coisa que chame sua atenção.
FIGURA 6: VULNERABILIDADES EXPLORADAS EM ESTADO NATURAL DURANTE O 2ºT DE 2018.
TENDÊNCIAS DE MALWARE
11
O estudo das tendências de malware é útil porque elas refletem a intenção e a capacidade dos invasores. Como ocorre com as explorações, as detecções de malware por parte de nossos sensores nem sempre indicam infecções de fato, mas sim, o municiamento do código e/ou uma tentativa de entrega às vítimas e sistemas visados. As detecções podem ocorrer nos níveis da rede, do aplicativo e do host, em diversos dispositivos.
Após a Grande “Corrida do Ouro” de Cryptojacking do final de 2017 e início de 2018, o cenário de malware parece ter voltado para uma forma mais familiar durante o 2ºT. A atividade de
FIGURA 7: VOLUME DE MALWARE DE CRYPTOJACKING (AZUL) E PREÇO DE BITCOIN (LARANJA).
TENDÊNCIAS DE MALWARE
ESTATÍSTICAS RÁPIDAS:
§ 23.945 variantes únicas
§ 4.856 famílias diferentes
§ 13 detecções diárias únicas por empresa
§ 6 variantes se espalham por 10% ou mais das empresas
§ 23,3% observaram malware de cryptojacking
TENDÊNCIAS DE MALWARE
cryptojacking continuou aumentando globalmente, mas não em relação ao volume crescente de malware em geral. Como em qualquer mercado, tais flutuações podem ser atribuídas às forças de oferta e demanda.
0%
1%
2%
3%
4%
5%
6%
7%
8%
0
5 mil
10 mil
15 mil
20 mil
Cry
ptoj
acki
ng c
omo
%
do v
olum
e de
mal
war
eP
reço do Bitcoin (U
SD
)
Jan Fev Mar Abr Mai Jun
Para testar essa hipótese, a Figura 7 compara o volume relativo de malware de cryptojacking com o preço do bitcoin nos primeiros seis meses de 2018. Se você achava que o preço do bitcoin era volátil, confira essa linha azul tracejada para o cryptojacking! As linhas de tendência suavizadas, no entanto, mostram um comportamento declinante semelhante ao longo do tempo4. Também comparamos o preço de outra criptomoeda popular, a Monero, e constatamos que é quase idêntica ao padrão exibido
4 O coeficiente de correlação de Pearson para as duas linhas de tendência é 0,4.5 O coeficiente de correlação de Pearson para as flutuações de preços em bitcoin e Monero é 0,95.
pelo bitcoin.5 Assim, inferimos uma correlação positiva moderada entre o preço de mercado das criptomoedas e o malware projetado para minerar ilicitamente essas moedas.
Com isso fora do caminho, ampliaremos a abertura para examinar o cenário mais amplo de malware. A Figura 8 captura essa imagem para nós, traçando as famílias de malware mais ativas no trimestre com base na prevalência e no volume.
12
TENDÊNCIAS DE MALWARE
FIGURA 8: PRINCIPAIS FAMÍLIAS DE MALWARE PARA O 2ºT DE 2018.
Adware/Agent
Adware/AirPush!Android
Adware/DealPly
Android/Agent
Android/Generic
Android/Hiddad
BAT/Agent
JS/Agent
JS/Kryptik
JS/Nemucod
LNK/Agent
MSIL/Injector
MSIL/Kryptik
MSOffice/CVE_11882_2017
Riskware/0190_Dialers
Riskware/Agent
Riskware/Asparnet
Riskware/CoinHiveRiskware/CoinMiner
Riskware/Generic
VBA/Agent
VBS/Agent
VBS/Freelink
W32/Agent
W32/Agent2
W32/Autorun
W32/AutoRun
W32/BackDoor
W32/BDoor
W32/BHO
W32/Bifrose
W32/BKMW32/BPO
W32/BPO!tr
W32/Bropia!worm
W32/CoinMiner
W32/Comsa
W32/Delf
W32/Dloader
W32/Drob
W32/Dropper
W32/DwnLdr
W32/Dx
W32/FakeAlert
W32/FareitVB
W32/FraudLoadW32/Hupigon
W32/Injector
W32/Kasidet W32/Krap
W32/Kryptik
W32/LdPinch
W32/Mimikatz
W32/Monderb
W32/MS04028
W32/MyDoom
W32/OnLineGamesW32/Poison
W32/SpyBot
W32/StartPage
W32/Swizzor
W32/TDSSPack
W32/Ukpa
W32/User32Hk
W32/VB
W32/VBKryptik
W32/Virtum
W32/Virut
W32/Vundo
W32/Wintri!tr
W64/KasidetWM/Agent
1 mil
10 mil
100 mil
1 mi
10 mi
100 mi
1 em1 mil
1 em100
1 em10
Vol
ume
Muito acima do aglomerado na escala de volume da Figura 8 está o W32/StartPage. O membro mais tumultuoso dessa família no trimestre foi uma detecção genérica de um Cavalo de Troia que cobria uma série de comportamentos maliciosos. A maioria
MALWARE NA ERA DO DESENVOLVIMENTO ÁGIL
Os autores de malware há tempos confiam no polimorfismo para evitar a detecção, mas com o tempo, esses sistemas fizeram melhorias que os tornam mais difíceis de contornar . Para quem nunca descansa, os autores de malware recorreram ao desenvolvimento ágil para combater rapidamente as táticas mais recentes dos produtos antimalware . Um ótimo exemplo disso é a versão 4 .0 do GandCrab que foi recentemente analisada pelo FortiGuard Labs .
