RELATÓRIO DO CENÁRIO DE AMEAÇAS2ºT 2018

2

ÍNDICE

Introdução e principais constatações . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Tendências de infraestrutura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Tendências de explorações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Minifoco: as vulnerabilidades ficam desnorteadas . . . . . . . . . . . . . . . 9

Tendências de malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Minifoco: um relance do GandCrab . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Tendências de botnets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Minifoco: epidemiologia de botnets . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Conclusões e recomendações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Fontes e métricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

ÍNDICE

3

DESTAQUES E PRINCIPAIS CONSTATAÇÕES DO 2ºT DE 2018

2ºT DE 2018 — INTRODUÇÃO E PRINCIPAIS CONSTATAÇÕES

Destaques Das manchetes:

AgênciAs do Reino Unido e dos eUA emitiRAm Um AleRtA conjUnto sobRe AtAqUes

cibeRnéticos pAtRocinAdos pelA RússiA envolvendo milhões de dispositivos.

todos os seRviços goveRnAmentAis dA ilhA de sAint mARtin , oRAm desAtivAdos poR UmA

semAnA, poR Um AtAqUe cibeRnético.

os detAlhes sURgiRAm em toRno de UmA cAmpAnhA diRecionAdA UsAndo o mAlwARe vpnFilteR

AFetAndo UmA gAmA de dispositivos de it e ot.

UmA FAlhA Foi descobeRtA no site dA web dA Rede de RestAURAntes pAneRA bReAd, qUe pode

AFetAR 37 milhões de clientes.

vARiAntes 3A e 4 do meltdown And spectRe FoRAm descobeRtAs, pRolongAndo A eRUpção de

vUlneRAbilidAdes do cAnAl lAteRAl.

Um AtAqUe de wipeR Ao bAnco de chile Foi UsAdo como UmA coRtinA de FUmAçA pARA Um

AssAlto RelÂmpAgo de Us$ 10 milhões.

em UmA vitóRiA pARA os mocinhos, A opeRAção wiRewiRe levoU à pRisão 74 cRiminosos

envolvidos com esqUemAs de compRometimento de e-mAil coRpoRAtivo globAl.

Chegou aquela hora de novo — nossa jornada trimestral pelo estado natural do cenário

de ameaças cibernéticas. Estamos felizes em ser seus anfitriões nesta aventura, e será

um prazer tê-lo conosco neste percurso.

Como os destaques à direita sugerem, muita coisa aconteceu desde o nosso último

passeio. Nenhuma violação, evento ou tema sequer dominou a tendência cibernética

no 2ºT de 2018. Ele apresentava uma dose saudável de intrigas internacionais, grandes

interrupções, infecções globais, malware inovador, roubos inteligentes e muito mais.

Parece devastador? Não se desespere, estamos aqui para ajudar. Começamos a

jornada com uma visão rápida das tendências de uso de aplicativos em todos os

setores. Nesse ponto, deparamo-nos com inúmeras vulnerabilidades e explorações que

afetam os aplicativos que usamos todos os dias. O malware é a próxima parada em

nosso tour, onde veremos uma série de recursos de agentes de ameaças em exibição,

desde crimeware comoditizado até kits de espionagem desenvolvidos sob medida. Em

seguida, voltamos nossa atenção para as botnets, que, literalmente, conectam todos os

elementos acima juntos em uma vasta rede de controle malicioso. Nossa parada final

será algumas recomendações de nossos especialistas sobre as ações que você pode

adotar à luz de tudo que vimos e aprendemos neste trimestre.

Compartilhe seus pensamentos conosco e com outras pessoas ao longo do caminho

usando #FortiResearch no Twitter/LinkedIn/Facebook.

2ºT DE 2018 EM NÚMEROS:

Explorações

§ 7.230 detecções únicas

§ 811 detecções por empresa

§ 96% observaram explorações graves

§ 30 dias zero encontrados pelo FortiGuard Labs

§ 5,7% das CVEs exploradas em estado natural

Malware

§ 23.945 variantes únicas

§ 4.856 famílias diferentes

§ 13 detecções diárias únicas por empresa

§ 6 variantes se espalham por 10% ou mais das empresas

§ 23,3% observaram malware de cryptojacking

Botnets

§ 265 detecções de botnets únicos

§ 7,6 dias de infecção por empresa

§ 1,8 botnets ativos por empresa

§ 10% dos botnets atingem mais de 1,1% das empresas

§ 5% das infecções por botnets duram mais de 1 semana

Tendências de longo prazo que estamos acompanhando:

§ Dinâmica econômica que impulsiona o desenvolvimento de ransomware, cryptojacking e outros crimewares

§ Evolução do desenvolvimento rápido de malware por meio de reutilização de código, abordagens ágeis e outros métodos

§ Aumento contínuo de ameaças destrutivas e o impacto variável no risco e na resiliência do negócio

§ Evolução de ataques direcionados à infraestrutura fundamental e dispositivos IoT

TENDÊNCIAS DE INFRAESTRUTURA

5

TENDÊNCIAS DE INFRAESTRUTURA

Este é o “Relatório do cenário de ameaças”, mas é bom lembrar que o que está acontecendo em todo o ambiente externo de ameaças é muito mais um reflexo do que está acontecendo dentro de nossos próprios ambientes internos. Por isso, periodicamente, incluímos uma visão das tendências de infraestrutura antes de trabalhar em atualizações centradas na ameaça.

FIGURA 1: ESTATÍSTICAS DE USO DE APLICAÇÕES PARA OS PRINCIPAIS SETORES. OS NÚMEROS REPRESENTAM OS VALORES MEDIANOS.

TENDÊNCIAS DE INFRAESTRUTURA

FIGURA 2: VARIAÇÃO EM CONTAGEM DE APLICAÇÕES POR SETORES.

Sites maliciosos diariamente

Aplicativos de jogos

Aplicativos de streaming

Aplicativos de redes sociais

Aplicativos P2P

Aplicativos de proxy

Aplicativos de RAS

Aplicativos de IaaS

Aplicativos de SaaS

Total de aplicativos diariamente

Proporção de HTTPS

Construçã

o

Educaçã

o

Serviço

s fina

nceir

os

Governo

Cuidados médico

s

Fabricaçã

o

Varejo/

hosp

italida

de

Serviço

s

Tecnologia

Transporte

62,2% 65,7% 69% 64,3% 67,3% 65,7% 69,4% 63,4% 66,1% 62,6%

182 352 194 255 190 199 181 174 159 196

26 51 32 70 42 44 26 35 19 31

21 29 25 38 31 33 24 21 15 21

4 5 4 6 5 4 4 3 3 4

4 11 3 6 4 5 4 3 2 4

<1 4 <1 2 1 1 1 1 <1 1

14 26 14 18 14 15 14 14 11 14

12 33 12 20 14 15 10 12 9 14

2 12 2 4 1 2 2 2 1 2

<1 2 1 2 1 <1 1 <1 <1 1

Tecnologia

Serviços

Varejo/hospitalidade

Construção

Cuidados médicos

Serviços financeiros

Transporte

Fabricação

Governo

Educação

Total de aplicativos detectados0 100 200 300 400 500 600

Nesta edição, optamos por apresentar estatísticas de uso para vários tipos de aplicações divididos por setor. A Figura 1 compara o valor mediano (número de aplicativos na maioria dos casos) para cada item, mas deve-se notar que existe uma grande variação entre as organizações do mesmo setor. A Figura 2 ilustra bem isso; a contagem mediana de aplicativos (linha do meio no gráfico-caixa) difere, mas as distribuições globais para empresas dentro dos setores se sobrepõem consideravelmente. Algumas organizações de tecnologia (a menor mediana) usam mais aplicativos do que algumas no setor de educação (a maior mediana).

