Integrasul - Controle e Imunidade Virtual: fevereiro 2012

2011 foi considerado o “Ano das Violações de Dados”, causando enormes perdas de informações e perdas financeiras a organizações em todo o mundo.

2011 foi um ano particularmente desafiador para o setor de segurança, com várias organizações sucumbindo a ataques de violação de dados direcionados que mancharam suas reputações com a perda de informações confidenciais, gerando um grande custo para reparar os danos. Dois dos maiores alvos, RSA1 e
Sony PlayStation2, não tiveram outra alternativa a não ser divulgarem publicamente os fatos sobre os ataques às suas infraestruturas, para que os clientes pudessem tomar as medidas adequadas.

ATAQUE “APT” À RSA

O Chairman Executivo da RSA, Arthur W. Covellio Jr., divulgou uma carta aberta aos clientes sobre a extensão do ataque APT;
Certas informações sobre os produtos SecurID, de autenticação de dois fatores, foram extraídas dos sistemas da RSA;
A RSA divulgou recomendações às vítimas, e substituiu tokens pertencentes a clientes do setor de defesa como forma de remediação;
As informações roubadas dos sistemas da RSA foram usadas em ataques à empresa Lockheed Martin, a maior provedora de TI do governo dos EUA;

VIOLAÇÃO DE DADOS DO SONY PLAYSTATION

A Sony foi forçada a desativar os serviços da PlayStation Network após publicar fatos pertinentes sobre um ataque direcionado;
Informações de cerca de 77 milhões de contas de usuários da PlayStation Network e Qriocity foram roubadas;
A Sony gastou pelo menos US$ 171 milhões para reparar os danos causados pelo ataque;

2011 viu o cenário de ameaças para dispositivos móveis amadurecer, como comprovado pelo aumento incrível no número de malwares para celulares.

O malware para dispositivos móveis tomou o mundo de assalto, pegando os usuários de surpresa apenas com o enorme aumento no volume para a plataforma Android. O malware para estes dispositivos invadiu a privacidade dos
usuários roubando suas informações pessoais e outras informações confidenciais. RuFraud e DroidDreamLight — são apenas duas das variantes mais conhecidas de malware para Android malware. Elas atraíram muita atenção e causaram muito prejuízo aos usuários afetados com a perda de informações e, às vezes, de dinheiro.

VARIANTES DO DROIDDREAMLIGHT

Foram geralmente encontradas em lojas independentes de aplicativos na China, apesar de algumas variantes também terem sido encontradas
no Android Market;
Se disfarçam de ferramentas de monitoramento da bateria, gerenciadores de tarefas, identificadores de aplicativos instalados, entre outras;
Roubam todos os tipos de informação pessoal e sobre o aplicativo, que são enviadas então para uma URL remota;
Secretamente enviam mensagens aos contatos do usuário infectado;
Verificam se os dispositivos infectados foram modificados para acessar o root e, em caso positivo,instalam e desinstalam certos pacotes;

VARIANTES RUFRAUD

Encontradas no Android Market;
Classificadas como “abusador de serviços premium”;
Foram removidas do Android Market pelo Google, logo após sua descoberta;
O download pode ter sido realizado por alguns usuários antes de sua remoção na loja de aplicativos oficial do Google, já que elas proliferaram a tempo da comemoração de 10 bilhões de downloads no Android Market;

2011 foi um bom ano para remetentes de spam e golpistas na mídia social, mas não foi um ano tão bom para administradores de sites e reguladores.

Golpes de pesquisa e todos os tipos de spams se aproveitando de assuntos quentes encheram os sites de redes sociais durante 2011. Armados com táticas e ferramentas aprimoradas de hacking e engenharia social, remetentes de spams e golpistas continuaram a causar estragos a todos os usuários de redes sociais no mundo todo, em busca de uma “nova moeda”: dados. Diante da situação, reguladores começaram a exigir que os sites de redes sociais implementassem políticas e mecanismos para proteger a privacidade de seus usuários.

SPAM NAS MÍDIAS SOCIAIS

Usam praticamente qualquer “trending topic” possível, como uma falsa morte de Lady Gaga, para enganar as vítimas;
Utilizam para o envio o nome de grandes empresas de mídia, como a BBC;
Utilizam links para páginas de phishing e sites falsos para hospedar malware ou redirecionar o usuário para outros sites;
Se propagam por meio da republicação automática no Mural das vítimas, ou como retweets;
Se aproveitam de tragédias como o furacão Irene para atingir o maior número de vítimas possível, principalmente para ganho financeiro;
Se aproveitam do lançamento de gadgets ou aplicativos populares para conquistar cliques;

GOLPES DE PESQUISA

Utilizam eventos populares e ofertas tentadoras, como ingressos para a estreia de um filme, para fazer com que os usuários cliquem em links para
sites de pesquisa;
As vítimas perdem seus dados pessoais ou, em casos piores, seu próprio dinheiro;

2011 ainda foi um mau ano em termos de explorações, apesar do declínio no número de vulnerabilidades publicamente divulgadas

Embora o número de vulnerabilidades publicamente reportadas tenha diminuído de 4.651 em 2010, para 4.155 em 2011, os ataques que exploram vulnerabilidades (chamados de exploits) atingiram maiores níveis de complexidade e sofisticação. Os ataques de exploits em 2011 foram direcionados, originais e bem controlados, sendo que o mais notável deles explorava as vulnerabilidades CVE-2011-3402, CVE-2011-3544 e CVE-2011-3414, juntamente com algumas vulnerabilidades de dia-zero dos produtos Adobe.

