Malwares não estão no passado e são uma ameaça cada vez maior

Malwares não estão no passado e são uma ameaça cada vez maior

Por Arthur Capella | 08 de Setembro de 2022 às 10h00
MargJohnsonVA/Envato Elements

Recentemente, a CISA (Cybersecurity and Infrastructure Security Agency) e outras agências governamentais emitiram um alerta sobre as cepas de malware mais observadas em 2021. De acordo com a pesquisa, a maioria dessas linhagens estão em uso há cinco anos, com diferentes variações e evoluções.

Malware, abreviação de "software malicioso", pode comprometer um sistema ao executar uma função ou processo não autorizado. Os atores cibercriminosos frequentemente usam malware para comprometer e obter acesso secretamente a um computador ou dispositivo móvel. Alguns exemplos de malware incluem vírus, worms, Trojans, ransomware, spyware e rootkits. O fato de esse tipo de ameaça ainda estar ativa e causar tantos danos está no fato de muitas empresas ainda seguirem o lema de “o que não está quebrado, não precisa ser consertado”. Isso é um erro fatal, que permite arquivos em nuvem, servidores e sistemas se tornarem vetores de ameaças.

Para se ter uma ideia desse cenário, um estudo da Forrester mostrou que 31% das empresas brasileiras sofreram ataques cibernéticos em malware de covid-19, e 9% de outros tipos da mesma ameaça. O malware é mais comumente distribuído em mensagens de phishing ou documentos e websites maliciosos. Porém, muitas vezes em lugar de depender do usuário em um email de phishing, os cibercriminosos utilizam vulnerabilidades não corrigidas para obter acesso, elevar privilégios e mover-se pelos ambientes alvo para executar código.

Ransomware é um dos tipos mais perigosos de malware nos dias atuais (Imagem: rawf8/Envato)

Para entender o perfil das vulnerabilidades mapeadas pelo alerta das agências, fizemos uma análise dos 17 CVEs (Common Vulnerabilities and Exposures) e constatamos que nove das falhas são vulnerabilidades de execução de código e cinco, de corrupção de memória. Apenas uma está relacionada à elevação da falha de privilégio, o que surpreende pois esse é um fator importante para outros agentes de ameaça.

Uma vulnerabilidade interessante é a chamada CVE-2017-11882, uma falha de execução remota de código de memória no Microsoft Office para obter acesso inicial a uma rede, podendo incluir também uma variedade de ransomware. Em 2019 foi identificada pela Cofense como o método de entrega mais comum para a disseminação de malware. Em 2022, ainda vemos rotineiramente o uso dessa vulnerabilidade.

Outras variedades que pudemos observar são utilizadas por atores principais de ecossistemas de ransomware como IABs (Initial Access Brokers), agentes especializados em obter acesso inicial a uma organização e vender o acesso a diversos outros agentes de ameaças, como os chamados afiliados — responsáveis por impulsionar os ataques. Aqui destaco que o termo “ransomware” apareceu com bastante frequência em nossas análises. Os grupos de ataques cibernéticos, que roubam dados em troca de resgates financeiros, estão se multiplicando e especializando em uma velocidade preocupante. Uma das vulnerabilidades mapeadas, a chamada CVE-2021-40444, faz execução de código remoto e foi usado por um IAB que trabalhou diretamente com o Conti, um dos grupos ransomware mais atuantes do momento.

Por conta dessa evolução tão rápida e cibercriminosos que chamo a atenção para a necessidade de prestarmos a atenção devida para listas como a divulgada em conjunto pela CISA. Elas são uma ótima oportunidade de termos uma visão mais ampla de atuação desses atores de ameaças e como podemos nos proteger deles.

*Artigo produzido por colunista com exclusividade ao Canaltech. O texto pode conter opiniões e análises que não necessariamente refletem a visão do Canaltech sobre o assunto.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.