Não podemos determinar definitivamente a partir dos dados o motivo pelo qual existem diferenças nas Figuras 1 e 2, mas suspeitamos, por exemplo, que alunos, laboratórios, tecnologia instrucional e políticas de uso menos rigorosas têm grande relação com a maior contagem em geral para instituições educacionais. As empresas de tecnologia e construção executam ambientes de aplicações relativamente esparsos, o que, sem dúvida, tem muito a ver com os modelos de negócios e o tamanho da empresa.

O número de observações e possíveis explicações das Figuras 1 e 2 são quase ilimitadas, por isso, vamos simplesmente oferecê-las para consideração como achar melhor. Mas se você quiser trocar teorias, não há dúvida de que seu representante atencioso da Fortinet estará à sua disposição.

TENDÊNCIAS DE EXPLORAÇÕES

7

As tendências de exploração revelam o que os adversários fazem para identificar e comprometer os sistemas vulneráveis. O disparo de uma das muitas ameaças detectadas neste trimestre não significa que o ataque foi bem-sucedido ou que as vulnerabilidades existiam no ambiente. Como a atividade de exploração tende a ser bastante ruidosa, concentramos a análise em detecções críticas e de alta gravidade para esta seção.

Existem muitas maneiras diferentes de estudar as explorações em nosso conjunto de dados. Muitas vezes, mostramos as principais assinaturas, que têm o benefício da especificidade, mas o desafio da legibilidade. Afinal, nem todo mundo fala a língua nativa dos

FIGURA 3: TECNOLOGIAS SUPERIORES DIRECIONADAS POR EXPLORAÇÕES.

TENDÊNCIAS DE EXPLORAÇÕES

ESTATÍSTICAS RÁPIDAS:

§ 7.230 detecções únicas

§ 811 detecções por empresa

§ 96% observaram explorações graves

§ Microsoft é alvo de exploração nº 1

§ Schneider Electric é o alvo nº 1 do ICS

§ 30 dias zero encontrados pelo FortiGuard Labs

TENDÊNCIAS DE EXPLORAÇÕES

nossos sensores dos Sistemas de prevenção de intrusão (IPS) do FortiGuard. Como um compromisso, às vezes, mostramos diferentes categorizações ou abstrações de explorações. A Figura 3 fornece dois exemplos com base no prefixo da assinatura, que corresponde à tecnologia ou serviço visado. A coluna da esquerda, lista as tecnologias exploradas de forma mais ampla no geral, enquanto a da direita filtra isso exclusivamente nos sistemas de controle industrial (ICS).

Obfuscated.RichJava.DebugMS.OfficeApache.TomcatJoomla.CorePHP.MaliciousDrupal.CoreRed.HatNetwork.WeathermapApache.CommonsD-Link.DSL2750-BOpenSSL.HeartbleedPHP.CGIHTTP.URIMS.WindowsLinksys.RoutersMS.IISOracle.WebLogicApache.StrutsMS.IE

50 1 em1 em

21 em

2

Dois prefixos

AzeoTechGEIntelliComKingviewMeasuresoftMitsubishiUnitronics3S-SmartTrihedralWellinTechVIPAMicrosysQNXProgeaTeeChart-7TechnologiesInduSoftSearchBloxSiemensAdvantechSchneider

1 em10 mil

1 em1 mil

Prefixos SCADA

A primeira coluna da Figura 3 é como uma placa “Mais desejada da internet” de notórias explorações. Não há novos desenvolvimentos dignos de notas relacionados ao Apache Struts (da fama do Equifax) e ao Heartbleed — e eles são abordados extensivamente em relatórios anteriores — então vamos pular o comentário sobre eles por enquanto. A presença deles nesta lista é um lembrete suficiente de que os criminosos ainda estão ativamente buscando uma captura imprudente.

A exploração da Oracle está relacionada ao CVE-2017-3506, uma falha no componente Oracle WebLogic Server do Oracle Fusion Middleware. Ela permite que um invasor não autenticado com acesso à rede via HTTP comprometa o servidor, resultando em acesso não autorizado ou modificação de dados críticos.

Observamos que isso está sendo aproveitado para executar malware de cryptojacking nos últimos tempos.

A plataforma de gerenciamento de conteúdo, Drupal, subiu na lista no último trimestre devido à vulnerabilidade denominada “Drupalgeddon 2”. Ela permite a execução remota de código em sistemas vulneráveis devido à validação de entrada insuficiente ao analisar uma solicitação HTTP criada. Uma vez, desenvolvido o código de exploração, a popularidade do Drupal e a facilidade de exploração combinaram-se para torná-lo irresistível para os invasores. Como resultado, registramos um aumento de mil vezes nas detecções durante um período de 24 horas no início de maio. Muitos desses ataques visaram dispositivos da Internet das Coisas (IoT) e serviram de base para várias operações de mineração com criptomoeda.

8

TENDÊNCIAS DE EXPLORAÇÕES

ESPERE — VOCÊ DISSE CRYPTOJACKING COM DISPOSITIVOS IoT?

Sim . Agora, isso é uma “coisa” . Os criminosos aparentemente não estão satisfeitos com o fornecimento de servidores e PCs vulneráveis para minerar sua criptomoeda favorita, e assim se voltaram para outra fonte rica de potência computacional — os dispositivos IoT .

Os dispositivos de mídia são commodities especialmente interessantes devido ao uso de poderosas GPUs para decodificar e transcodificar conteúdo em formatos de alta resolução . Os invasores aproveitam isso ao carregar malwares que podem ser minerados continuamente pelo fato dos dispositivos permanecem ligados e conectados . Para piorar, a interface de muitos desses dispositivos funciona como um navegador da Web modificado, com todas as vulnerabilidades que o acompanham . Já pegamos vários desses em nossos honeypots e esperamos que isso se torne uma tendência no futuro próximo .

A inclusão de explorações direcionadas à Linksys e à D-Link aponta para o “link” em andamento entre a atividade maliciosa e os dispositivos IoT. Esta não é mais uma notícia de hoje, mas também não é uma notícia falsa. Os criminosos não abandonaram seus planos de acumular exércitos de coisas comprometidas em todo o mundo para diversos esquemas ilícitos. O FortiGuard Labs está fazendo sua parte para revidar, com uma das explorações passando à frente da D-Link na lista, sendo uma vulnerabilidade de estouros de buffer não autenticada encontrada por nossos pesquisadores em 2017. O patch foi lançado em março deste ano, pouco antes da exploração entrar em nossas cinco principais detecções em abril.