CVE-2011-3402

Uma vulnerabilidade num componente do Microsoft Windows que pode permitir a um atacante executar um código em sistemas vulneráveis;
Explorada pelo malware DUQU;

CVE-2011-3544

Uma vulnerabilidade num componente do Java Runtime Environment (JRE) do Oracle Java SE Java Development Kit (JDK) e do JRE que permite a aplicações Java Web Start e Java applets afetarem a confidencialidade, a
integridade e a disponibilidade de sistemas, por meio de vetores desconhecidos relacionados a técnicas de scripting;

CVE-2011-3414

Uma vulnerabilidade que pode elevar o nível de privilégio, caso um atacante envie uma requisição web a um alvo;
Pode causar a execução de comandos arbitrários por meio de contas existentes no site ASP.NET;
A Microsoft divulgou um patch emergencial para esta vulnerabilidade nos últimos dias de 2011;

5 PRINCIPAIS FORNECEDORES PELO NÚMERO DISTINTO DE VULNERABILDADES

Google
Microsoft
Apple
Oracle
Adobe

2011 continuou a ser infestado por ataques que usavam os vetores tradicionais. Malware, spam e links maliciosos se recusaram a desaparecer silenciosamente para o segundo plano.

Malware, spam e links maliciosos continuaram a gerar prejuízo aos usuários, causando danos de inúmeras maneiras. Malwares como SpyEye, KOOBFACE, FAKEAV,e outras variantes passaram por melhorias para provocar maiores estragos, ao mesmo tempo em que evitam serem detectados. Entretanto, os spams aparentemente se tornaram ameaças de várias plataformas, invadindo não só os sistemas dos usuários mas também seus dispositivos móveis. Links maliciosos confundiram as coisas ainda mais, afetando não apenas e-mails tradicionais e mensagens instantâneas, mas também caminhos mais populares atualmente: mensagens diretas e publicações em vários sites de redes sociais. Sejam utilizados como ferramentas de infecção individuais, ou sejam combinados para formar ameaças mistas poderosas, malwares, spams e links maliciosos continuaram a ser parte da normalidade no cenário de ameaças, permitindo que os cibercriminosos lucrassem com o roubo de dados.

VALOR DE UM NÚMERO DE CARTÃO DE CRÉDITO NO SUBMUNDO DO CIBERCRIME

US$ 1 a 3,00 por número dos EUA;
US$ 3 a 8,00 por número da América Central, Austrália e Europa;
US$ 6 a 10,00 por número da Ásia, Oriente Médio e outros países;

Uma única conta verificada do PayPal (por exemplo, ligada a um cartão de crédito ou conta bancária) custa entre US$ 1,00 e 6,00 quando US$ 1 a 3,00 por número dos EUA vendida no submundo.

“3,5 novas ameaças são criadas a cada segundo. Conforme mais empresas e usuários migram para a nuvem, os riscos de perda de dados e perdas financeiras estão maiores do que nunca.” Trend Micro

2011 testemunhou o surgimento de novos agentes de ameaças com agendas políticas.

Grupos de hackers ativistas (ou “hacktivistas”) como o Anonymous, sob a bandeira Operation AntiSec, juntamente com o LulzSec, como nos anos anteriores, continuaram a lançar suas redes sórdidas sobre os usuários da Internet. Descontentes com várias questões políticas,membros de grupos hacktivistas lançaram em todo o mundo uma diversidade de ataques contra alvos cuidadosamente escolhidos. Em 2011, os hacktivistas que costumavam lançar
ataques distribuídos de negação de serviços (DDoS) mudaram seus alvos para o roubo de dados. Apesar da notícia da dissolução da LulzSec, os ataques continuaram a ocorrer, em parte devido à natureza descentralizada dos grupos de hackers ativistas.

ATAQUE DE HACKTIVISTAS À STRATFOR

Informações de identificação pessoal (PII), inclusive dados de cartão de crédito, de alguns membros da organização foram publicamente divulgadas em 24 de dezembro de 2011;
Uma lista dos membros da organização, classificada como “clientes particulares”, também foi divulgada ao público;
O grupo Anonymous, que acreditava-se estar por trás do ataque, negou seu envolvimento;
Sabu, suposto líder do grupo LulzSec, afirmou ter sido o responsável pelo ataque;

PII ROUBADAS DURANTE O ATAQUE HACKTIVISTA À STRATFOR

68,063 números de cartões de crédito, dentre os quais cerca de 36.000 ainda estavam dentro da validade;
859,311 endereços de email;
50,569 números de telefone;
860,160 senhas no formato hash, dentre as quais cerca de 11,8% podiam ser facilmente craqueadas;
7,2 caracteres possuíam as senhas, em média;
50,618 endereços de e-mail de vítimas nos EUA;
0,75 milhões: número de usuários afetados pelo ataque hacktivista contra Stratfor.

Fonte: Cartilha MAPA ANUAL DE SEGURANÇA Trend Micro