Central de atendimento +55 (24) 2232-5850 - contato@future.com.br

ataque

19 abril 2018
adm.future
0
Categories: Blog, Segurança

Tráfego de rede não identificado ameaça empresas

Gerentes de TI não conseguem identificar 45% do tráfego de rede das organizações, sendo que cerca de um em quatro não consegue identificar 70% do tráfego. Os números são de estudo da Sophos, que abrange mais de 2,7 mil tomadores de decisão de empresas de médio porte em dez países – EUA, Canadá, México, França, Alemanha, Reino Unido, Austrália, Japão, Índia e África do Sul.

A pesquisa conclui que a falta de visibilidade cria desafios significativos de segurança para os negócios atuais e impactos no gerenciamento eficiente da rede.

Considerando o impacto que os ataques cibernéticos podem ter em um negócio, 84% dos entrevistados concordam que a falta de visibilidade no tráfego das aplicações é um problema sério de segurança. Sem a capacidade de identificar o que está sendo executado na rede, os gerentes de TI ficam na mira de ransomwares, malwares desconhecidos, violações de dados e outras ameaças avançadas, bem como atividades potencialmente mal-intencionados e usuários desonestos.

De acordo com o estudo, as organizações gastam em média cerca de sete dias úteis corrigindo por volta de 16 máquinas infectadas por mês. As empresas menores (entre 100 e 1.000 usuários) levam uma média de cinco dias úteis na remediação de cerca de 13 máquinas, enquanto as maiores organizações (entre 1.001 e 5.000 usuários) dedicam uma média de 10 dias úteis na remediação de 20 máquinas por mês.

Fonte: Computer World

Read More
18 abril 2018
adm.future
0
Categories: Blog, Segurança

Em meio a grandes escândalos, segurança de dados é peça-chave para empresas

Recentemente tiveram falhas ligadas a uma rede social com vazamento de dados pessoais de usuários e o mesmo também aconteceu em um aplicativo de relacionamento LGBT.

A falha na segurança de dados já é uma das maiores preocupações atuais. As vulnerabilidades de segurança e o vazamento de dados aumentaram consideravelmente nos últimos anos e só no ano passado mais de 40 empresas tiveram brechas reportadas.

Qualquer indústria está sujeita a violações de dados. Como resultado deste tipo de incidente, elas podem experimentar não só impactos financeiros, como também penalidades previstas na lei, queda na fidelização de clientes e na sua reputação. Mas, para implementar as políticas e controles de segurança adequados, as organizações enfrentam sérios obstáculos para proteger os dados.

Para alavancar o sucesso na proteção de dados, o avanço das políticas corporativas de segurança é mandatório. Qualquer organização que esteja lidando com a privacidade de seus clientes deve investir em eficiência de segurança, isto é, em políticas mais rigorosas e tecnologias avançadas.

As políticas de segurança bem planejadas são estratégicas para qualquer organização. Elas devem definir quem gere o programa de segurança, o que é prioritário em termos de prevenção e proteção, quando e onde acionar as medidas necessárias e quais são estas medidas.

É necessário prestar atenção especial em:

– Métodos aceitáveis de compartilhamento de arquivos
– Diretrizes de uso da Internet
– Uso adequado de dispositivos sem fio
– Uso adequado de tecnologias criptografadas
– Políticas de senha
– Aplicações proibidas
– Serviços proibidos
– Políticas de Privacidade
– Políticas de backup
– Acesso remoto aceitável
– Descarte adequadamente os dados (sensíveis e não sensíveis)
– Políticas de spam

Para começar a desenvolver políticas de segurança, deve-se realizar uma avaliação de segurança nas operações atuais. Isso é instrumental para identificar as lacunas e os pontos fortes. Depois disso, é hora de identificar quais as tecnologias e ferramentas ainda são necessárias na estratégia de segurança para proteger melhor os dados. Usar um framework, como NIST, ISO, PCI DSS, SANS ou outros, deve facilitar a avaliação.

Quando se trata de proteger dados confidenciais, algumas das ferramentas-chave são a criptografia, o monitoramento regular, os backups e as soluções de endpoint. A criptografia é focada inteiramente em dados, no seu armazenamento, proteção e transmissão. As soluções de endpoint podem usar criptografia para evitar perda de dados e vazamento, impor políticas de proteção de dados unificadas em todos os seus servidores, redes e dispositivos, reduzindo assim o risco de violação de dados.