Percebemos que quando um arquivo <8hex-chars> .lock na pasta COMMON APPDATA do sistema está presente, os arquivos não serão bloqueados . Isso geralmente ocorre depois que o malware determina que o layout do teclado está no idioma russo, juntamente com outras técnicas para determinar computadores em países com o idioma russo . Especulamos em nosso blog que adicionar esse arquivo poderia ser uma solução temporária . Com base em nossa análise, os pesquisadores do setor criaram uma ferramenta que impede que os arquivos sejam criptografados pelo ransomware . Infelizmente, o GandCrab 4 .1 .2 foi lançado um dia ou dois depois, tornando o arquivo de bloqueio inútil . Se pudéssemos nos infiltrar nos scrums deles . . .
Se houvesse algo como o prêmio “Família de malware mais difícil de trabalhar” para o 2ºT, ele teria que ir para o W32/Injector. Ele atingiu quatro dos cinco principais spots variantes de malware durante a semana que terminou em 11 de maio e conquistou a posição de liderança na escala de prevalência durante todo o trimestre. A maioria das variantes ofensivas nessa família está relacionada ao Loki e ao Fareit, uma classe de Cavalos de
das amostras que se enquadram nessa detecção são objetos auxiliares do navegador (BHOs), muitos dos quais são projetados para alterar a página inicial do navegador do usuário.
Troia que rouba informações capaz de coletar credenciais de navegadores, clientes FTP e clientes de e-mail, bem como de carteiras de bitcoin. Nossos sensores coletaram amostras desses ladrões de informações em todo o mundo, como evidenciado na Figura 9. O volume de detecção bruta foi mais alto na Índia e em Singapura, mas Israel e a Indonésia lideraram proporcionalmente.
13
TENDÊNCIAS DE MALWARE
FIGURA 9: VOLUME RELATIVO DE LADRÕES DE INFORMAÇÕES DE LOKI E FAREIT POR PAÍS.
88 m
il/84
8 m
il
54 m
il/84
0 m
il
143
mil/
5,6
mi
71 m
il/3,
2 m
i
41 m
il/2,
2 m
i
18 m
il/1
mi
19 m
il/1,
2 m
i
38 m
il/2,
4 m
i
30 m
il/2,
2 m
i
8,8
mil/
704
mil
35 m
il/3,
5 m
i
7,9
mil/
840
mil
30 m
il/3,
2 m
i
5,8
mil/
633
mil
7,2
mil/
824
mil
123
mil/
18 m
i
129
mil/
19 m
i
10 m
il/1,
6 m
i
9,9
mil/
1,7
mi
17 m
il/3
mi
0,0%
2,5%
5,0%
7,5%
10,0%
Isra
el
Indo
nési
a
Índi
a
Tur
quia
Tai
lând
ia
Vie
tnã
EA
U
Mal
ásia
Ale
man
ha
Suí
ça
Itália
Fili
pina
s
Tai
wan
Arg
entin
a
Kuw
ait
Japã
o
Sin
gapu
ra
Pol
ônia
Áus
tria
Hon
g K
ong
Ladr
ões
de in
form
açõe
s co
mo
% d
o vo
lum
e do
paí
s
Enquanto estivermos no tópico de Loki e Fareit, seguiremos em frente e abordaremos outra família proeminente na Figura 8, o MSOffice/CVE_2017_11882. A variante .B!exploit é a mais difundida e vem servindo como um downloader do Loki há mais de um ano. Observamos a variante .A!exploit que ainda é bastante comum, distribuindo uma variante recente do Remcos RAT (versão “2.0.4 Pro”). Como a maioria dos RATs, ela é capaz de controlar o PC da vítima após a infecção.
