Cisco: ransomware está a crescer e ataques são mais sofisticados
O Relatório Semestral de Cibersegurança 2016 da Cisco destaca o aumento de ataques ransomware e de métodos cada vez mais sofisticados. Frisa ainda que a prioridade – e dificuldade – das empresas é fecharem a janela de oportunidade para os atacantes.
Este ponto é importante porque, diz o relatório da Cisco, esta dificuldade para limitar o campo de atuação dos atacantes pode também representar uma grande ameaça à transformação digital dessas organizações.
O estudo sublinha que um dos maiores desafios das empresas é a incapacidade para fazerem frente a futuras espécies de ransomware mais sofisticadas, o maior enfoque dos ataques à infraestrutura de servidores, a evolução dos métodos de ataque e a utilização de encriptação para mascarar a sua atividade.
Esta incapacidade deve-se principalmente à grande margem de atuação dos atacantes, fruto de uma infraestrutura frágil, redes infetadas e um lento rácio de deteção. A falta de visibilidade ao longo da rede e dos terminais é um problema grave. Em média, as empresas tardam até 200 dias a identificarem novas ameaças.
A Cisco refere que os sistemas descontinuados e que deixaram de ser atualizados são um foco de oportunidades adicional para os atacantes.
O relatório conclui ainda que o ransomware é o malware mais rentável de sempre. A Cisco estima que a tendência de crescimento se mantenha e que esta forma de ataque se torne ainda mais destrutiva, capaz de sequestrar redes inteiras.
Os futuros ataques de ransomware vão conseguir evitar a deteção limitando o uso de CPU e evitando ações ‘command-and-control’. Estas novas espécies de ransomware vão conseguir espalhar-se de forma muito mais célere multiplicando-se automaticamente nas organizações antes que seja possível contê-las, dizem os especialistas da Cisco.
Esta é também uma ameaça que pesa em todos os sectores verticais e mercados, sendo que organizações de carácter social, ONG e plataformas de comércio eletrónico enfrentaram um crescente número de ataques na primeira metade de 2016.
Isto deve-se a um maior foco e à evolução dos meios de ataque. O relatório destaca as vulnerabilidades do Adobe Flash, que continuam a ser um dos principais objetivos de malvertising e dos kits de exploração. No kit de exploração Nuclear, 80% dos ataques ao Flash o foram bem-sucedidos.
“À medida que as organizações adotam novos modelos de negócio em resultado da sua transformação digital e que as ciberameaças ficam cada vez mais sofisticadas e rentáveis, a segurança é o componente mais crítico”, refere Marty Roesch, vice presidente e arquiteto chefe de Segurança na Cisco. “Os atacantes permanecem sem serem detetados e estão a conseguir aumentar o seu período de atuação. Para fechar esta janela de oportunidade, as organizações devem reforçar a sua visibilidade da rede e melhorar os processos como o patching ou a substituição da infraestrutura obsoleta.”
Novas tendências e métodos
O estudo também detetou uma nova tendência nos ataques de ransomware que exploram vulnerabilidades no servidor, especialmente nos JBoss (10% dos conectados à internet a nível mundial estavam infectados). Muitas das vulnerabilidades do JBoss utilizadas para comprometer estes sistemas foram identificadas há 5 anos, o que significa que um patching básico e atualizações de fornecedores poderiam ter prevenido estes ataques com facilidade.
No que toca a evolução dos métodos de ataque, a Cisco indica que a exploração de vulnerabilidade Windows Binary se tornou no principal método de ataque na web nos últimos 6 meses. Este método permite ao malware apropriar-se das infraestruturas de rede e conseguir que os ataques sejam mais difíceis de identificar e eliminar.
Os esquemas de engenharia social realizados através do Facebook caíram assim da primeira para a segunda posição.
A Cisco registou ainda um aumento no uso de bitcoins, do protocolo TLS e da rede Tor, que permitem a comunicação anónima a través da web. O malware encriptado em campanhas de malvertising cresceu 300% entre dezembro 2015 e março de 2016.
Recomendações para proteger os negócios
- Maior ‘limpeza da rede’, através de monitorização; da implementação de patching e de atualizações atempadas; a segmentação da rede; a implementação de defesas no extremo da rede, incluindo segurança web e do email, Next Generation Firewalls e sistemas de IPS de Próxima Geração.
- Defesas integradas, mediante uma aproximação a uma “arquitetura” de segurança face ao lançamento de soluções de nicho e dispersas.
- Medir o tempo de deteção, procurando reduzi-lo para detetar ameaças e mitigá-las com maior rapidez, integrando essas métricas nas futuras políticas de segurança da organização.
- Proteger os utilizadores onde eles estão e independentemente do local onde trabalham, por oposição a proteger simplesmente o sistema através daqueles que nele interagem e enquanto estão ligados à rede da própria empresa.
- Realizar cópias de segurança dos dados críticos, fazendo prova, com frequência, da sua eficácia e confirmando que os back-ups não são suscetíveis de serem atacados.