Ferramentas como IDS/IPS e SIEM são importantes no monitoramento de atividades mal-intencionadas na rede e para alertar a equipe apropriada para responder ao evento. Por fim, uma solução de backup pode ajudar a restaurar a perda de dados por erro humano, durante um ataque de ransomware, por exemplo.

Fonte: Computer World

Read More
16 abril 2018
adm.future
0
Categories: Blog, Segurança

Tentativas de fraude no e-commerce crescem 14% no Brasil

A cada R$100 gastos em lojas on-line no Brasil em 2017, R$3,42 sofreram tentativas de fraude, um aumento de 14% em relação ao ano retrasado. É o que mostra o Mapa da Fraude 2018, estudo de empresa que contempla informações sobre tentativas de fraude no e-commerce brasileiro

Gerente de Inteligência Estatística de empresa, explica que o aumento nas tentativas de fraude não possui um motivo específico. “Os fraudadores são muito criativos e criam novas formas de fraudar todos os dias. As compras pela internet são cada vez mais comuns e os fraudadores estão cientes disso. No ano de 2017 um número maior de vazamento de dados foi identificado, mostrando que os fraudadores estão encontrando novas formas de cometer fraudes”.

Segmentos

O setor de bebidas aparece pela primeira vez como um dos segmentos mais visados pelos fraudadores. Isso pode ocorrer por conta do aumento de bloqueio de fraudes nos outros setores, o que consequentemente faz o fraudador buscar novas alternativas de produtos com um alto valor e fácil revenda. O setor de celulares e de vídeo games estão, respectivamente, em primeiro e segundo lugar entre as tentativas de fraude.

“O Mapa da Fraude nos permite entender quais os momentos que os fraudadores agem e quais são os produtos que procuram. Um dos grandes desafios do lojista é identificar e diminuir as fraudes impulsionando as boas compras. E o consumidor pode usar das novas tecnologias do mercado para manter seus dados protegidos”, completa.

Fonte: Computer World

Read More
13 abril 2018
adm.future
0
Categories: Blog, Segurança

Web Application Firewall está presente em 70% das empresas, diz estudo

Levantamento realizado pela F5 Networks aponta que o WAF (Web Application Firewall) já está presente em 70% das empresas. Em 2015, apenas 56% das corporações contavam com esta tecnologia em seus ambientes, o que mostra o forte avanço deste tipo de aplicação.

O estudo mostra também que, em meio à era da transformação digital, quatro em cada cinco novos serviços de aplicação são soluções de segurança.

Em outro resultado expressivo, 43% dos entrevistados disseram que o pior cenário que poderia acontecer às suas empresas seria implementar uma nova aplicação sem os corretos recursos de segurança.

Roberto Ricossa, Vice-Presidente de vendas e marketing da F5 América Latina e Caribe, ressalta que esses profissionais sabem que a inovação precisa da infraestrutura de segurança para ser bem-sucedida.

WAF

Solução cada vez mais estratégica para as empresas que vivem plenamente a transformação digital, o WAF protege a camada 7 – a das aplicações – de ataques de hackers. Para isso, “aprende” o funcionamento da aplicação que deve ser protegida e filtra os acessos a esse sistema, identificando com precisão o que é um acesso legítimo, o que é um malware.

Essa plataforma atua, também, como uma alavanca de inovação corporativa. “O WAF demanda que os times de desenvolvimento de aplicações e de infraestrutura juntem suas forças e atualizem processos e práticas de TI”, observa Ricossa. “O resultado é algo buscado por todas as empresas: a garantia de que as políticas de segurança da empresa serão minuciosamente seguidas pelas aplicações – seja um Internet Banking, seja o sistema que controla milhares de devices IoT em uma planta industrial”.

Avança na América Latina e no mundo

Entre os 177 questionários respondidos na América Latina, 19% dos profissionais disseram usar WAF para proteger 100% de suas aplicações Web. O maior número, 27%, empregam WAF para defender entre 1 e 24 aplicações corporativas.

No caso dos CISOs globais, o quadro é ligeiramente diferente: 13% disseram contar com WAF para proteger todas as suas aplicações Web. O maior número (34%) emprega WAF para garantir a integridade de um grupo que inclui de 1 a 24 aplicações corporativas. 2% disseram não usar WAF.