Se você verificar o canto superior direito da Figura 8, uma palavra se destaca — “Agent”. O W32/Agent, o VBA/Agent e o JS/Agent apresentam destaque entre as principais famílias de malware. Outro primo, PowerShell/Agent, não é rotulado, mas fez parte da nossa lista de “grandes movimentadores” para o trimestre. O ELF/Agent também não é exibido, mas abrange amostras associadas à botnet VPNFilter (consulte a cobertura na seção Tendências do Botnet). As famílias de “Agents” são detecções genéricas em nossos dispositivos FortiGuard, abrangendo uma ampla variedade de ameaças, mas um tema abrangente surgiu entre as principais amostras de X/Agent observadas no 2ºT — PowerShell.
PowerShell é uma espécie de “O médico e o mostro” de ferramentas administrativas. Durante o dia, é um shell legítimo de linha de comando e linguagem de script usada popularmente por whitehats em todos os lugares para automatizar a administração de sistemas operacionais, processos e aplicativos. À noite, no entanto, muitas vezes é exercido por aqueles que procuram corromper seu poder para fins menos honrosos. É muito comum que macros malignas chamem o PowerShell para fazer download de arquivos maliciosos adicionais para o sistema. Mas isso não para por aí; o PowerShell é cada vez mais usado pelos adversários para escalar privilégios e se mover lateralmente dentro das redes. A Campanha do Thrip ATP — pela qual recebemos informações atualizadas por meio de nossa parceria com a Cyber Threat Alliance — oferece um excelente exemplo para aqueles que querem ver o lado mais sombrio do PowerShell em ação.
Falando de Thrip, o ator da ameaça oferece uma boa volta para algumas das variantes não relacionadas ao PowerShell na família de Agent estendida. Várias amostras do W32/Agent são vinculadas ao Thrip, assim como ao Sofacy (também conhecido como APT28, Fancy Bear), Hacking Team (também conhecido como Grey Heron) e Hidden Cobra (também conhecido como Lazarus Group). O grupo APT do MuddyWater faz uso pesado de documentos do MS Word contendo macros maliciosas e VBScripts, vários dos quais são atualmente detectados como variantes do VBA/Agent. Como dissemos, o Agent é uma família bastante diversa. A maioria deles são ameaças de baixo nível, mas isso é esperado para ataques direcionados.
14
MINIFOCO: UM RELANCE DO GANDCRAB
MINIFOCO: UM RELANCE DO GANDCRAB
Muitas amostras detectadas sob a família de malware W32/Kryptik na Figura 8 estão relacionadas ao ransomware GandCrab. Nos últimos
meses, ele subiu nas classificações de ransomware para se tornar uma das ameaças mais impactantes — se não a maior — de seu tipo.
As principais razões para seu sucesso remetem aos seus métodos inovadores de desenvolvimento, coleta e distribuição.
FIGURA 10: DISTRIBUIÇÃO GLOBAL DO GANDCRAB.
Países com infecções de GandCrab
Os atores por trás do GandCrab são o primeiro grupo a aceitar a criptomoeda do Dash. Parece também que eles usam a abordagem de desenvolvimento Ágil para vencer os concorrentes no mercado e lidar com problemas e bugs quando eles surgem. Outro aspecto exclusivo do GandCrab é o modelo Ransomware como Serviço (RaaS), baseado em um modelo de participação nos lucros (60/40) entre os desenvolvedores e os criminosos que desejam utilizar seus serviços. E, por fim, o GandCrab usa o .BIT, um domínio de nível superior não reconhecido pela ICANN, que é atendido pela infraestrutura de criptomoedas do Namecoin e usa vários servidores de nomes para ajudar a resolver o DNS e redirecionar o tráfego para ele.
As versões do GandCrab 2.x foram mais prevalentes durante o 2ºT, mas no final do trimestre, a v3 estava em estado natural e a série v4 viria em seguida no início de julho. Esta é com certeza uma ameaça que estamos rastreando ativamente, e você pode acompanhar o que estamos aprendendo sobre o GandCrab em nosso blog.
TENDÊNCIAS DE BOTNETS
16
TENDÊNCIAS DE BOTNETS
Enquanto as explorações e tendências de malware geralmente mostram o cenário antes dos prejuízos causados pelos ataques, os botnets fornecem uma visão dos danos posteriores. Após a infecção, os sistemas frequentemente se comunicam com hosts remotos maliciosos, e esse tipo de tráfego em um ambiente corporativo indica que há algo errado. Esse conjunto de dados se torna útil sob a perspectiva de que devemos “aprender com nossos próprios erros”.