Olhando para o lado direito da Figura 3, encontramos um registro dos fabricantes SCADA mais atacados. Antes de examinar os nomes da lista, observe a escala na parte inferior. Os valores de prevalência são muito, muito inferiores aos das explorações gerais. No entanto, esses valores simplesmente refletem o fato de que muito menos organizações executam sistemas SCADA em seu

ambiente do que, por exemplo, servidores Web Apache. Aqueles que entendem esses pequenos números fazem grande diferença.

Voltando à lista em si, a Schneider Electric fica no topo com uma vantagem confortável. A tentativa de exploração mais predominante no trimestre envolveu acesso de backdoor no Módulo Ethernet Quantum da Schneider devido a uma conta padrão de fábrica com uma senha embutida no código. Os invasores remotos podem obter acesso ao dispositivo com essa conta por meio do acesso FTP.

As tentativas de explorar uma vulnerabilidade de estouros de buffer no Gerenciador de Licenças de Automação da Siemens estão na sequência na lista, que foi seguida de perto por outra condição de estouro no WebAccess da Advantech. Ambos resultam da limpeza inadequada de entradas e permitem a execução de código arbitrário. Definitivamente, não é algo que você queira que aconteça em seu ambiente de tecnologia operacional.

Durante o 2ºT de 2018, nossos pesquisadores divulgaram 30 vulnerabilidades que afetam uma série de produtos. Os fornecedores desses produtos estão listados abaixo, juntamente com uma contagem de vulnerabilidades encontradas e um link para as vulnerabilidades que descobrimos para cada fornecedor.

Fornecedor Vulnerabi-lidades Fornecedor Vulnerabi-

lidades

Adobe 2 Joomla 1

Caixa 1 Microsoft 5

Cisco 3 Naver 2

CrashPlan 1 Recon Instruments 1

D-Link 2 Shenzhen Lingan Intelligent Technology 1

FooLabs 2 Smarter 1

Foxit Software 1 Telesquare 1

Free Software Foundation 1 Tresorit 1

Golden Frog 1 Zabbix 1

Google 1 Zimbra 1

FIGURA 4: FORNECEDORES ASSOCIADOS ÀS VULNERABILIDADES DE DIA ZERO DESCOBERTAS PELO FORTIGUARD LABS NO 2ºT DE 2018.

LEMBRANDO OS BONS TEMPOS

A equipe de analistas e pesquisadores especializados da Fortinet examina diariamente muitos produtos de terceiros e aplicativos de software, procurando por pontos fracos e vulnerabilidades exploráveis . Quando uma vulnerabilidade é encontrada, as equipes do FortiGuard Labs trabalham juntas para criar medidas de proteção que podem ser entregues aos nossos clientes e notificar o software/fornecedor do produto sobre a vulnerabilidade . Saiba mais .

9

MINIFOCO: AS VULNERABILIDADES FICAM DESNORTEADAS

MINIFOCO: AS VULNERABILIDADES FICAM DESNORTEADAS

Outra maneira interessante de estudar as explorações é por meio das vulnerabilidades

que elas visam. Acompanhamos essa importante associação em nossa Enciclopédia

de Ameaças. Juntar essas duas informações nos permite medir quais vulnerabilidades

*conhecidas* estão sendo atacadas em seu estado natural a qualquer momento.

Sobre esse tema, Kenna Security e o Cyentia Institute publicaram um relatório

recentemente afirmando que cerca de 2% de todos as CVEs publicadas foram

exploradas em seu estado natural. Alguns sugeriram que a estimativa estava inferior à

realidade, então queríamos duplicar a análise deles usando nosso conjunto de dados

FIGURA 5: PROPORÇÃO DE CVES PUBLICADAS COM EXPLORAÇÕES OBSERVADAS NO 2ºT DE 2018.

Das 103.786 vulnerabilidades

publicadas na Lista de CVE desde

o seu início, 5.898 (5,7%) foram

exploradas em seu estado natural

durante o 2ºT de 2018, de acordo

com nossos sensores globais.

1 Este número inclui entradas da Lista de CVE com um status de “Publicado” ou “Disputado”, que espelha a metodologia usada pela Kenna Security. 2 Estamos cientes de que a Lista de CVE não é uma lista abrangente de todas as vulnerabilidades conhecidas. Baseamos nossa análise em CVEs porque estão disponíveis publicamente e porque isso espelha a metodologia usada pela Kenna Security.3 Caso você esteja curioso, apenas 4 das 4.122 CVEs publicadas no 2ºT foram exploradas no 2ºT (0,1%).

94,3% 5,7%

Não observado

Observado

Embora nossa estatística seja quase

3 vezes mais alta do que a do relatório

Kenna-Cyentia — e provavelmente

subestimada por ter apenas um quarto

de observações — ela corresponde com

a conclusão geral de que uma pequena

minoria de vulnerabilidades publicadas é

explorada em seu estado natural. Isso é

importante porque afeta drasticamente

as decisões de remediação e como as

fazemos. Se a grande maioria não for

explorada, “consertar tudo” não é apenas

impossível, mas extremamente ineficiente.

O conhecimento do que é realmente

explorado se torna muito valioso.

Como consideramos ser nosso trabalho

compartilhar informações valiosas,

de detecções de exploração. Das 103.7861 vulnerabilidades publicadas na Lista CVE2 desde o seu início, 5.898 (5,7%) foram exploradas

em estado natural durante o 2ºT de 2018, de acordo com nossos sensores globais.3

Vol

ume

1 bi

100 mi

10 mi

1 mi

100 mil

10 mil

1 mil

100

10

10 mil 1 mil 100 10 11 em 1 em 1 em 1 em 1 em

a Figura 6 representa as CVEs com base na prevalência e no volume de detecções de exploração relacionadas. Se você pensar em todos

esses pontos como uma decisão “devo remediar isso?”, você terá uma noção da dimensão do desafio. Ainda mais quando você considera

que a Figura 6 inclui apenas um subconjunto do subconjunto para o qual observamos tentativas de exploração no 2ºT. A maioria das CVEs

no canto superior direito se relaciona com as explorações discutidas anteriormente, mas sinta-se à vontade para acessar a página de

pesquisa da Lista de CVE para procurar qualquer coisa que chame sua atenção.

FIGURA 6: VULNERABILIDADES EXPLORADAS EM ESTADO NATURAL DURANTE O 2ºT DE 2018.

TENDÊNCIAS DE MALWARE

11

O estudo das tendências de malware é útil porque elas refletem a intenção e a capacidade dos invasores. Como ocorre com as explorações, as detecções de malware por parte de nossos sensores nem sempre indicam infecções de fato, mas sim, o municiamento do código e/ou uma tentativa de entrega às vítimas e sistemas visados. As detecções podem ocorrer nos níveis da rede, do aplicativo e do host, em diversos dispositivos.

Após a Grande “Corrida do Ouro” de Cryptojacking do final de 2017 e início de 2018, o cenário de malware parece ter voltado para uma forma mais familiar durante o 2ºT. A atividade de

FIGURA 7: VOLUME DE MALWARE DE CRYPTOJACKING (AZUL) E PREÇO DE BITCOIN (LARANJA).