Fonte: Computer World

Read More
11 abril 2018
adm.future
0
Categories: Blog, Segurança

Hackers: entenda suas principais estratégias e motivações

Seja qual for a ameaça, ela está chegando ao seu computador de duas maneiras: adversário humano ou malware. Os invasores humanos podem usar qualquer uma das centenas de milhares de explorações de computador conhecidas e metodologias de ataque para comprometer um computador ou dispositivo. As pessoas devem executar rotinas de patches, e muitos dispositivos e programas de software tentam atualizar-se automaticamente, mas muitos computadores e dispositivos ficam vulneráveis ​​por longos períodos de tempo, mesmo depois de os patches estarem disponíveis, um fato que os hackers adoram.

Os programas originais de malware chegam a centenas de milhões, com dezenas de milhares de novos programas criados e lançados a cada dia. As três principais categorias de malware são vírus (auto-replicantes), worms (auto-viagem) e programas cavalo de tróia (que exigem uma ação do usuário final para executar). O malware de hoje, geralmente chegando via página da web ou e-mail, é uma combinação de várias classes de malware. Muitas vezes, o primeiro programa de malware a explorar um sistema é apenas um programa de “stub downloader”, que obtém acesso inicial e depois “telefones de casa” para obter mais instruções e para baixar e instalar malwares mais sofisticados.

Muitas vezes, o programa irá baixar mais de uma dúzia de novas variações de malware, cada uma projetada para evitar a detecção e remoção de antimalware. Os criadores de malware mantêm seus próprios serviços de detecção de malware, semelhantes ao VirusTotal legítimo do Google, que é vinculado a um serviço de atualização automatizado que modifica seu malware para que não seja detectado pelos mecanismos antimalware atuais. É essa atualização quase instantânea que faz com que muitos programas de malware “exclusivos” sejam criados e distribuídos.

O escritor ou distribuidor de malware também pode ser pago para infectar dispositivos de pessoas com tipos completamente diferentes de malware. É um mercado de locatários e, se o controlador de malware conseguir ganhar mais dinheiro alugando os dispositivos comprometidos do que conseguirá sozinho, eles farão isso. Além disso, é muito menos risco para o controlador no final.

Muitos hackers (e grupos de hackers) usam malware para obter acesso em uma empresa ou uma variedade muito maior de vítimas-alvo e, em seguida, selecionam individualmente algumas das metas já comprometidas para gastar mais esforços. Outras vezes, como acontece com a maioria dos ransomwares, o programa de malware é toda a bola de cera, capaz de comprometer e extorquir dinheiro sem qualquer interação de seu líder malicioso. Uma vez liberado, tudo que o hacker tem a fazer é coletar os ganhos ilícitos. O malware é frequentemente criado e depois vendido ou alugado para as pessoas que o distribuem e usam.

Por que hackers hackam?

As razões pelas quais os hackers cometem crimes se enquadram nessas categorias gerais: Motivações financeiras; Estado-nação patrocinado/cyberwarfare; Espionagem corporativa; Hackivistas; Roubo de recursos.

O roubo financeiro e os ataques de estado-nação são facilmente a maior parte do cibercrime. Décadas atrás, o único e solitário hacker jovem alimentado por junk food era uma representação adequada do hacker comum. Eles estavam interessados ​​em mostrar a si mesmos e aos outros que podiam hackear algo ou criar malwares interessantes. Raramente eles causaram danos reais.

Hoje, a maioria dos hackers pertence a grupos profissionais, que são motivados por tomar algo de valor e, muitas vezes, causar danos significativos. O malware que eles usam é projetado para ser o mais encoberto possível e ter o máximo de algo de valor possível antes da descoberta.

Como os hackers hackam?

Independentemente de suas motivações, os hackers ou seus malwares costumam invadir e explorar um sistema de computador da mesma maneira e usam a maioria dos mesmos tipos de explorações e metodologias, incluindo: Engenharia social; Vulnerabilidades de software e hardware não corrigidas; Ataques de dia zero; Ataques do navegador; Ataques de senha; Escutar; Negação de serviço; Ataques físicos.

Esta lista não inclui ameaças internas, vazamentos de dados não intencionais, configuração incorreta, erros de usuários e uma variedade de outras ameaças não conectadas diretamente a invasões intencionais. As formas mais comuns de comprometimento dos dispositivos são software sem patches e engenharia social. Essas ameaças comprometem a grande maioria do risco (mais de 95%) na maioria dos ambientes. Corrigir esses problemas e você se livrar de uma tonelada de risco.