A atividade de botnets para o 2ºT é representada na Figura 11 de acordo com a prevalência geral e volume. O quadrante dos
FIGURA 11: PRINCIPAIS BOTNETS PARA O 2ºT DE 2018.
TENDÊNCIAS DE BOTNETS
ESTATÍSTICAS RÁPIDAS:
§ 265 detecções de botnets únicos
§ 7,6 dias de infecção por empresa
§ 1,8 botnets ativos por empresa
§ 10% dos botnets atingem mais de 1,1% das empresas
§ 57% das infecções por botnets duram 1 dia
§ 5% das infecções por botnets duram mais de 1 semana
líderes no canto superior direito mostra o mesmo elenco de personagens dos trimestres anteriores. Isso não é muito surpreendente, já que o número de botnets ativos observados (265) é muito menor do que, por exemplo, as variações de malware neste trimestre (23.945). Boas botnets são feitas sob medida para durar.
AAEH
Adwind
Adylkuzz
Android
Andromeda
BadRabbit
Bankbot
Banload Bedep
Bladabindi
BunituChanitor
Cidox
Citadel
CKMP
Conficker
Crossrider
CryptoWall
DarkComet
Dorkbot
Dridex
Expiro
Fareit
FinFisher
Ganiw
Gh0stGozi
H-worm
Hajime
Hangover
IMDDOS
ISR
Jeefo
Jenxcus
Kelihos
Lethic
Locky
Loki
Mariposa
Mazben
Mikey
Mirai
NanoCore
Necurs
NetSyst81
Neurevt
Neutrino
Nitol
Nivdort
njRAT
NSIS
Nymaim
Orbit
PhotoMinerPoSeidon
Pushdo
Quant
Ramnit
Sality
Sinowal
Smominru
Suivante
Tepfer
Teslacrypt
Tinba
Torpig
TorrentLocker
Virut
Vortex
XcodeGhost
XorDDOS
Xtreme
Yoddos
ZeroAccess
Zeus
100
1 mil
10 mil
100 mil
1 mi
10 mi
100 mi
1 em10 mil
1 em1 mil
1 em100
1 em10
Prevalência
Vol
ume
O Smominru é uma adição notável à extremidade superior do eixo de volume na Figura 11. Ele chamou nossa atenção de novo em fevereiro, quando estava sendo espalhado pela infame exploração EternalBlue (CVE-2017-0144). O Smominru é um malware/
botnet de mineração da Monero que tem como alvo a plataforma Windows. Ele entra em contato com os servidores C&C por meio de solicitações HTTP e permite que invasores remotos emitam comandos para fazer download e instalar arquivos adicionais.
17
TENDÊNCIAS DE BOTNETS
NOTÍCIA ANTIGA, MAS AINDA ATUAL
Essas botnets são equipamentos permanentes no topo da nossa lista a cada trimestre . Em vez de elogiá-las todas as vezes com novos comentários, levaremos esse resumo adiante e informaremos se esses cães velhos aprenderem novos truques .
1. Gh0st: uma botnet de acesso remoto que permite que um atacante assuma o controle total do sistema infectado, registre as teclas digitadas, forneça feeds de webcam e microfone ao vivo, faça o download e upload de arquivos e outras atividades nefastas .
2. Pushdo: esta botnet viu uma ação pesada no início de sua carreira apoiando campanhas de spam executadas pela organização criminosa Cutwail, mas uma atividade mais recente geralmente envolve ataques DDoS contra sites da web criptografados por SSL .
3. Andromeda: uma botnet modular que instala os componentes conforme necessário nas máquinas Windows, injeta-se em processos confiáveis e fica inativa até que a conexão com um servidor remoto seja necessária . Foi o foco de uma grande manobra de aplicação da lei no final de 2017, mas muitos hosts ainda estão infectados .
4. Necurs: uma variedade de tipos de botnets, tendo construído seu nome como um grande distribuidor de ransomware, Cavalos de Troia bancários e campanhas de spam e fraudes financeiras .
5. ZeroAccess: uma botnet associada ao malware de espalhamento P2P do mesmo nome, dá ao seu mestre controle sobre os sistemas afetados e suporta operações de mineração de criptomoedas e fraude de cliques .
6. Conficker: botnet associada a um worm de disseminação em massa que literalmente tomou a Internet em 2008 . Uma vez infectado, o Conficker coleta informações de hosts, sites da web de ataques, envia spam, etc .
7. Sality: vista pela primeira vez em 2003, esta é uma das botnets ativas mais antigas . É uma botnet P2P usada para fazer download e instalar malware que executará uma ampla gama de ações maliciosas secundárias .