TENDÊNCIAS DE MALWARE

ESTATÍSTICAS RÁPIDAS:

§ 23.945 variantes únicas

§ 4.856 famílias diferentes

§ 13 detecções diárias únicas por empresa

§ 6 variantes se espalham por 10% ou mais das empresas

§ 23,3% observaram malware de cryptojacking

TENDÊNCIAS DE MALWARE

cryptojacking continuou aumentando globalmente, mas não em relação ao volume crescente de malware em geral. Como em qualquer mercado, tais flutuações podem ser atribuídas às forças de oferta e demanda.

0%

1%

2%

3%

4%

5%

6%

7%

8%

0

5 mil

10 mil

15 mil

20 mil

Cry

ptoj

acki

ng c

omo

%

do v

olum

e de

mal

war

eP

reço do Bitcoin (U

SD

)

Jan Fev Mar Abr Mai Jun

Para testar essa hipótese, a Figura 7 compara o volume relativo de malware de cryptojacking com o preço do bitcoin nos primeiros seis meses de 2018. Se você achava que o preço do bitcoin era volátil, confira essa linha azul tracejada para o cryptojacking! As linhas de tendência suavizadas, no entanto, mostram um comportamento declinante semelhante ao longo do tempo4. Também comparamos o preço de outra criptomoeda popular, a Monero, e constatamos que é quase idêntica ao padrão exibido

4 O coeficiente de correlação de Pearson para as duas linhas de tendência é 0,4.5 O coeficiente de correlação de Pearson para as flutuações de preços em bitcoin e Monero é 0,95.

pelo bitcoin.5 Assim, inferimos uma correlação positiva moderada entre o preço de mercado das criptomoedas e o malware projetado para minerar ilicitamente essas moedas.

Com isso fora do caminho, ampliaremos a abertura para examinar o cenário mais amplo de malware. A Figura 8 captura essa imagem para nós, traçando as famílias de malware mais ativas no trimestre com base na prevalência e no volume.

12

TENDÊNCIAS DE MALWARE

FIGURA 8: PRINCIPAIS FAMÍLIAS DE MALWARE PARA O 2ºT DE 2018.

Adware/Agent

Adware/AirPush!Android

Adware/DealPly

Android/Agent

Android/Generic

Android/Hiddad

BAT/Agent

JS/Agent

JS/Kryptik

JS/Nemucod

LNK/Agent

MSIL/Injector

MSIL/Kryptik

MSOffice/CVE_11882_2017

Riskware/0190_Dialers

Riskware/Agent

Riskware/Asparnet

Riskware/CoinHiveRiskware/CoinMiner

Riskware/Generic

VBA/Agent

VBS/Agent

VBS/Freelink

W32/Agent

W32/Agent2

W32/Autorun

W32/AutoRun

W32/BackDoor

W32/BDoor

W32/BHO

W32/Bifrose

W32/BKMW32/BPO

W32/BPO!tr

W32/Bropia!worm

W32/CoinMiner

W32/Comsa

W32/Delf

W32/Dloader

W32/Drob

W32/Dropper

W32/DwnLdr

W32/Dx

W32/FakeAlert

W32/FareitVB

W32/FraudLoadW32/Hupigon

W32/Injector

W32/Kasidet W32/Krap

W32/Kryptik

W32/LdPinch

W32/Mimikatz

W32/Monderb

W32/MS04028

W32/MyDoom

W32/OnLineGamesW32/Poison

W32/SpyBot

W32/StartPage

W32/Swizzor

W32/TDSSPack

W32/Ukpa

W32/User32Hk

W32/VB

W32/VBKryptik

W32/Virtum

W32/Virut

W32/Vundo

W32/Wintri!tr

W64/KasidetWM/Agent

1 mil

10 mil

100 mil

1 mi

10 mi

100 mi

1 em1 mil

1 em100

1 em10

Vol

ume

Muito acima do aglomerado na escala de volume da Figura 8 está o W32/StartPage. O membro mais tumultuoso dessa família no trimestre foi uma detecção genérica de um Cavalo de Troia que cobria uma série de comportamentos maliciosos. A maioria

MALWARE NA ERA DO DESENVOLVIMENTO ÁGIL

Os autores de malware há tempos confiam no polimorfismo para evitar a detecção, mas com o tempo, esses sistemas fizeram melhorias que os tornam mais difíceis de contornar . Para quem nunca descansa, os autores de malware recorreram ao desenvolvimento ágil para combater rapidamente as táticas mais recentes dos produtos antimalware . Um ótimo exemplo disso é a versão 4 .0 do GandCrab que foi recentemente analisada pelo FortiGuard Labs .

Percebemos que quando um arquivo <8hex-chars> .lock na pasta COMMON APPDATA do sistema está presente, os arquivos não serão bloqueados . Isso geralmente ocorre depois que o malware determina que o layout do teclado está no idioma russo, juntamente com outras técnicas para determinar computadores em países com o idioma russo . Especulamos em nosso blog que adicionar esse arquivo poderia ser uma solução temporária . Com base em nossa análise, os pesquisadores do setor criaram uma ferramenta que impede que os arquivos sejam criptografados pelo ransomware . Infelizmente, o GandCrab 4 .1 .2 foi lançado um dia ou dois depois, tornando o arquivo de bloqueio inútil . Se pudéssemos nos infiltrar nos scrums deles . . .

Se houvesse algo como o prêmio “Família de malware mais difícil de trabalhar” para o 2ºT, ele teria que ir para o W32/Injector. Ele atingiu quatro dos cinco principais spots variantes de malware durante a semana que terminou em 11 de maio e conquistou a posição de liderança na escala de prevalência durante todo o trimestre. A maioria das variantes ofensivas nessa família está relacionada ao Loki e ao Fareit, uma classe de Cavalos de

das amostras que se enquadram nessa detecção são objetos auxiliares do navegador (BHOs), muitos dos quais são projetados para alterar a página inicial do navegador do usuário.

Troia que rouba informações capaz de coletar credenciais de navegadores, clientes FTP e clientes de e-mail, bem como de carteiras de bitcoin. Nossos sensores coletaram amostras desses ladrões de informações em todo o mundo, como evidenciado na Figura 9. O volume de detecção bruta foi mais alto na Índia e em Singapura, mas Israel e a Indonésia lideraram proporcionalmente.

13

TENDÊNCIAS DE MALWARE

FIGURA 9: VOLUME RELATIVO DE LADRÕES DE INFORMAÇÕES DE LOKI E FAREIT POR PAÍS.