Ataques de dia zero, em que um programa de hackers ou malware explora uma vulnerabilidade desconhecida do público, são sempre interessantes quando ocorrem porque o fornecedor ainda não tem um patch para eles. Geralmente, exploram apenas uma empresa, ou algumas empresas, antes de serem encontradas, analisadas e corrigidas. Muito mais zero dias provavelmente estão sendo usados, especialmente por estados-nação, do que imaginamos, mas como eles são usados ​​com muita parcimônia por esses tipos de hackers, raramente os descobrimos, e eles podem ser usados ​​repetidas vezes quando necessário.

A grande maioria dos exploits maliciosos vem da internet e exige que o usuário faça alguma coisa – clique em um link, baixe e execute um arquivo, ou forneça um nome de logon e uma senha – para que a malícia comece. As melhorias de segurança do navegador tornaram menos comuns os ataques “silenciosos”, em que uma ameaça é executada sem ação do usuário quando um usuário visita uma página da Web ou abre um e-mail.

Proteção contra hackers

A chave para derrotar hackers e malwares, independentemente de sua motivação, é fechar os buracos de exploração de causa raiz que permitem que eles e seus malwares sejam bem-sucedidos. Dê uma olhada nos exploits de causa raiz listados acima, determine quais deles são mais usados ​​em sua organização e crie ou melhore as defesas existentes para minimizá-las. Se você puder fazer isso, você criará uma defesa de segurança sólida e inigualável.

Fonte: Computerworld

Read More
10 abril 2018
adm.future
0
Categories: Blog, Segurança

Hackers organizam ciberataque global e atingem mais de 200 mil switches

Quem anunciou o ataque pela primeira vez foi o Ministério de Comunicação e Tecnologia da Informação do Irã, país que contabilizou 3,5 mil switches comprometidos durante o golpe. Curiosamente, a região estadunidense foi a que mais sofreu com tal ação, tendo 55 mil equipamentos invadidos; em segundo lugar vem a China, onde 14 mil aparelhos caíram nas mãos dos hackers. Também foram identificados focos de invasão na Europa e na Índia, mas com uma incidência menor de infecções.

Ao site Motherboard, os atacantes (se comunicando de forma anônima) afirmaram que o objetivo era protestar contra a Rússia e suas supostas interferências na eleição dos Estados Unidos. De fato, uma das vítimas foi a Rússia, mas diversos outros países foram pegos no fogo cruzado.

Fonte: canaltech

Read More
9 abril 2018
adm.future
0
Categories: Blog, Segurança

Hackers dão prejuízo de US$ 600 bilhões à economia global

Os ataques cibernéticos aos governos e à sociedade ocorridos nas duas últimas semanas, que afetaram pelo menos quatro gasodutos e órgãos de serviços públicos nos Estados Unidos, causam preocupação. Dados de diversas empresas de segurança cibernética, apresentados pelo engenheiro de soluções tecnológicas no evento Mind The Sec Summit 2018, edição Brasília, mostram que, em 2017, os prejuízos causados pelos hackers somaram US$ 600 bilhões para a economia global.
Quando se trata do Brasil, o clima e a sensação de falta de segurança são piores, quando colocados no atual cenário de proximidade das eleições. Segundo o diretor Nacional de Tecnologia de empresa de renomada, o risco é de conhecimento das empresas e dos governos. Ele afirma que os ataques não devem diminuir ou aumentar, e lembra que eles ocorrem constantemente. “Agora, o assunto da vez não é político. Mas, quando as eleições chegarem, ele será”, avisa.
Para o analista do Banco Central do Brasil Rafael, o Brasil contém excelentes hackers que trabalham nesses sistemas de defesa. “A defesa cibernética do Brasil é bem robusta, o que não exclui a possibilidade de ataques. Se fizer o trabalho certo, a proteção é maior”, afirma.