No outro extremo do eixo de volume, o BankBot não atrairia muita atenção com base em sua posição geral por si só. Mas um novo membro da família BankBot — o Anubis — estava em movimento no segundo trimestre. Como o nome sugere, o BankBot é uma família de Cavalos de Troia bancários visando dispositivos Android que surgiram no segundo semestre de 2016. O principal objetivo desse malware é roubar credenciais do dispositivo da vítima. Essa nova variante do Anubis introduz várias inovações para a família, pois é capaz de executar ransomware, keylogger, funções RAT, interceptação de SMS, tela de bloqueio e encaminhamento de chamadas. Na campanha recente, identificamos novos hosts C&C unindo-se à botnet contendo nomes suspeitos, como locker, keylogger e ratgate.
Outra botnet que merece ser mencionada é o Loki. Assim como o BankBot, ele é facilmente perdido no aglomerado (está perto da interseção da faixa de prevalência de 1/100 e 100 mil linhas de grade de volume na Figura 11). Essa botnet de roubo de informações ligada ao malware de mesmo nome estava entre
os principais ganhadores no 2ºT e cruzou 1% na escala de prevalência. Esse feito pode não parecer notável por si só, mas na verdade é relativamente incomum entre as botnets. A relação do Loki com o aumento dos ladrões de informações que discutimos na seção Tendências de Malware o torna ainda mais notável.
A botnet Mirai não se enquadra no limite da Figura 11, mas, sem dúvida, merece menção por seu comportamento nervoso no 2ºT. Desde o lançamento do código-fonte há dois anos, as variantes da Mirai pousam em nosso radar com crescente regularidade. Algumas delas fizeram modificações significativas, como a adição da capacidade de transformar dispositivos infectados em enxames de proxies de malware e criptomineradores. Outras integraram o código da Mirai com várias explorações que visam vulnerabilidades conhecidas e desconhecidas. Uma nova variante descoberta pelo FortiGuard Labs, que apelidamos de WICKED, adiciona pelo menos três explorações ao seu arsenal para direcionar dispositivos IoT não corrigidos. Você pode ler mais sobre a WICKED em nosso blog.
18
TENDÊNCIAS DE BOTNETS
FIGURA 12: BOTNETS COM MAIOR VARIAÇÃO DA PREVALÊNCIA ENTRE REGIÕES.
África Ásia EuropaAmérica Latina
Oriente MédioAmérica do Norte
Oceania Geral
NanoCore
Nitol
PhotoMiner
Neutrino
Fareit
Loki
Jeefo
NSIS
Nymaim
Dorkbot
Mazben
Lethic
Ramnit
H-worm
Andromeda
1,33% 1,81% 0,46% 0,25% 1,35% 0,51% 0,59% 0,84%
0,61% 2,31% 0,36% 0,50% 0,85% 0,48% 0,34% 0,90%
5,05% 1,96% 0,19% 0,11% 0,21% 0,60% 1,36% 0,93%
1,70% 1,28% 0,32% 2,05% 1,07% 0,73% 0,25% 0,90%
1,70% 1,49% 0,88% 0,93% 2,68% 0,37% 0,34% 0,95%
1,70% 1,59% 1,16% 0,65% 2,20% 0,50% 0,34% 1,01%
1,66% 2,11% 0,35% 1,29% 1,99% 0,72% 0,59% 1,11%
2,47% 1,85% 1,16% 3,45% 1,16% 0,48% 0,59% 1,27%
0,81% 4,39% 0,93% 0,38% 0,50% 0,91% 3,06% 1,66%
3,19% 4,11% 0,52% 1,92% 2,18% 1,05% 1,78% 1,87%
3,28% 3,67% 0,65% 2,19% 2,89% 1,50% 0,68% 1,97%
4,69% 4,49% 0,62% 3,27% 3,53% 1,64% 1,95% 2,42%
10,07% 9,83% 1,50% 3,79% 8,53% 3,24% 2,97% 4,95%
13,8% 7,4% 2,0% 15,1% 8,4% 4,6% 3,1% 5,9%
26,5% 24,3% 3,3% 20,3% 24,1% 10,8% 7,5% 14,2%
Uma botnet final que deve ser destacada antes de prosseguirmos é o VPNFilter, outra ameaça que merece uma dica para nossa parceria na Cyber Threat Alliance. Este é um ataque avançado patrocinado pelo estado-nação que tem como alvo os ambientes SCADA/ICS, monitorando os protocolos Modbus SCADA. O que torna este VPNFilter particularmente perigoso é que ele não apenas executa a exfiltração de dados, mas também pode tornar os dispositivos completamente inoperantes, sozinho ou em grupo. A atividade da campanha foi vista primeiro na Ucrânia, mas os dados indicam que dispositivos em mais de 100 países estão sendo verificados. Mais atualizações sobre o VPNFilter estão disponíveis em nosso blog.