88 m

il/84

8 m

il

54 m

il/84

0 m

il

143

mil/

5,6

mi

71 m

il/3,

2 m

i

41 m

il/2,

2 m

i

18 m

il/1

mi

19 m

il/1,

2 m

i

38 m

il/2,

4 m

i

30 m

il/2,

2 m

i

8,8

mil/

704

mil

35 m

il/3,

5 m

i

7,9

mil/

840

mil

30 m

il/3,

2 m

i

5,8

mil/

633

mil

7,2

mil/

824

mil

123

mil/

18 m

i

129

mil/

19 m

i

10 m

il/1,

6 m

i

9,9

mil/

1,7

mi

17 m

il/3

mi

0,0%

2,5%

5,0%

7,5%

10,0%

Isra

el

Indo

nési

a

Índi

a

Tur

quia

Tai

lând

ia

Vie

tnã

EA

U

Mal

ásia

Ale

man

ha

Suí

ça

Itália

Fili

pina

s

Tai

wan

Arg

entin

a

Kuw

ait

Japã

o

Sin

gapu

ra

Pol

ônia

Áus

tria

Hon

g K

ong

Ladr

ões

de in

form

açõe

s co

mo

% d

o vo

lum

e do

paí

s

Enquanto estivermos no tópico de Loki e Fareit, seguiremos em frente e abordaremos outra família proeminente na Figura 8, o MSOffice/CVE_2017_11882. A variante .B!exploit é a mais difundida e vem servindo como um downloader do Loki há mais de um ano. Observamos a variante .A!exploit que ainda é bastante comum, distribuindo uma variante recente do Remcos RAT (versão “2.0.4 Pro”). Como a maioria dos RATs, ela é capaz de controlar o PC da vítima após a infecção.

Se você verificar o canto superior direito da Figura 8, uma palavra se destaca — “Agent”. O W32/Agent, o VBA/Agent e o JS/Agent apresentam destaque entre as principais famílias de malware. Outro primo, PowerShell/Agent, não é rotulado, mas fez parte da nossa lista de “grandes movimentadores” para o trimestre. O ELF/Agent também não é exibido, mas abrange amostras associadas à botnet VPNFilter (consulte a cobertura na seção Tendências do Botnet). As famílias de “Agents” são detecções genéricas em nossos dispositivos FortiGuard, abrangendo uma ampla variedade de ameaças, mas um tema abrangente surgiu entre as principais amostras de X/Agent observadas no 2ºT — PowerShell.

PowerShell é uma espécie de “O médico e o mostro” de ferramentas administrativas. Durante o dia, é um shell legítimo de linha de comando e linguagem de script usada popularmente por whitehats em todos os lugares para automatizar a administração de sistemas operacionais, processos e aplicativos. À noite, no entanto, muitas vezes é exercido por aqueles que procuram corromper seu poder para fins menos honrosos. É muito comum que macros malignas chamem o PowerShell para fazer download de arquivos maliciosos adicionais para o sistema. Mas isso não para por aí; o PowerShell é cada vez mais usado pelos adversários para escalar privilégios e se mover lateralmente dentro das redes. A Campanha do Thrip ATP — pela qual recebemos informações atualizadas por meio de nossa parceria com a Cyber Threat Alliance — oferece um excelente exemplo para aqueles que querem ver o lado mais sombrio do PowerShell em ação.

Falando de Thrip, o ator da ameaça oferece uma boa volta para algumas das variantes não relacionadas ao PowerShell na família de Agent estendida. Várias amostras do W32/Agent são vinculadas ao Thrip, assim como ao Sofacy (também conhecido como APT28, Fancy Bear), Hacking Team (também conhecido como Grey Heron) e Hidden Cobra (também conhecido como Lazarus Group). O grupo APT do MuddyWater faz uso pesado de documentos do MS Word contendo macros maliciosas e VBScripts, vários dos quais são atualmente detectados como variantes do VBA/Agent. Como dissemos, o Agent é uma família bastante diversa. A maioria deles são ameaças de baixo nível, mas isso é esperado para ataques direcionados.

14

MINIFOCO: UM RELANCE DO GANDCRAB

MINIFOCO: UM RELANCE DO GANDCRAB

Muitas amostras detectadas sob a família de malware W32/Kryptik na Figura 8 estão relacionadas ao ransomware GandCrab. Nos últimos

meses, ele subiu nas classificações de ransomware para se tornar uma das ameaças mais impactantes — se não a maior — de seu tipo.

As principais razões para seu sucesso remetem aos seus métodos inovadores de desenvolvimento, coleta e distribuição.

FIGURA 10: DISTRIBUIÇÃO GLOBAL DO GANDCRAB.

Países com infecções de GandCrab

Os atores por trás do GandCrab são o primeiro grupo a aceitar a criptomoeda do Dash. Parece também que eles usam a abordagem de desenvolvimento Ágil para vencer os concorrentes no mercado e lidar com problemas e bugs quando eles surgem. Outro aspecto exclusivo do GandCrab é o modelo Ransomware como Serviço (RaaS), baseado em um modelo de participação nos lucros (60/40) entre os desenvolvedores e os criminosos que desejam utilizar seus serviços. E, por fim, o GandCrab usa o .BIT, um domínio de nível superior não reconhecido pela ICANN, que é atendido pela infraestrutura de criptomoedas do Namecoin e usa vários servidores de nomes para ajudar a resolver o DNS e redirecionar o tráfego para ele.

As versões do GandCrab 2.x foram mais prevalentes durante o 2ºT, mas no final do trimestre, a v3 estava em estado natural e a série v4 viria em seguida no início de julho. Esta é com certeza uma ameaça que estamos rastreando ativamente, e você pode acompanhar o que estamos aprendendo sobre o GandCrab em nosso blog.

TENDÊNCIAS DE BOTNETS

16

TENDÊNCIAS DE BOTNETS

Enquanto as explorações e tendências de malware geralmente mostram o cenário antes dos prejuízos causados pelos ataques, os botnets fornecem uma visão dos danos posteriores. Após a infecção, os sistemas frequentemente se comunicam com hosts remotos maliciosos, e esse tipo de tráfego em um ambiente corporativo indica que há algo errado. Esse conjunto de dados se torna útil sob a perspectiva de que devemos “aprender com nossos próprios erros”.

A atividade de botnets para o 2ºT é representada na Figura 11 de acordo com a prevalência geral e volume. O quadrante dos

FIGURA 11: PRINCIPAIS BOTNETS PARA O 2ºT DE 2018.

TENDÊNCIAS DE BOTNETS

ESTATÍSTICAS RÁPIDAS:

§ 265 detecções de botnets únicos

§ 7,6 dias de infecção por empresa

§ 1,8 botnets ativos por empresa

§ 10% dos botnets atingem mais de 1,1% das empresas

§ 57% das infecções por botnets duram 1 dia

§ 5% das infecções por botnets duram mais de 1 semana

líderes no canto superior direito mostra o mesmo elenco de personagens dos trimestres anteriores. Isso não é muito surpreendente, já que o número de botnets ativos observados (265) é muito menor do que, por exemplo, as variações de malware neste trimestre (23.945). Boas botnets são feitas sob medida para durar.