Ele lembra que ocorreram no Brasil ataques de cunho político a bancos brasileiros. Porém, ele informa que, geralmente, o objetivo não é roubar dinheiro, mas prejudicar a imagem das instituições ou causar incômodo aos clientes. “No Banco Central, estamos trabalhando para ampliar nossa tecnologia nesse sentido”, diz.
Alvo preferido
O engenheiro de soluções tecnológicas, explicou que o Brasil é um dos alvos preferidos para os ataques pears phishing, por meio de “e-mails fajutos” e mensagens de SMS devido à facilidade. “Somos alvos fortes. Os ataques cibernéticos visam dinheiro e é muito fácil para as pessoas caírem nesses específicos”, afirma. Segundo ele, o risco de realizar um ataque desses é baixo, uma vez que o hacker normalmente está em outro país e não tem conexão direta com a vítima.
Outro ponto destacado é o baixo custo de um ataque. “Em uma leva de 100 mil mensagens de SMS, um grupo de 10 mensagens deve custar menos de um centavo”, estimou. Ele esclareceu que os hackers costumam conseguir se manter um passo à frente porque a tecnologia que eles usam para atacar é a mesma para defender ou recuperar o servidor. “É um jogo de gato e rato e, por isso, é importante ter uma análise de comportamento”, completa.
O preço médio de uma violação virtual para uma empresa é de US$ 5 milhões. Segundo os dados, a partir do momento em que um hacker invade um sistema, em 48 horas ele  consegue se tornar administrador do servidor e tem 97 dias para colher tudo o que quer e sair sem deixar vestígios, ou seja, ele consegue passar 99 dias infiltrado no servidor sem ser detectado.
O estudo By the Numbers: Global Cyber Risk Perception Survey” (Pelos números: Pesquisa da Percepção de Riscos Cibernéticos Globais), concluiu que dois terços dos entrevistados — mais de 1.300 executivos de todo o mundo — apontaram a cibersegurança como uma das cinco prioridades de gestão de riscos das suas organizações, o dobro em comparação ao resultado de 2016.
A Future possui as melhores soluções e serviços para a sua empresa. Saiba mais clicando aqui.
Read More
6 abril 2018
adm.future
0
Categories: Blog, Segurança

Ataque hacker afeta empresas de serviços públicos nos EUA

Um ciberataque que afetou as operações de pelo menos quatro empresas de gasodutos no fim da semana passada também provocou mudanças dentro do setor de empresas de serviços públicos.

A Duke Energy, a segunda maior concessionária dos EUA por valor de mercado, afirmou que soube do ataque em 30 de março. A Duke se preocupou porque compartilha dados de clientes com dezenas de fornecedores externos de eletricidade e gás em Ohio através de um sistema eletrônico operado pela Energy Services Group (ESG).

Temendo o comprometimento dessas informações, a Duke, com sede em Charlotte, Carolina do Norte, abandonou o sistema da ESG, disse Catherine Butler, porta-voz da Duke, por e-mail. Como resultado, alguns clientes em Ohio podem receber com atraso a conta de luz mensal ou talvez recebam contas parciais, disse ela.

Por sua vez, a ESG informou na quarta-feira que seus sistemas voltaram a funcionar. “Estamos concluindo testes e a validação do sistema para que todos os clientes voltem a uma operação segura” e a companhia está trabalhando com uma das principais empresas de investigação de crimes cibernéticos, disse Carla Roddy, diretora de marketing da ESG, por e-mail.

Pelo menos cinco operadoras de gasodutos dos EUA anunciaram que seus sistemas eletrônicos de comunicações foram desligados nos últimos dias, e quatro confirmaram que as interrupções no serviço foram causadas por um ciberataque. A Energy Transfer Partners, a Boardwalk Pipeline Partners, a Eastern Shore Natural Gas, que é uma unidade da Chesapeake Utilities, e a Portland Natural Gas Transmission System, que é operada pela TransCanada, foram algumas das empresas afetadas pela paralisação dos dados, e a Oneok informou que desligou seu sistema por precaução.

Os sistemas eletrônicos da ESG ajudam os operadores de gasodutos a acelerar o monitoramento e a programação dos fluxos de gás. A empresa também fornece preços da eletricidade e modelos de demanda de que os fornecedores de eletricidade dependem para elaborar a conta de residências e empresas, e para determinar o volume da oferta que deve ser reservada para clientes em mercados atacadistas, disse Michael Harris, CEO da Unified Energy Services, uma consultoria com sede em Houston.

Alvo tentador

Os sistemas de gás natural e as redes elétricas estão se tornando cada vez mais eletrônicos graças à atualização da infraestrutura antiga. Hackers tendem a atacar a infraestrutura de energia por causa da magnitude do impacto do setor na vida das pessoas, disse Scott Coleman, diretor de marketing e gestão de produtos da Owl Cyber Defense, que trabalha com produtores de petróleo e gás.

Se um hacker paralisar uma subestação elétrica, 20.000 pessoas podem ser afetadas, disse ele.