A Figura 12 oferece uma inclinação regional nas botnets no 2ºT. Em vez de simplesmente listar as botnets mais comuns regionalmente, como costumamos fazer, queríamos identificar quais apresentavam o maior grau de variação regional. Para encurtar a história, fizemos isso calculando e, em seguida, somando as diferenças entre os valores gerais (globais) e regionais de prevalência para cada botnet.
Observe como determinadas diferenças regionais e padrões se misturam usando esse método. A prevalência da botnet Andromeda na África, Ásia e Oriente Médio é 8 vezes maior que a da Europa. Esse fato é ainda mais interessante quando se lembra que a Andromeda foi alvo de uma operação de retirada no final de 2017, liderada por uma agência de aplicação da lei europeia. É claro que o processo de limpeza de endpoints infectados não está progredindo na mesma proporção em todos os lugares.
Além da variação entre botnets específicas, observe como a prevalência na Europa, América do Norte e Oceania geralmente (mas nem sempre) cai abaixo de outras regiões. Isso não implica que essas regiões sejam mais imunes a botnets, mas sugere que a maturidade geral das capacidades de resposta e de remediação pode diferir entre elas. Tal como acontece com a propagação de doenças pelas populações humanas em todo o mundo, existem muitos fatores inter-relacionados em jogo. E, nessa nota, vamos nos concentrar em fatos e números sobre a epidemiologia de botnets.
19
MINIFOCO: EPIDEMIOLOGIA DE BOTNETS
MINIFOCO: EPIDEMIOLOGIA DE BOTNETS
Declarações como a que fizemos anteriormente, sobre o fato de ser relativamente incomum a botnet Loki ter cruzado a linha de 1% de
prevalência, são baseadas em linhas de base que estabelecemos ao longo do tempo. De acordo com a Figura 13, por exemplo, apenas os
10% superiores de botnets se espalharam além de 1,1% das empresas em nosso conjunto de dados. A prevalência mediana entre todas
as botnets é talvez surpreendentemente baixa, de 0,03% (1 em 3,5 mil empresas).
FIGURA 13: DISTRIBUIÇÃO DA PREVALÊNCIA DE BOTNETS.
O que se faz com essa estatística? Bem, além de impressionar os amigos com sua variedade de trivialidades tecnológicas durante a
próxima noite de jogo, pontos de dados como esse são realmente úteis para desenvolver uma compreensão do cenário de ameaças.
No campo da epidemiologia, por exemplo, as estatísticas relativas à disseminação de doenças, cronogramas de infecção, taxas de
mortalidade, etc., são medidas importantes para os pesquisadores que buscam combater essas ameaças. Acreditamos que o mesmo é
verdade para as ameaças em nosso campo.
Apresentamos algumas dessas estatísticas separadamente nos Relatórios do cenário de ameaças anteriores, mas às vezes é bom reunir tudo
para revisão. Com esse objetivo em mente, apresentamos a tabela abaixo resumindo fatos interessantes sobre a epidemiologia de botnets.
10% 20% 30% 40% 50% 60% 70% 80% 90%
1 em1 mi
1 em100 mil
1 em10 mil
1 em1 mil
1 em100
1 em10
1 em1
Prevalência
Den
sida
de
Algumas estatísticas sobre epidemiologia de botnets:
50% das botnets infectam menos de 0,03% das empresas.
15% das botnets infectam pelo menos 1% das empresas.
45% das empresas relatam não mais do que 1 infecção por botnet.
4% das empresas relatam 10 ou mais infecções.
57% das infecções por botnets duram 1 dia.
5% das infecções por botnets duram mais de 1 semana.
CONCLUSÕES E RECOMENDAÇÕES
21
CONCLUSÕES E RECOMENDAÇÕES
Esperamos que esta breve excursão tenha lhe dado algumas perspectivas úteis sobre o cenário de ameaças
cibernéticas no segundo trimestre de 2018 . Caso tenha dúvidas sobre qualquer assunto abordado neste relatório,
nossos especialistas estão prontos e dispostos a entrar em campo . Abaixo, você encontrará uma recapitulação dos
resultados junto com algumas recomendações que devem ajudar a tornar as informações que compartilhamos nessas
páginas mais práticas . Obrigado por dedicar seu valioso tempo conosco novamente .