AAEH

Adwind

Adylkuzz

Android

Andromeda

BadRabbit

Bankbot

Banload Bedep

Bladabindi

BunituChanitor

Cidox

Citadel

CKMP

Conficker

Crossrider

CryptoWall

DarkComet

Dorkbot

Dridex

Expiro

Fareit

FinFisher

Ganiw

Gh0stGozi

H-worm

Hajime

Hangover

IMDDOS

ISR

Jeefo

Jenxcus

Kelihos

Lethic

Locky

Loki

Mariposa

Mazben

Mikey

Mirai

NanoCore

Necurs

NetSyst81

Neurevt

Neutrino

Nitol

Nivdort

njRAT

NSIS

Nymaim

Orbit

PhotoMinerPoSeidon

Pushdo

Quant

Ramnit

Sality

Sinowal

Smominru

Suivante

Tepfer

Teslacrypt

Tinba

Torpig

TorrentLocker

Virut

Vortex

XcodeGhost

XorDDOS

Xtreme

Yoddos

ZeroAccess

Zeus

100

1 mil

10 mil

100 mil

1 mi

10 mi

100 mi

1 em10 mil

1 em1 mil

1 em100

1 em10

Prevalência

Vol

ume

O Smominru é uma adição notável à extremidade superior do eixo de volume na Figura 11. Ele chamou nossa atenção de novo em fevereiro, quando estava sendo espalhado pela infame exploração EternalBlue (CVE-2017-0144). O Smominru é um malware/

botnet de mineração da Monero que tem como alvo a plataforma Windows. Ele entra em contato com os servidores C&C por meio de solicitações HTTP e permite que invasores remotos emitam comandos para fazer download e instalar arquivos adicionais.

17

TENDÊNCIAS DE BOTNETS

NOTÍCIA ANTIGA, MAS AINDA ATUAL

Essas botnets são equipamentos permanentes no topo da nossa lista a cada trimestre . Em vez de elogiá-las todas as vezes com novos comentários, levaremos esse resumo adiante e informaremos se esses cães velhos aprenderem novos truques .

1. Gh0st: uma botnet de acesso remoto que permite que um atacante assuma o controle total do sistema infectado, registre as teclas digitadas, forneça feeds de webcam e microfone ao vivo, faça o download e upload de arquivos e outras atividades nefastas .

2. Pushdo: esta botnet viu uma ação pesada no início de sua carreira apoiando campanhas de spam executadas pela organização criminosa Cutwail, mas uma atividade mais recente geralmente envolve ataques DDoS contra sites da web criptografados por SSL .

3. Andromeda: uma botnet modular que instala os componentes conforme necessário nas máquinas Windows, injeta-se em processos confiáveis e fica inativa até que a conexão com um servidor remoto seja necessária . Foi o foco de uma grande manobra de aplicação da lei no final de 2017, mas muitos hosts ainda estão infectados .

4. Necurs: uma variedade de tipos de botnets, tendo construído seu nome como um grande distribuidor de ransomware, Cavalos de Troia bancários e campanhas de spam e fraudes financeiras .

5. ZeroAccess: uma botnet associada ao malware de espalhamento P2P do mesmo nome, dá ao seu mestre controle sobre os sistemas afetados e suporta operações de mineração de criptomoedas e fraude de cliques .

6. Conficker: botnet associada a um worm de disseminação em massa que literalmente tomou a Internet em 2008 . Uma vez infectado, o Conficker coleta informações de hosts, sites da web de ataques, envia spam, etc .

7. Sality: vista pela primeira vez em 2003, esta é uma das botnets ativas mais antigas . É uma botnet P2P usada para fazer download e instalar malware que executará uma ampla gama de ações maliciosas secundárias .

No outro extremo do eixo de volume, o BankBot não atrairia muita atenção com base em sua posição geral por si só. Mas um novo membro da família BankBot — o Anubis — estava em movimento no segundo trimestre. Como o nome sugere, o BankBot é uma família de Cavalos de Troia bancários visando dispositivos Android que surgiram no segundo semestre de 2016. O principal objetivo desse malware é roubar credenciais do dispositivo da vítima. Essa nova variante do Anubis introduz várias inovações para a família, pois é capaz de executar ransomware, keylogger, funções RAT, interceptação de SMS, tela de bloqueio e encaminhamento de chamadas. Na campanha recente, identificamos novos hosts C&C unindo-se à botnet contendo nomes suspeitos, como locker, keylogger e ratgate.

Outra botnet que merece ser mencionada é o Loki. Assim como o BankBot, ele é facilmente perdido no aglomerado (está perto da interseção da faixa de prevalência de 1/100 e 100 mil linhas de grade de volume na Figura 11). Essa botnet de roubo de informações ligada ao malware de mesmo nome estava entre

os principais ganhadores no 2ºT e cruzou 1% na escala de prevalência. Esse feito pode não parecer notável por si só, mas na verdade é relativamente incomum entre as botnets. A relação do Loki com o aumento dos ladrões de informações que discutimos na seção Tendências de Malware o torna ainda mais notável.

A botnet Mirai não se enquadra no limite da Figura 11, mas, sem dúvida, merece menção por seu comportamento nervoso no 2ºT. Desde o lançamento do código-fonte há dois anos, as variantes da Mirai pousam em nosso radar com crescente regularidade. Algumas delas fizeram modificações significativas, como a adição da capacidade de transformar dispositivos infectados em enxames de proxies de malware e criptomineradores. Outras integraram o código da Mirai com várias explorações que visam vulnerabilidades conhecidas e desconhecidas. Uma nova variante descoberta pelo FortiGuard Labs, que apelidamos de WICKED, adiciona pelo menos três explorações ao seu arsenal para direcionar dispositivos IoT não corrigidos. Você pode ler mais sobre a WICKED em nosso blog.

18

TENDÊNCIAS DE BOTNETS

FIGURA 12: BOTNETS COM MAIOR VARIAÇÃO DA PREVALÊNCIA ENTRE REGIÕES.

África Ásia EuropaAmérica Latina

Oriente MédioAmérica do Norte

Oceania Geral

NanoCore

Nitol

PhotoMiner

Neutrino

Fareit

Loki

Jeefo

NSIS

Nymaim

Dorkbot

Mazben

Lethic

Ramnit

H-worm

Andromeda

1,33% 1,81% 0,46% 0,25% 1,35% 0,51% 0,59% 0,84%

0,61% 2,31% 0,36% 0,50% 0,85% 0,48% 0,34% 0,90%

5,05% 1,96% 0,19% 0,11% 0,21% 0,60% 1,36% 0,93%

1,70% 1,28% 0,32% 2,05% 1,07% 0,73% 0,25% 0,90%

1,70% 1,49% 0,88% 0,93% 2,68% 0,37% 0,34% 0,95%

1,70% 1,59% 1,16% 0,65% 2,20% 0,50% 0,34% 1,01%

1,66% 2,11% 0,35% 1,29% 1,99% 0,72% 0,59% 1,11%

2,47% 1,85% 1,16% 3,45% 1,16% 0,48% 0,59% 1,27%

0,81% 4,39% 0,93% 0,38% 0,50% 0,91% 3,06% 1,66%

3,19% 4,11% 0,52% 1,92% 2,18% 1,05% 1,78% 1,87%

3,28% 3,67% 0,65% 2,19% 2,89% 1,50% 0,68% 1,97%

4,69% 4,49% 0,62% 3,27% 3,53% 1,64% 1,95% 2,42%

10,07% 9,83% 1,50% 3,79% 8,53% 3,24% 2,97% 4,95%

13,8% 7,4% 2,0% 15,1% 8,4% 4,6% 3,1% 5,9%

26,5% 24,3% 3,3% 20,3% 24,1% 10,8% 7,5% 14,2%

Uma botnet final que deve ser destacada antes de prosseguirmos é o VPNFilter, outra ameaça que merece uma dica para nossa parceria na Cyber Threat Alliance. Este é um ataque avançado patrocinado pelo estado-nação que tem como alvo os ambientes SCADA/ICS, monitorando os protocolos Modbus SCADA. O que torna este VPNFilter particularmente perigoso é que ele não apenas executa a exfiltração de dados, mas também pode tornar os dispositivos completamente inoperantes, sozinho ou em grupo. A atividade da campanha foi vista primeiro na Ucrânia, mas os dados indicam que dispositivos em mais de 100 países estão sendo verificados. Mais atualizações sobre o VPNFilter estão disponíveis em nosso blog.