“Continuamos descobrindo mais informações sobre os incidentes cibernéticos que afetam os sistemas das operadoras de gasodutos, como os da Energy Transfer Partners, mas já deveria estar bem claro que todas as empresas enfrentam riscos com a segurança cibernética”, disse o representante James Langevin, um dos presidentes da convenção bipartidária de segurança cibernética do Congresso dos EUA.

A Future possui as melhores soluções e serviços para manter sua empresa sempre segura. Saiba mais clicando aqui.

Fonte EXAME 

Read More
5 abril 2018
adm.future
0
Categories: Blog, Segurança

Cryptojacking: como detectar e evitar o malware de mineração de criptomoedas

Hackers estão se voltando para o cryptojacking – infectando a infraestrutura corporativa com software de mineração de criptomoedas – para ter um fluxo de receita estável, confiável e contínuo. Como resultado, eles estão ficando muito espertos em esconder seu malware.

O fato é que as empresas estão muito atentas a quaisquer sinais de dados críticos sendo roubados ou criptografados em um ataque de ransomware. Mas o cryptojacking é mais furtivo e pode ser difícil para as empresas detectarem. O dano causado é real, mas nem sempre é óbvio.

O dano pode ter um impacto financeiro imediato se o software infectar a infraestrutura em nuvem ou aumentar a conta de eletricidade. Também pode prejudicar a produtividade e o desempenho ao deixar máquinas mais lentas.

“Com CPUs que não são feitas especificamente para a mineração de criptomoedas, isso pode ser prejudicial para o seu hardware”, alerta analista de inteligência de empresa de segurança.

O criptojacking está nos estágios iniciais. Se uma empresa detectar um tipo de ataque, haverá quatro ou cinco outros que sobreviverão. “Se há algo que poderia potencialmente impedir os mineradores de criptografia, seria algo como uma rede neural bem treinada”, diz.

É exatamente o que alguns fornecedores de segurança estão fazendo – usando o aprendizado de máquina e outras tecnologias de inteligência artificial (AI) para identificar os comportamentos que indicam a mineração de criptomoedas, mesmo que esse ataque em particular nunca tenha sido visto antes.

Defesa

Muitos fornecedores estão trabalhando na detecção da atividade de mineração de criptomoedas no nível da rede. “Detecção [no endpoint] agora é muito complicado”, diz CTO de empresa de segurança. “Pode ser em qualquer coisa, desde dispositivos móveis até IoT, laptops, desktops e servidores. Pode ser intencional ou não intencional. É extremamente amplo.”

Todo malware de cryptojacking tem um aspecto comum. “Para minerar qualquer criptomoeda, você deve ser capaz de se comunicar, receber novos hashes e, depois de calculá-los, devolvê-los aos servidores e colocá-los na carteira correta. “Isso significa que a melhor maneira de detectar a mineração de criptomoedas é monitorar a rede em busca de atividades suspeitas.”

Infelizmente, o tráfego de criptografia pode ser muito difícil de distinguir de outros tipos de comunicação. As mensagens reais são muito curtas e os criadores de malware usam uma variedade de técnicas para ofuscá-las. “É extremamente difícil escrever uma regra para algo assim”, diz. “Assim, muitas empresas não conseguem detectá-lo. Quase todas as organizações acima de 5 mil funcionários já têm os dados – o único problema é que é muito difícil repassar a enorme quantidade de dados que eles têm”, aponta.

A mineração de criptomoedas também tem um tamanho de mensagem incomum. O tráfego de entrada, o hash, é curto. Os resultados de saída são ligeiramente mais longos.

Mesmo se o tráfego for criptografado – e agora 60% de todo o tráfego da rede é – a periodicidade das comunicações, os comprimentos das mensagens e outros indicadores sutis se combinam para ajudar o sistema a identificar as infecções. De fato, quando a mineração de criptomoeda apareceu pela primeira vez, uma plataforma sinalizou como possivelmente maliciosa antes mesmo de saber o que era. “Agora, depois que nossos usuários olharam para o site, eles disseram: ‘Ah, é uma mineração de criptomoedas!’ e o software agora classifica corretamente também “, explicou.

Nem todo mundo vai optar por automatizar uma resposta, acrescenta. Por exemplo, um site legítimo pode ter sido invadido. “Nossa tecnologia tem a capacidade de recomendar a melhor solução – recriar a imagem da máquina ou bloquear o destino – e o cliente pode escolher qual é o melhor curso de ação nesse caso específico.”

