O malware é uma ferramenta essencial para cibercriminosos. De acordo com o Relatório de Cibersegurança de 2023 da Check Point Software, 32% dos ataques cibernéticos em todo o mundo são baseados em malware multifuncional, sendo o e-mail o vetor de ataque em 86% desses casos. Os especialistas da Check Point comentam sobre os diversos tipos de malwares e como a prevenção é um elemento-chave para a defesa contra os malwares desconhecidos e os mais recentes de difícil detecção.
Bloqueio de malwares de difícil detecção
A Check Point Research alerta sobre o volume de ciberataques em crescimento com adoção de malwares de difícil detecção; e como uma solução SASE (Secure Access Service Edge) é fundamental para proteção contra tais ameaças e ataques.
Os malwares mais cruéis são os Wipers (limpadores de dados), cujo único objetivo é causar danos e destruição irreversíveis. Os Wipers foram usados muito mais vezes em 2022 que nos últimos 30 anos.
Os pesquisadores categorizaram quatro tipos de malware no Relatório de Cibersegurança de 2023: um malware multiuso, infostealers, criptomineradores e malware móvel, que são descritos brevemente abaixo. Existem muitas variantes dentro de cada categoria com diferentes táticas de distribuição. Em 2022, a Check Point Research identificou o malware que é líder global: o Emotet.
Malware multifuncional
Esse malware comum inclui cavalos de Tróia bancários e botnets. Muitas vezes é usado para obter acesso inicial a um ambiente, e diversas variantes costumam ser usadas em combinação por cibercriminosos para diferentes fins. Entre os mais conhecidos malwares dessa categoria, são: o Emotet, Qbot, Raspberry Robin e o botnet Phorpiex.
Wiper (limpador de dados) de Malware
Várias novas famílias de malware de limpeza de dados apareceram ao longo de 2022. A maioria era destinada a organizações e infraestrutura dentro de rivais políticos por hacktivistas ou atacantes de estado-nação. Os wipers são malwares cruéis projetados para infligir destruição máxima. Danos aos dados geralmente são irreversíveis.
Infostealers (ladrões de informações)
Os cibercriminosos usam infostealers para espalhar infecções de malware. Após a infecção inicial, eles procuram identificar informações de credenciais de VPN e tentam acessar as redes internas da empresa alvo.
Os infostealers afetaram 24% de todas as organizações no mundo em 2022. Os quatro mais comuns — AgentTesla, Formbook, SnakeKeylogger e LokiBot — também estão entre os seis principais malwares globais.
Criptomineradores
Em 2022, o malware criptominerador caiu de 21% em 2021 para 16% globalmente. Os atacantes usaram o XMRig, uma ferramenta legítima de mineração de código aberto, para 76% dos ataques de criptomineração em 2022.
O LemonDuck é outro malware de criptomineração. Detectado pela primeira vez em 2019, possui amplos recursos, incluindo roubo de credenciais, movimento lateral e capacidade de soltar ferramentas para ataques operados por humanos.
Ransomware e táticas de mudança
As campanhas de ransomware empregam vários tipos de malware para executar comandos do sistema, roubar dados e preparar o terreno para a demanda final de resgate. Alguns contatam os funcionários, parceiros de negócios e clientes da organização vítima para aumentar a pressão. Outros simplesmente destroem os dados em vez de criptografá-los.
Prevenção x Detecção: pare com isso rápido!
A Check Point aponta que, novos tipos de malware em constante transformação são difíceis de detectar. Eles podem escapar facilmente do software antivírus (AV), que depende de assinaturas ou hashes gerados a partir de arquivos suspeitos já conhecidos. Arquivos suspeitos recebem um hash exclusivo de caracteres alfanuméricos. O malware de dia zero ou variantes de ameaças nunca antes vistas não têm assinaturas criadas, portanto, seu software AV, SWG (Secure Web Gateway) ou firewall de última geração não pode identificá-los e bloqueá-los.
A capacidade de detectar e prevenir malware nunca antes visto é fundamental para fechar a janela de oportunidade de um atacante. É por isso que uma solução Secure Access Service Edge (SASE) focada na prevenção de ameaças é fundamental para a defesa contra novos tipos de malware.
Uma solução SASE com foco na prevenção bloqueia um malware de dia zero nos momentos mais críticos de um malware que são as primeiras horas e os primeiros dias. Em recente benchmark de segurança de firewall de próxima geração (NGFW) 2023, a Miercom mostrou que a tecnologia da solução Check Point evitou 99,7% dos novos downloads de malware, com o concorrente mais próximo alcançando 72,7%. A Check Point também teve a menor taxa de falsos positivos, 0,13%, oferecendo uma versão nativa da nuvem dos mesmos mecanismos de prevenção de ameaças, para que os clientes recebam a mesma proteção nos serviço de nuvem.
Fernando de Falchi
Capacidades que fazem a diferença
De acordo com Falchi, uma solução SASE focada na prevenção combina quatro recursos robustos que permitem evitar o malware mais recente:
• Sandboxing: Sandboxing (emulação de ameaças) inspeciona arquivos em busca de centenas de indicadores diferentes para determinar quais arquivos são maliciosos.
• Inteligência de ameaças de big data e IA: a inteligência de ameaças de big data coletada de centenas de milhões de sensores em todo o mundo, combinada com IA e mecanismos de aprendizado de máquina, permitem a identificação e o bloqueio rápidos de ameaças emergentes.
• Virtual Patching e Cloud IPS: Um sistema de prevenção de intrusão baseado em nuvem, ou Cloud IPS, interrompe o comportamento anômalo e corrige virtualmente vulnerabilidades recém-descobertas (CVEs) em navegadores, aplicações e sistemas.
• Inspeção completa de tráfego: SASE com foco na prevenção realiza inspeção completa de tráfego em todas as portas e protocolos.