A Figura 12 oferece uma inclinação regional nas botnets no 2ºT. Em vez de simplesmente listar as botnets mais comuns regionalmente, como costumamos fazer, queríamos identificar quais apresentavam o maior grau de variação regional. Para encurtar a história, fizemos isso calculando e, em seguida, somando as diferenças entre os valores gerais (globais) e regionais de prevalência para cada botnet.

Observe como determinadas diferenças regionais e padrões se misturam usando esse método. A prevalência da botnet Andromeda na África, Ásia e Oriente Médio é 8 vezes maior que a da Europa. Esse fato é ainda mais interessante quando se lembra que a Andromeda foi alvo de uma operação de retirada no final de 2017, liderada por uma agência de aplicação da lei europeia. É claro que o processo de limpeza de endpoints infectados não está progredindo na mesma proporção em todos os lugares.

Além da variação entre botnets específicas, observe como a prevalência na Europa, América do Norte e Oceania geralmente (mas nem sempre) cai abaixo de outras regiões. Isso não implica que essas regiões sejam mais imunes a botnets, mas sugere que a maturidade geral das capacidades de resposta e de remediação pode diferir entre elas. Tal como acontece com a propagação de doenças pelas populações humanas em todo o mundo, existem muitos fatores inter-relacionados em jogo. E, nessa nota, vamos nos concentrar em fatos e números sobre a epidemiologia de botnets.

19

MINIFOCO: EPIDEMIOLOGIA DE BOTNETS

MINIFOCO: EPIDEMIOLOGIA DE BOTNETS

Declarações como a que fizemos anteriormente, sobre o fato de ser relativamente incomum a botnet Loki ter cruzado a linha de 1% de

prevalência, são baseadas em linhas de base que estabelecemos ao longo do tempo. De acordo com a Figura 13, por exemplo, apenas os

10% superiores de botnets se espalharam além de 1,1% das empresas em nosso conjunto de dados. A prevalência mediana entre todas

as botnets é talvez surpreendentemente baixa, de 0,03% (1 em 3,5 mil empresas).

FIGURA 13: DISTRIBUIÇÃO DA PREVALÊNCIA DE BOTNETS.

O que se faz com essa estatística? Bem, além de impressionar os amigos com sua variedade de trivialidades tecnológicas durante a

próxima noite de jogo, pontos de dados como esse são realmente úteis para desenvolver uma compreensão do cenário de ameaças.

No campo da epidemiologia, por exemplo, as estatísticas relativas à disseminação de doenças, cronogramas de infecção, taxas de

mortalidade, etc., são medidas importantes para os pesquisadores que buscam combater essas ameaças. Acreditamos que o mesmo é

verdade para as ameaças em nosso campo.

Apresentamos algumas dessas estatísticas separadamente nos Relatórios do cenário de ameaças anteriores, mas às vezes é bom reunir tudo

para revisão. Com esse objetivo em mente, apresentamos a tabela abaixo resumindo fatos interessantes sobre a epidemiologia de botnets.

10% 20% 30% 40% 50% 60% 70% 80% 90%

1 em1 mi

1 em100 mil

1 em10 mil

1 em1 mil

1 em100

1 em10

1 em1

Prevalência

Den

sida

de

Algumas estatísticas sobre epidemiologia de botnets:

50% das botnets infectam menos de 0,03% das empresas.

15% das botnets infectam pelo menos 1% das empresas.

45% das empresas relatam não mais do que 1 infecção por botnet.

4% das empresas relatam 10 ou mais infecções.

57% das infecções por botnets duram 1 dia.

5% das infecções por botnets duram mais de 1 semana.

CONCLUSÕES E RECOMENDAÇÕES

21

CONCLUSÕES E RECOMENDAÇÕES

Esperamos que esta breve excursão tenha lhe dado algumas perspectivas úteis sobre o cenário de ameaças

cibernéticas no segundo trimestre de 2018 . Caso tenha dúvidas sobre qualquer assunto abordado neste relatório,

nossos especialistas estão prontos e dispostos a entrar em campo . Abaixo, você encontrará uma recapitulação dos

resultados junto com algumas recomendações que devem ajudar a tornar as informações que compartilhamos nessas

páginas mais práticas . Obrigado por dedicar seu valioso tempo conosco novamente .

01Uma assinatura do FortiGuard detecta as ameaças discutidas neste relatório. Isso pode parecer papo de vendedor ou um pouco egoísta, mas seríamos negligentes se não mencionássemos isso para nossos clientes . Consideramos que é nosso dever explicar tudo o que aprendemos por meio de nossa pesquisa sobre ameaças e vulnerabilidades nos produtos e serviços que oferecemos, e queremos que os clientes tenham essa tranquilidade .

02Quanto mais olhos você tiver observando as ameaças, mais livre delas você estará. É por isso que nós cofundamos a Cyber Threat Alliance, e o fruto dessa parceria aparece neste relatório . Os fornecedores de segurança compartilhando informações sobre ameaças entre si para tornar nossos respectivos clientes mais seguros constitui uma vitória para todos os envolvidos . Desconfie de provedores de inteligência que afirmam que sabem tudo isoladamente — eles não sabem . Ninguém sabe .

03Se precisar de mais informações — ou quiser de uma forma mais rápida — assine nosso Resumo de ameaças semanal. Se isso ainda não for suficiente, considere nosso Threat Intelligence Service, que fornece atualizações diárias sobre ameaças importantes e de tendência .

04Cryptojacking em dispositivos IoT é uma tendência crescente. Verifique se as redes domésticas dos funcionários estão segmentadas de máquinas que se conectam à rede corporativa por meio de VPNs . No mínimo, garantir a conscientização sobre como fazer isso corretamente faz parte do seu programa de treinamento em segurança .

CONCLUSÕES E RECOMENDAÇÕES

22

06O preço das criptomoedas se correlaciona moderadamente com o cryptojacking. “Siga o dinheiro” é uma estratégia testada e comprovada para entender e descobrir esquemas criminosos . Não deveria ser uma surpresa que estamos vendo uma relação entre o aumento de malware de cryptojacking e o aumento das criptomoedas . Assim, vale a pena acompanhar esse e outros fatores de mercado externos que podem indicar tendências internas .