01Uma assinatura do FortiGuard detecta as ameaças discutidas neste relatório. Isso pode parecer papo de vendedor ou um pouco egoísta, mas seríamos negligentes se não mencionássemos isso para nossos clientes . Consideramos que é nosso dever explicar tudo o que aprendemos por meio de nossa pesquisa sobre ameaças e vulnerabilidades nos produtos e serviços que oferecemos, e queremos que os clientes tenham essa tranquilidade .
02Quanto mais olhos você tiver observando as ameaças, mais livre delas você estará. É por isso que nós cofundamos a Cyber Threat Alliance, e o fruto dessa parceria aparece neste relatório . Os fornecedores de segurança compartilhando informações sobre ameaças entre si para tornar nossos respectivos clientes mais seguros constitui uma vitória para todos os envolvidos . Desconfie de provedores de inteligência que afirmam que sabem tudo isoladamente — eles não sabem . Ninguém sabe .
03Se precisar de mais informações — ou quiser de uma forma mais rápida — assine nosso Resumo de ameaças semanal. Se isso ainda não for suficiente, considere nosso Threat Intelligence Service, que fornece atualizações diárias sobre ameaças importantes e de tendência .
04Cryptojacking em dispositivos IoT é uma tendência crescente. Verifique se as redes domésticas dos funcionários estão segmentadas de máquinas que se conectam à rede corporativa por meio de VPNs . No mínimo, garantir a conscientização sobre como fazer isso corretamente faz parte do seu programa de treinamento em segurança .
CONCLUSÕES E RECOMENDAÇÕES
22
06O preço das criptomoedas se correlaciona moderadamente com o cryptojacking. “Siga o dinheiro” é uma estratégia testada e comprovada para entender e descobrir esquemas criminosos . Não deveria ser uma surpresa que estamos vendo uma relação entre o aumento de malware de cryptojacking e o aumento das criptomoedas . Assim, vale a pena acompanhar esse e outros fatores de mercado externos que podem indicar tendências internas .
07O PowerShell é uma ferramenta para o bem, mas pode ser usado para o mal. Por isso, as organizações devem garantir o rastreamento do uso do PowerShell — e de outras ferramentas administrativas — para distinguir o uso legítimo do malicioso . Empresas maiores podem recorrer a ferramentas de Análise Comportamental de Entidade e Usuário (UEBA) para ajudar a criar uma linha de base para a detecção de anomalias .
08Ataques contra dispositivos SCADA não são os mais comuns, mas podem ser os mais críticos. Se a sua organização usa o SCADA ou outro ICS, o primeiro passo é avaliar totalmente os riscos comerciais e operacionais associados a essas tecnologias e definir uma estratégia informada pelo risco . Isso deve incluir a definição de zonas, conduítes, limites e níveis de segurança, que serão inestimáveis para limitar as comunicações entre os ambientes de TO e não relacionados à TO . Dicas sobre como proteger as redes de TO contra ataques crescentes podem ser encontradas nesta publicação do blog .
CONCLUSÕES E RECOMENDAÇÕES
05As vulnerabilidades mais divulgadas nunca são exploradas. Mas isso não significa que você deve ignorá-las . Muito pelo contrário, sabemos que muitas violações exploram vulnerabilidades conhecidas, tornando ainda mais importante aproveitar relatórios como este para ajudar a priorizar quais garantem a remediação agora e quais podem ser adiadas com segurança .
23
FONTES E MÉTRICAS
As constatações apresentadas neste relatório representam a inteligência coletiva do FortiGuard Labs, extraída da grande variedade de dispositivos de rede/sensores da Fortinet coletando bilhões de eventos e incidentes envolvendo ameaças, observados em ambientes de produção em tempo real em todo o mundo. De acordo com pesquisas independentes6, a Fortinet tem a maior presença de dispositivos de segurança e, assim, ostentamos a maior amostragem de dados sobre ameaças do setor. Todos os
Explorações As explorações de aplicativos descritas neste relatório foram coletadas principalmente através de Sistemas de prevenção de intrusão (IPS) de rede. Esse conjunto de dados oferece uma perspectiva das atividades de reconhecimento dos invasores para identificar sistemas vulneráveis e as tentativas de explorar essas vulnerabilidades.
Malware As amostras das ameaças de malware descritas neste relatório foram coletadas por meio de dispositivos de perímetro, sandboxes ou endpoints. Em grande parte, esse conjunto de dados representa as fases de municiamento ou entrega do ataque, em oposição à instalação bem-sucedida nos sistemas-alvo.
Botnets As atividades de botnets descritas neste relatório foram coletadas por meio de dispositivos de rede. Esse conjunto de dados representa o tráfego de comando e controle (C2) entre sistemas internos comprometidos e hosts externos maliciosos.
