Segundo Vincent Weafer, vice-presidente sênior do McAfee Labs, “o ano de 2014 será lembrado como ‘o Ano da Confiança Abalada’ devido a uma série de eventos sem precedentes, os quais abalaram a confiança tanto do setor em relação a modelos de segurança da Internet duradouros, como do consumidor, na capacidade das organizações de proteger seus dados, e também a confiança das organizações em suas habilidades de detectar e se desviar de ataques visados em tempo hábil”.
As principais estatísticas levantadas foram:
- Malwares em dispositivos móveis: O McAfee Labs coletou 2,47 milhões de novas amostras de malwares em celulares em 2013. O número total de amostras de malwares para dispositivos móveis ultrapassou cinco milhões no terceiro trimestre de 2014, aumento de 16% neste trimestre e de 112% em relação ao ano anterior.
- Ransomware (vírus sequestrador). O volume de ransomware teve um aumento de um milhão de novas amostras neste ano. No entanto, esta ameaça passou por um período de repouso, pois o número de amostras de ransomware caiu por três trimestres seguidos; mas isso não surpreendeu os pesquisadores porque esse número voltou a crescer.
- URLs suspeitos. Novos URLs suspeitos estabeleceram um recorde de três meses, com mais de 18 milhões, um aumento de 19% no quarto trimestre de 2014 comparado ao mesmo período de 2013 e o quarto aumento trimestral seguido.
- Proliferação de malwares. Em 2013, o McAfee Labs detectou 200 novas amostras de malwares a cada minuto ou mais de três novas ameaças por segundo. No terceiro trimestre deste ano, o McAfee Labs já contabilizava cerca de 310 novas ameaças por minuto ou mais de cinco por segundo, com um aumento de mais de 16% em amostras de malware em dispositivos móveis durante o trimestre. O “zoológico” de amostras de malware móvel do McAfee Labs teve crescimento de 167% entre o primeiro trimestre de 2013 e o primeiro trimestre de 2014. No terceiro trimestre de 2014 foram contabilizados mais de 300 milhões de amostras, crescimento de 76% em relação ao ano anterior.
- Malware assinado: novos binários maliciosos assinados continuam sendo uma forma comum de ataque, apenas no primeiro trimestre de 2014 o aumento foi de 49%.
- Malware do registro de inicialização principal: novas ameaças feitas ao registro de inicialização principal aumentaram em 49% no primeiro trimestre, o maior aumento de todos os tempos para um único trimestre.
- Redes de bots e garimpagem de moedas: o McAfee Labs constatou a inclusão de recursos de garimpagem de moedas virtuais nos serviços dos provedores de redes de bots, o que reflete a popularidade crescente de moedas digitais como o Bitcoin.
- Spams: O McAfee Labs determinou uma nova classificação das 20 maiores redes de bots de spam. A Kelihos foi a rede de bots mais prolífica do ano. No terceiro trimestre, 76% do spam gerado pelas 20 maiores foram e-mails da Kelihos. Mais recentemente, a Kelihos tem sido associada a spam para melhoria de negócios (“Oito regras simples expressam a essência das vendas B2B”), spam de remédios (“Compre remédios baratos. Economize até 70%”) e spam para enriquecer depressa (“$376 em APENAS UM DIA? Sério? Aqui está a prova”). A Kelihos tem ampla distribuição, com IPs de envio de spams com origem em 226 países este ano.
Heartbleed
Uma das ameaças mais impactantes no ano foi a Heartbleed, uma vulnerabilidade no código OpenSSL a qual colocou em risco as informações pessoais de milhões de usuários da Internet. Ao inserir nomes de domínios de sites na ferramenta verificadora da McAfee sobre o Heartbleed, os consumidores podem determinar imediatamente se os sites que frequentam foram afetados por esta ameaça, verificando se os sites foram atualizados para a versão do OpenSSL que não é suscetível ao Heartbleed. Estima-se que a ameaça Heartbleed afetou até dois terços de todos os sites.
No segundo semestre de 2014, o McAfee Labs também revelou novas oportunidades de cibercrime desde a divulgação pública da vulnerabilidade Heartbleeed, uma vez que dados roubados de sites ainda vulneráveis estão sendo vendidos no mercado negro. Listas de sites não corrigidos têm rapidamente se tornado um sucesso entre os criminosos virtuais e há ferramentas prontamente disponíveis para plantar armadilhas nesses sites. Com essas ferramentas, é possível montar um sistema automatizado que ataca máquinas confirmadas como vulneráveis e extrai informações confidenciais.
Recentemente, os pesquisadores do McAfee Labs também identificaram novas tentativas de tirar proveito dos modelos de segurança da Internet, incluindo as vulnerabilidades do Secure Socket Layer (SSL), como as ameaças Heartbleed e BERserk, e o abuso contínuo de assinaturas digitais para disfarçar malwares de código legítimo.
BERserk
Outra ameaça que ganhou destaque foi a BERserk, uma vulnerabilidade grave de falsificação de assinatura na biblioteca de criptografia Mozilla NSS (Network Security Services), que pode permitir que pessoas mal-intencionadas criem sites fraudulentos, disfarçados de empresas e outras organizações legítimas. A biblioteca Mozilla NSS é normalmente utilizada no navegador Firefox, também pode ser encontrada no Thunderbird, Seamonkey – bem como no Google Chrome.
Apelidada de “BERserk”, essa vulnerabilidade permite que atacantes falsifiquem assinaturas do algoritmo público RSA e desviem a autenticação em sites que utilizam SSL/TLS. O algoritmo RSA é um método de criptografia que ajuda a garantir que os dados dos usuários sejam transmitidos na Web de forma segura. Quando um site cujo link começa com "https://", por exemplo, geralmente significa que é uma página segura.