07O PowerShell é uma ferramenta para o bem, mas pode ser usado para o mal. Por isso, as organizações devem garantir o rastreamento do uso do PowerShell — e de outras ferramentas administrativas — para distinguir o uso legítimo do malicioso . Empresas maiores podem recorrer a ferramentas de Análise Comportamental de Entidade e Usuário (UEBA) para ajudar a criar uma linha de base para a detecção de anomalias .

08Ataques contra dispositivos SCADA não são os mais comuns, mas podem ser os mais críticos. Se a sua organização usa o SCADA ou outro ICS, o primeiro passo é avaliar totalmente os riscos comerciais e operacionais associados a essas tecnologias e definir uma estratégia informada pelo risco . Isso deve incluir a definição de zonas, conduítes, limites e níveis de segurança, que serão inestimáveis para limitar as comunicações entre os ambientes de TO e não relacionados à TO . Dicas sobre como proteger as redes de TO contra ataques crescentes podem ser encontradas nesta publicação do blog .

CONCLUSÕES E RECOMENDAÇÕES

05As vulnerabilidades mais divulgadas nunca são exploradas. Mas isso não significa que você deve ignorá-las . Muito pelo contrário, sabemos que muitas violações exploram vulnerabilidades conhecidas, tornando ainda mais importante aproveitar relatórios como este para ajudar a priorizar quais garantem a remediação agora e quais podem ser adiadas com segurança .

23

FONTES E MÉTRICAS

As constatações apresentadas neste relatório representam a inteligência coletiva do FortiGuard Labs, extraída da grande variedade de dispositivos de rede/sensores da Fortinet coletando bilhões de eventos e incidentes envolvendo ameaças, observados em ambientes de produção em tempo real em todo o mundo. De acordo com pesquisas independentes6, a Fortinet tem a maior presença de dispositivos de segurança e, assim, ostentamos a maior amostragem de dados sobre ameaças do setor. Todos os

Explorações As explorações de aplicativos descritas neste relatório foram coletadas principalmente através de Sistemas de prevenção de intrusão (IPS) de rede. Esse conjunto de dados oferece uma perspectiva das atividades de reconhecimento dos invasores para identificar sistemas vulneráveis e as tentativas de explorar essas vulnerabilidades.

Malware As amostras das ameaças de malware descritas neste relatório foram coletadas por meio de dispositivos de perímetro, sandboxes ou endpoints. Em grande parte, esse conjunto de dados representa as fases de municiamento ou entrega do ataque, em oposição à instalação bem-sucedida nos sistemas-alvo.

Botnets As atividades de botnets descritas neste relatório foram coletadas por meio de dispositivos de rede. Esse conjunto de dados representa o tráfego de comando e controle (C2) entre sistemas internos comprometidos e hosts externos maliciosos.

VOLUMEMedida de frequência ou proporção geral. O número total ou a porcentagem de observações de um evento de ameaça.

PREVALÊNCIAMedida de propagação ou disseminação entre grupos. O percentual de organizações relatoras7 que observaram o evento de ameaça pelo menos uma vez.

INTENSIDADEMedida do volume ou frequência diária. O número mediano de observações de um evento de ameaça por empresa, por dia.

FONTES E MÉTRICAS

dados são anônimos e não contêm informações identificáveis sobre nenhuma entidade representada na amostra.

Como seria de se imaginar, essa inteligência oferece perspectivas excelentes sobre o cenário de ameaças cibernéticas, sob vários pontos de vista. Este relatório tem como foco três aspectos centrais e complementares desse quadro, especificamente, a exploração de aplicativos, os componentes de software maliciosos (malware) e as botnets.

Além desses diferentes aspectos do cenário de ameaças, nós utilizamos três métricas para descrever e interpretar o que os dados nos dizem. Você verá os termos volume, prevalência e intensidade sendo usados ao longo deste relatório regularmente, e a utilização desses termos sempre estará em conformidade com as definições fornecidas aqui.

Os números apresentados neste relatório incluem uma grande quantidade de ameaças. Nós descrevemos brevemente algumas delas, mas, sem dúvidas, você vai querer obter mais informações. Se precisar, consulte a Enciclopédia do FortiGuard Labs durante sua leitura.

6 Fonte: IDC Worldwide Security Appliances Tracker, abril de 2017 (com base em remessas de unidades anuais)

7 Podemos medir apenas a prevalência entre as organizações que relatam as ameaças. Assim, uma prevalência de 50% de uma determinada botnet não significa que metade de todas as empresas do mundo tenha sido afetada; significa que metade das empresas que relataram detecções de botnets observou a referida botnet. Esse denominador normalmente representa dezenas de milhares de empresas.

Copyright © 2018 Fortinet, Inc. Todos os direitos reservados. O Fortinet®, FortiGate®, FortiCare®, FortiGuard® e algumas outras marcas são marcas registradas da Fortinet, Inc., e outros nomes da Fortinet neste documento também podem ser marcas registradas e/ou de direito comum da Fortinet. Todos os outros nomes de produtos ou de empresas podem ser marcas comerciais de seus respectivos proprietários. O desempenho e outras métricas aqui contidas foram obtidos em testes laboratoriais internos sob condições ideais; o desempenho real e outros resultados podem variar. Variáveis de rede, ambientes de rede diferentes e outras condições podem afetar os resultados de desempenho. Nada neste documento representa qualquer compromisso vinculativo da Fortinet e a Fortinet renuncia a todas as garantias, expressas ou implícitas, exceto na medida em que a Fortinet celebre um contrato de vinculação por escrito, assinado pelo conselho geral da Fortinet, com um comprador que garante expressamente que o produto identificado operará de acordo com determinadas métricas de desempenho expressamente identificadas e, nesse caso, apenas as métricas de desempenho específicas identificadas expressamente em tal contrato de vinculação por escrito serão vinculativas à Fortinet. Para absoluta clareza, qualquer garantia será limitada ao desempenho nas mesmas condições ideais dos testes laboratoriais internos da Fortinet. A Fortinet renuncia por completo a quaisquer convênios, representações e garantias nos termos do presente, expressas ou implícitas. A Fortinet reserva-se o direito de alterar, modificar, transferir ou revisar esta publicação sem aviso prévio, e a versão mais atual da publicação será aplicável. A Fortinet renuncia por completo a quaisquer convênios, representações e garantias nos termos do presente, expressas ou implícitas. A Fortinet reserva-se o direito de alterar, modificar, transferir ou revisar esta publicação sem aviso prévio e a versão mais atual da publicação será aplicável.

SEDE MUNDIALFortinet Inc.899 Kifer RoadSunnyvale, CA 94086Estados UnidosTel.: +1 408 235 7700www.fortinet.com/sales

ESCRITÓRIO DE VENDAS DE EMEA905 rue Albert Einstein06560 ValbonneFrançaTel.: +33 4 8987 0500

ESCRITÓRIO DE VENDAS APAC300 Beach Road 20-01The ConcourseSingapura 199555Tel.: +65 6513 3730

SEDE da AMÉRICA LATINASawgrass Lakes Center13450 W. Sunrise Blvd., Suite 430Sunrise, FL 33323Tel.: +1 954 368 9990

2 de agosto de 2018258263-0-A-PT-BR