Não são apenas os computadores que estão vulneráveis – qualquer coisa com ciclos de computação pode ser usado para esse fim. “Estamos cercados por tantas coisas com um endereço IP que está conectado à internet, que pode ser conectado para fazer um supercomputador a minha criptomoeda. Um termostato não vai realmente produzir nada, mas quando você o reúne em um grande piscina mineira, cem mil deles, é o suficiente para fazer a diferença.”

Outra plataforma que não causa muito impacto isoladamente, mas pode resultar em algum dinheiro sério, é a ferramenta de criptomining baseada em navegador, como o Coinhive. A ferramenta de mineração de criptografia é executada em JavaScript e é carregada por sites infectados ou, às vezes, por sites em que os proprietários deliberadamente decidem arrecadar dinheiro sequestrando as máquinas de seus visitantes.

“Um ou dois computadores podem não ser importantes, mas se você tiver milhares de computadores, começará a afetar os recursos e a largura de banda da corporação”. “Certas corporações podem até não ter permissão legal para minar criptomoedas por várias razões regulatórias.”

Uma maneira garantida de se defender contra o cryptojacking baseado em navegador é desativar o JavaScript. Essa é uma opção nuclear, pois o JavaScript é usado para fins legítimos em toda a web. O software antivírus também pode bloquear alguns ataques baseados em navegador, diz pesquisador de segurança.

Endpoint

Outra abordagem para detecção de cryptojacking é proteger o endpoint. De acordo com vice-presidente de gerenciamento e estratégia de produtos, os atacantes podem escapar das defesas baseadas em rede usando criptografia e canais de comunicação menos visíveis. “A maneira mais eficaz de detectar a mineração por criptomoeda é diretamente no terminal”, diz ele. “Por isso, é vital monitorar efetivamente os sistemas para alterações e determinar se eles estão autorizados ou não.”

Em particular, a tecnologia de proteção de endpoints tem de ser inteligente o suficiente para capturar ameaças anteriormente desconhecidas, não apenas bloquear atividades ruins conhecidas, diz diretor de serviços, um fornecedor de proteção de terminais. Isso não se limita apenas ao malware executável, acrescenta. “Os atacantes agora estão usando linguagem de script, aproveitando o software que é legitimamente usado em seus computadores e sistemas e usando-o de maneira ilegítima”.

Ameaça interna

Quando o software é deliberadamente instalado por um usuário legítimo, detectá-lo é ainda mais desafiador, diz analista. “Acabei de ter um caso há algumas semanas, uma investigação com um insider desonesto, um funcionário descontente”. “Ele decidiu que a implantação de software de criptografia em todo o ambiente seria parte de sua saída e uma maneira de mostrar seu desprezo pela empresa.”

O que tornou isso particularmente difícil foi que o informante estava ciente de como sua empresa estava detectando a mineração de criptomoedas e impedindo sua disseminação. “Ele começou a nos pesquisar e ler alguns dos artigos que foram publicados”, diz. “Nós os encontramos em sua história do navegador da Web. Ele estava ativamente tentando nos subverter.”

As políticas corporativas podem não proibir especificamente os funcionários que executam operações de mineração de criptomoedas usando recursos corporativos, mas a criação de tal operação provavelmente será arriscada para um funcionário. “O projeto vai aparecer e você será demitido”, diz diretor sênior de pesquisa e inteligência de ameaças. “Então, esse provavelmente seria um esquema de curta duração, mas se você tivesse a capacidade de controlar os registros, um funcionário mal-intencionado poderia ganhar um centavo decente ao lado por algum tempo.”

As instituições de ensino são particularmente vulneráveis, acrescentou. “Muitas das pessoas que vêm até nós pedindo ajuda são universidades”. “Os estudantes estão apenas conectando o sistema ASIC [crypto mining] no dormitório e aumentando a conta de luz. A universidade está pagando a conta, então isso custa. Os estudantes não entraram ilegalmente no sistema”.

Os funcionários também podem ligar seus próprios equipamentos, e pode ser difícil identificar a causa real de um pico em uma conta de luz. “Eles provavelmente o encontrariam andando e vendo qual era a área mais quente”, sugere.

Os invasores externos com credenciais roubadas também poderiam fazer isso, acrescenta. Na verdade, a Amazon agora oferece instâncias do EC2 com GPUs, o que torna a mineração de criptografia mais eficiente. Isso torna ainda mais caro para a empresa pagar a conta.

A Future possui as melhores soluções e serviços para manter sua empresa sempre segura. Saiba mais clicando aqui.

