Brook Chelmo, estrategista de marketing de produtos de software e segurança da SonicWall, nos conta as possíveis razões para o crescimento nas variedades de novos malwares que foram detectados e apresentados no Relatório de Ameaça Cibernética SonicWall 2021
E se eu dissesse que os ataques de malware diminuíram, mas novas variantes de malware estão aumentando? De acordo com o Relatório de Ameaça Cibernética SonicWall 2021, os ataques de malware diminuíram de seu pico há três anos, registrando um declínio global de 43% em 2020. Embora pareça uma excelente notícia, o SonicWall encontrou um aumento de 73% nas variedades de novos e atualizados malware que não poderia ter sido detectado por defesas tradicionais com base em definições estáticas.
Do jeito que as coisas estão, prevemos que essa tendência continuará no futuro próximo. Mas por que isso acontece? E que significa? Eu acredito que o cenário de ameaças é muito ativo devido ao grande número de novos hackers que estão surgindo e à maior velocidade de desenvolvimento.
Novos hackers
Em minha pesquisa para minha palestra RSA sobre como a geração mais jovem está aprendendo a hackear, descobri que a série de televisão “Sr. Robot” criou vários fãs, e todos eles querem aprender como hackear. Esses jovens se interessam pelo assunto desde cedo e têm mais recursos à sua disposição do que as gerações anteriores. Existem vários locais seguros onde você pode colocar suas habilidades à prova, como “Hack the Box”. No entanto, com o tempo, eles querem colocar suas novas habilidades à prova em ambientes reais. O voluntário mais responsável por realizar testes de penetração, enquanto outros podem optar por desenvolver malware e realizar ataques.
A grande maioria dos novos hackers deseja criar algo e ver o quão longe eles podem contornar nossas defesas. Quase todo mundo que entrevistei no ano passado está entrando no mundo do ransomware, o que pode explicar por que a SonicWall viu um aumento de 62% nesse tipo de malware em 2020. As variedades que eles estão criando estão se tornando tão avançadas que me assusta. Eles deixaram de idolatrar personagens fictícios para se tornarem verdadeiros agressores. No caso do Hildacrypt , eles deixaram de fazer sua própria versão do Petya para criar uma variedade que imita as táticas da equipe que desenvolveu o ransomware SamSam.
Maior velocidade de desenvolvimento
Outros grupos se juntarão a outros invasores para criar ransomware e outras formas de malware com diferentes módulos (por exemplo, bootloaders maliciosos, executores, descriptografadores etc.) e colocá-los à prova com assuntos reais. Após uma série de ataques, eles vão ao VirusTotal para ver se alguém identificou sua variante. Depois de descoberto, eles fazem alterações no código, certificando-se de que cada arquivo usado tenha um hash diferente (hash é a forma de um computador identificar um arquivo). Eles também melhoram o rendimento da variedade para aumentar sua eficácia.
Então, o próximo ataque é lançado e o ciclo se repete. Por exemplo, havia várias versões do WannaCry nas primeiras semanas de seus primeiros grandes ataques. Embora o VirusTotal não seja a última palavra em detecção de malware, como o recurso mais conhecido, os invasores costumam verificar quando suas variedades são registradas, o que leva cerca de dois a três dias antes de terem que reforçar seus ataques. Com essas informações, eles integram novas táticas de evasão com base em quem os encontrou primeiro e trabalham para trás criando as versões 2, 3, 4, etc.
Com o tempo, esses desenvolvedores de malware podem passar de projeto em projeto, trazendo seu conhecimento e experiência para desenvolver novas variedades de malware com uma nova equipe. Quando eles têm dificuldade para criar um módulo ou resolver um problema, há um mercado ativo e barato com atendimento ao cliente disponível para ajudar a preencher as lacunas. Hoje, graças às criptomoedas, é mais fácil conseguir dinheiro por meio de ransomware e pagar alguém para ajudá-lo a desenvolver o código. Portanto, no futuro imediato, espere ver mais pessoas entrando no desenvolvimento de malware, com inúmeras novas variantes no horizonte.
Como impedir o malware do futuro
A história de ameaças persistentes avançadas vai muito além do ransomware. O outro tópico quente é, e sempre foi, a exfiltração de dados de fontes corporativas. Sempre disse que a melhor maneira de definir seu orçamento de segurança de TI é se perguntando “qual é o valor dos meus dados para um invasor?” Muitos de nós superprotegem dados que seriam de pouca utilidade para um invasor, mas deixam outros dados essenciais mais expostos porque são menos importantes para nós. Nossos dados de clientes e dados intelectuais são o que tendemos a proteger em primeiro lugar.
Ao desenvolver uma filosofia para melhorar a proteção da rede, normalmente começamos com a rede, em seguida, examinamos as conexões, depois o próprio terminal e, finalmente, seu caminho para a nuvem.
Embora não falemos de todo o processo agora, geralmente começamos com a inspeção do tráfego que acessa a rede. Como 70% das sessões são criptografadas no momento, tendemos a inspecionar esse tráfego em detalhes também. Em seguida, nos preocupamos em como inspecionar o tráfego em busca de malware desconhecido que não pode ser detectado por um firewall tradicional de última geração. Os mecanismos de sandboxing existem desde 2011 e evoluíram para verificar vários mecanismos em busca de malware – mesmo na memória do sistema, pois é onde muitos ataques (como ataques sem arquivo) tentam iniciar para ocultar como eles acessaram a rede e evitar ser detectado e interrompido por software de segurança.
Você pode acreditar que os clientes usam Capture ATP com Real-Time Deep Memory Inspection (RTDMI) para encontrar 1.400 a 1.600 novas formas de malware todos os dias úteis, muitos deles com várias táticas de evasão?
A SonicWall está na segurança de TI há 30 anos e já vimos de tudo. Deixamos de ser uma empresa de firewall para se tornar uma empresa de plataforma de segurança. É sabido que interrompemos a variedade WannaCry nas redes de nossos clientes três semanas antes de o primeiro grande ataque ser perpetrado. Detectamos e nomeamos várias variedades ao longo de nossa pesquisa e continuamos a desenvolver tecnologias novas e melhores para ajudá-lo a detectar e impedir ataques desconhecidos, de dia zero e atualizados em sua rede.