Criminosos cibernéticos continuam a explorar a pandemia atacando países mais afetados, como EUA e Itália, e setores como varejo, manufatura, educação, governo e serviços financeiros, entre outros
Os criminosos cibernéticos continuam a explorar a pandemia de covid-19, inclusive no segmento corporativo. Novas pesquisas de empresas de segurança revelam que eles agora estão concentrando seus ataques nos países e regiões mais atingidos pelo coronavírus e nas verticais de negócios que estão sob grande pressão econômica.
Com muitos funcionários trabalhando em casa, geralmente em dispositivos pessoais, o risco de infecções por malware, comprometimento de credenciais e ataques de ransomware ficou significativamente maior. As empresas devem tomar medidas para garantir que o acesso remoto a seus aplicativos e dados corporativos seja cuidadosamente monitorado, e seguir os princípios de menos privilégios e garantir que o acesso seja feito a partir de dispositivos seguros usando a autenticação multifatorial (MFA).
Veja isso
Covid-19 na dark web: do sangue infectado a respiradores
Trickbot é o malware mais prolífico durante pandemia da covid-19
De acordo com um novo relatório da Palo Alto Networks, mais de 1,2 milhão de nomes de domínio contendo palavras-chave relacionadas à pandemia foram registrados entre o dia 9 de março e 26 de abril. Desses, mais de 86.600 foram classificados como de alto risco ou maliciosos, com as maiores concentrações nos Estados Unidos (29.007), Itália (2.877), Alemanha (2.564) e Rússia (2.456). Em média, 1.767 novos domínios maliciosos sobre a convid-19 estão sendo criados todos os dias.
“Durante a pesquisa, percebemos que alguns domínios maliciosos analisam vários endereços IP, e alguns endereços IP estão associados a vários domínios”, disseram os pesquisadores de Palo Alto. “Esse mapeamento de muitos para muitos geralmente ocorre em ambientes em nuvem devido ao uso de redes de distribuição de conteúdo (CDNs) e pode tornar os firewalls baseados em IP ineficazes.”
Exploração de redes de distribuição de conteúdo
As CDNs reduzem a latência e melhoram o desempenho do site, direcionando os visitantes ao servidor de borda regional mais próximo. Esses servidores de borda oferecem versões em cache dos sites, o que diminui a carga de seus servidores de origem. Os invasores podem tirar proveito desse comportamento para melhorar o desempenho, escondendo seus sites maliciosos entre sites legítimos e dificultando o bloqueio por defensores. Isso ocorre porque a lista negra do endereço IP de um servidor de borda da CDN em um firewall também bloqueará nomes de domínio não maliciosos que apontam para o mesmo servidor.
Outra consequência do uso de CDNs e serviços de hospedagem em nuvem é que os nomes de domínio são configurados com vários registros DNS (nomes de domínio) que apontam para vários endereços IP. Isso é feito para redundância, mas também para direcionar os computadores para o servidor mais próximo quando eles executam pesquisas de DNS. Isso também dificulta o bloqueio de sites maliciosos por endereço IP, pois eles podem apontar para sites diferentes, dependendo da localização geográfica do cliente.
“Um IP na lista negra de um firewall de camada 3 pode falhar em bloquear o tráfego de ou para um domínio malicioso, enquanto involuntariamente torna muitos outros domínios benignos inacessíveis”, disseram os pesquisadores de Palo Alto. “Um firewall de camada 7 mais inteligente é necessário para inspecionar os nomes de domínio na camada de aplicativos e passar ou bloquear seletivamente as sessões”.
Os dados da empresa mostram que 2.829 domínios maliciosos sobre covid-19 estavam hospedados em nuvens públicas, ou cerca de 5% do total. Esse número é relativamente baixo, o que pode ocorrer porque os provedores de nuvem têm uma triagem mais rigorosa, mas mostra que alguns invasores estão dispostos a correr esse risco para ter uma chance melhor de não serem bloqueados por firewalls corporativos.
Países e setores alvos de ataques
A empresa de segurança Bitdefender analisou a evolução das ameaças com tema de coronavírus ao longo de março e abril e, com base em sua telemetria, descobriu que os atacantes tendem a focar suas campanhas nos países e regiões mais atingidos pelo vírus.
“Os países que têm o maior número de relatórios com o tema coronavírus também parecem ter sido os mais atingidos pela pandemia”, afirma a empresa em seu relatório. “Por exemplo, os países que reportaram o maior número de relatórios de malware temático incluem Estados Unidos, Itália e Reino Unido.”
Quando se trata das verticais mais direcionadas do setor, os atacantes parecem se concentrar em setores que foram fortemente impactados pela pandemia ou estão tentando lidar com uma demanda maior e uma escassez de trabalhadores. Durante abril, as verticais mais visadas foram varejo, transporte, manufatura, educação e pesquisa, governo, serviços financeiros, engenharia, tecnologia, produtos químicos e alimentos e bebidas.
A razão pela qual os cuidados com a saúde não estão entre os dez mais atingidos pode ser porque o setor de saúde não possui tantos participantes e, portanto, os hackers miram como alvo os demais setores.
“Como essa telemetria é estritamente baseada em relatórios com temas sobre o coronavírus, ela não exclui a possibilidade de que a área de saúde e outras verticais tenham registrado um aumento em outros tipos de malware, como o ransomware”, disse a Bitdefender.
A telemetria da empresa mostra que os cibercriminosos seguiram as tendências de infecção por coronavírus, concentrando-se na Europa por grande parte de março e voltando sua atenção para os EUA em abril, quando o número de novos casos explodiu por lá, o que tornou mais provável que as pessoas clicassem em links e anexos abertos que ofereciam mais informações sobre a pandemia.
Os e-mails de phishing observados pela Bitdefender geralmente personificam organizações globais como OMS, OTAN e Unicef. “A pandemia global do SARS-CoV-2 não desaparecerá tão cedo e é provável que os cibercriminosos continuem explorando e aproveitando a crise para obter vantagem”, disse a empresa. “As ameaças com tema sobre o coronavírus provavelmente continuarão sob a forma de e-mails de spear-phishing, URLs fraudulentas e aplicativos maliciosos, todos explorando o medo e as informações erradas, a fim de induzir as vítimas a fornecer informações pessoais, sensíveis ou financeiras.”