No entanto, com a descoberta do BERserk, aparentemente, os hackers podem burlar a autenticação em sites que utilizam os protocolos SSL/TLS, o que significa que sites considerados livres de perigo talvez não sejam assim tão seguros. Se o usuário estiver realizando compras ou transações bancárias em um site que usa SSL (ou "https://"), é possível que as informações pessoais estejam expostas.
Shellshock
Uma nova e perigosa vulnerabilidade descoberta pelo pesquisador europeu Stéphane Chazelashas refere-se à Shellshock. Este pesquisador encontrou uma vulnerabilidade crítica no shell (uma interface) de linha de comando conhecido como Bash (ou GNU Bourne-Again Shell). O Bash é um intérprete de linha de comando para os sistemas Linux e Unix (sistemas operacionais populares usados por programadores; Unix é a base para as máquinas Apple).
O Bash, lançado em 1989, é implantado em diversos sistemas incluindo Debian, Ubuntu, MAC OS X, Android e até mesmo o Windows. A ferramenta oferece aos usuários meios para interagirem diretamente com suas máquinas. Em termos mais simples: um usuário coloca um código no Bash, que informa à máquina o que fazer com o código e, então, a máquina executa.
A vulnerabilidade Shellshock explora um bug programado no Bash que permite que código injetado arbitrário seja executado como parte da atribuição de variáveis de ambiente. A vulnerabilidade permite que hackers ou qualquer pessoa que saiba programar um código rudimentar carregue, exclua e essencialmente tome posse de um dispositivo remotamente. O Shellshock permite ainda que os hackers ataquem diretamente servidores, roteadores e computadores que compartilham atributos comuns. A distinção entre hosts vulneráveis e realmente expostos se torna fundamental neste caso. Existem inúmeras variáveis necessárias para que a exploração seja bem-sucedida e nem todas as variações do Bash são vulneráveis a essa exploração.
Clones do Flappy Birds
O segmento de jogos também foi alvo. O McAfee Labs fez um alerta para crianças e pais não serem alvos de malwares escondidos em jogos e aplicativos para dispositivos móveis. Com a popularidade e fácil acesso aos jogos online, cibercriminosos utilizam esses aplicativos para espalhar malwares a fim de infectar os aparelhos e roubar informações pessoais dos usuários.
No ano passado, o jogo Flappy Bird fez enorme sucesso entre os usuários de smartphones e tablets com mais de 50 milhões de downloads. Em seguida apareceram centenas de clones do jogo, muitos deles fraudulentos. No primeiro trimestre de 2014, a McAfee divulgou que 79% das 300 amostras de clones do jogo continham malwares que permitiam ao criminoso, entre outras atividades, realizar chamadas e enviar mensagens sem a permissão do usuário, instalar aplicativos adicionais, extrair dados da lista de contatos, rastrear localizações e estabelecer acesso remoto para o total controle do dispositivo.
Malware móvel
O McAfee Labs encontrou exemplos notáveis de malware móvel que se aproveitam dos recursos de aplicativos e serviços confiáveis, dentre eles:
- Android/BadInst.A: esse aplicativo móvel malicioso corrompe a autorização e a autenticação da conta da app store para download, permite a instalação e início automáticos de outros aplicativos sem a permissão do usuário.
- Android/Waller.A: esse cavalo de Troia se aproveita de uma falha em um serviço legítimo de carteira digital para roubar o protocolo de transferência de dinheiro e transferir dinheiro para os servidores do invasor.
- Android/Balloonpopper.A: esse cavalo de Troia se aproveita de uma falha no método de criptografia do conhecido aplicativo de mensagens WhatsApp, permitindo que os invasores interceptem e compartilhem conversas e fotos sem a permissão do usuário.
O ano de 2014 forneceu incontáveis evidências de que os desenvolvedores de malware móvel contam com essas inclinações para manipularem os recursos legítimos e conhecidos dos aplicativos e serviços móveis que conhecemos e nos quais confiamos. Os desenvolvedores têm que ser mais cuidadosos com os controles que inserem nesses aplicativos, e os usuários devem ser mais cautelosos com as permissões que concedem.
Phishing
Em agosto de 2014, foi revelado que o phishing continua sendo uma tática eficaz de infiltração em redes corporativas. Ao testar a capacidade dos usuários empresariais em detectar golpes online, o Questionário de phishing da McAfee identificou que 80% dos participantes não conseguiram detectar um a cada sete e-mails de phishing. Além disso, os resultados mostraram que os departamentos financeiro e de RH, que armazenam alguns dos dados corporativos mais sigilosos, tiveram o pior desempenho na detecção de golpes, ficando para trás em uma margem de 4 a 9%.
O McAfee Labs já coletou mais de 250 mil URLs de phishing, resultando em um total de quase um milhão de novos sites no último ano. Além do aumento no volume total, os ataques de phishing indetectáveis ficaram mais sofisticados. Os resultados mostraram que o phishing de campanha em massa e o spear phishing ainda predominam entre as estratégias de ataque usadas pelos criminosos virtuais ao redor do mundo. Enquanto isso, os Estados Unidos continuam hospedando mais URLs de phishing do que qualquer outro país.
A mais atual edição do Relatório de Ameaças do McAfee Labs, divulgado neste mês, destaca uma análise das atividades de ameaças no terceiro trimestre de 2014 e inclui as previsões de ameaças para 2015.