VOLUMEMedida de frequência ou proporção geral. O número total ou a porcentagem de observações de um evento de ameaça.
PREVALÊNCIAMedida de propagação ou disseminação entre grupos. O percentual de organizações relatoras7 que observaram o evento de ameaça pelo menos uma vez.
INTENSIDADEMedida do volume ou frequência diária. O número mediano de observações de um evento de ameaça por empresa, por dia.
FONTES E MÉTRICAS
dados são anônimos e não contêm informações identificáveis sobre nenhuma entidade representada na amostra.
Como seria de se imaginar, essa inteligência oferece perspectivas excelentes sobre o cenário de ameaças cibernéticas, sob vários pontos de vista. Este relatório tem como foco três aspectos centrais e complementares desse quadro, especificamente, a exploração de aplicativos, os componentes de software maliciosos (malware) e as botnets.
Além desses diferentes aspectos do cenário de ameaças, nós utilizamos três métricas para descrever e interpretar o que os dados nos dizem. Você verá os termos volume, prevalência e intensidade sendo usados ao longo deste relatório regularmente, e a utilização desses termos sempre estará em conformidade com as definições fornecidas aqui.
Os números apresentados neste relatório incluem uma grande quantidade de ameaças. Nós descrevemos brevemente algumas delas, mas, sem dúvidas, você vai querer obter mais informações. Se precisar, consulte a Enciclopédia do FortiGuard Labs durante sua leitura.
6 Fonte: IDC Worldwide Security Appliances Tracker, abril de 2017 (com base em remessas de unidades anuais)
7 Podemos medir apenas a prevalência entre as organizações que relatam as ameaças. Assim, uma prevalência de 50% de uma determinada botnet não significa que metade de todas as empresas do mundo tenha sido afetada; significa que metade das empresas que relataram detecções de botnets observou a referida botnet. Esse denominador normalmente representa dezenas de milhares de empresas.
Copyright © 2018 Fortinet, Inc. Todos os direitos reservados. O Fortinet®, FortiGate®, FortiCare®, FortiGuard® e algumas outras marcas são marcas registradas da Fortinet, Inc., e outros nomes da Fortinet neste documento também podem ser marcas registradas e/ou de direito comum da Fortinet. Todos os outros nomes de produtos ou de empresas podem ser marcas comerciais de seus respectivos proprietários. O desempenho e outras métricas aqui contidas foram obtidos em testes laboratoriais internos sob condições ideais; o desempenho real e outros resultados podem variar. Variáveis de rede, ambientes de rede diferentes e outras condições podem afetar os resultados de desempenho. Nada neste documento representa qualquer compromisso vinculativo da Fortinet e a Fortinet renuncia a todas as garantias, expressas ou implícitas, exceto na medida em que a Fortinet celebre um contrato de vinculação por escrito, assinado pelo conselho geral da Fortinet, com um comprador que garante expressamente que o produto identificado operará de acordo com determinadas métricas de desempenho expressamente identificadas e, nesse caso, apenas as métricas de desempenho específicas identificadas expressamente em tal contrato de vinculação por escrito serão vinculativas à Fortinet. Para absoluta clareza, qualquer garantia será limitada ao desempenho nas mesmas condições ideais dos testes laboratoriais internos da Fortinet. A Fortinet renuncia por completo a quaisquer convênios, representações e garantias nos termos do presente, expressas ou implícitas. A Fortinet reserva-se o direito de alterar, modificar, transferir ou revisar esta publicação sem aviso prévio, e a versão mais atual da publicação será aplicável. A Fortinet renuncia por completo a quaisquer convênios, representações e garantias nos termos do presente, expressas ou implícitas. A Fortinet reserva-se o direito de alterar, modificar, transferir ou revisar esta publicação sem aviso prévio e a versão mais atual da publicação será aplicável.
SEDE MUNDIALFortinet Inc.899 Kifer RoadSunnyvale, CA 94086Estados UnidosTel.: +1 408 235 7700www.fortinet.com/sales
ESCRITÓRIO DE VENDAS DE EMEA905 rue Albert Einstein06560 ValbonneFrançaTel.: +33 4 8987 0500
ESCRITÓRIO DE VENDAS APAC300 Beach Road 20-01The ConcourseSingapura 199555Tel.: +65 6513 3730
SEDE da AMÉRICA LATINASawgrass Lakes Center13450 W. Sunrise Blvd., Suite 430Sunrise, FL 33323Tel.: +1 954 368 9990
2 de agosto de 2018258263-0-A-PT-BR