Fonte: ComputerWorld

Read More
4 abril 2018
adm.future
0
Categories: Blog, Segurança

11 motivos para ainda temer o ransomware

As ferramentas e técnicas de detecção e recuperação de ransomware estão melhorando. Infelizmente, os desenvolvedores de ransomware também. Eles estão tornando o ransomware mais difícil de encontrar e os arquivos criptografados mais difíceis de recuperar.

Uma vantagem que as operações de segurança tiveram sobre o ransomware é que ele é previsível. Ele funciona de forma linear, o que oferece às ferramentas e equipes de segurança uma oportunidade de limitar os danos quando o ransomware é detectado. Agora, estamos vendo sinais de que os criadores de ransomware estão tornando seu trabalho menos previsível.

“No final do dia, ransomware tem que fazer algo, como substituir ou bloquear o sistema de arquivos”, diz pesquisador sênior de segurança, análise e pesquisa global de empresa. A atividade linear associada à sobrescrita ou ao bloqueio de dados torna o ransomware fácil de detectar, observa ele. “Se você pensar em todos os arquivos em um sistema como uma lista, o ransomware vai direto para a lista e começa a criptografá-los”, diz.

Mas os hackers estão tentando mudar a natureza previsível do ransomware para evitar a detecção. Estes são alguns dos novos truques que estão usando. 

1. Abrandando o processo de criptografia
“Alguns criadores de ransomware espalharam essa rotina um pouco para que não acontecesse de uma só vez. Acontece durante um longo período de tempo ”, diz. O objetivo é estar abaixo do limite de qualquer ferramenta de detecção. “Diga que o AV está procurando por 1.000 arquivos sendo acessados ​​em 10 segundos. Talvez eles aumentem esse prazo em 10 minutos para que a detecção não aconteça ” “Temos visto mais e mais disso”. Um grande risco de alongar a criptografia por um longo período de tempo, segundo ele, é que os arquivos de backup também podem ser criptografados.

2. Randomizando o processo de criptografia
Os criadores de ransomware também estão randomizando sua abordagem para criptografar ou sobrescrever arquivos, em vez de passar por eles de forma linear. Isso ajuda a evitar a detecção por ferramentas anti-ransomware que buscam por um padrão mais linear.

3. Entregando ransomware por meio de arquivos em vez de e-mail
Os links maliciosos no email ainda são, de longe, o método mais comum para fornecer ransomware. À medida que as organizações fazem um trabalho melhor de instruir os usuários a não clicar em links de e-mail questionáveis, alguns criminosos de ransomware estão mudando de tática. Em vez de um link, eles usam um anexo de documento que pode ser um PDF, um DOC Word ou outro tipo de arquivo comum. Esse documento contém um script que inicia o ransomware.

4. Criptografando o código do disco rígido
Talvez mais diabólicos, alguns hackers estão ignorando os arquivos e indo direto para o código no disco rígido. “Vimos rensomware que visam o registro mestre de inicialização. É o começo do disco rígido ”, diz especialista. “Se eles podem corromper isso, então eles podem reter o resto do seu disco rígido sem ter que criptografar todos os arquivos.”

5. Usando o código polimórfico
O uso de código polimórfico também complica a detecção de ransomware. “Para cada instância em que o malware é instalado em uma vítima diferente, ele irá alterar um pouco seu código antes de se espalhar novamente”. “Isso torna difícil detectar estatisticamente os arquivos de ransomware.”

Especialista afirma ainda que a frequência com que o código polimórfico muda – tão rapidamente quanto a cada 15 ou 20 segundos – é o que cria o desafio para os esforços de detecção. “Depois de descobrir a assinatura desse ransomware, fica mais fácil parar”, diz ele. “No entanto, como o código continua mudando, parece ser um novo ransomware, tornando muito difícil pará-lo.”

6. Usando ataques multi-threaded
O típico ataque de ransomware lança um único processo para realizar a criptografia. Em um ataque de ransomware multi-threaded, o código do ransomware principal inicia vários processos-filhos para acelerar o processo de criptografia e dificultar a sua interrupção. “Talvez você possa parar um ou dois, mas os outros executam e continuam a causar danos”. “Torna-se exponencialmente mais difícil impedir os ataques paralelos.”

Um cenário de horror que ele vê são os ataques multi-thread combinados com o código de ransomware polimórfico. “Você pode rapidamente sobrecarregar o processador e a memória, reduzindo a performance da máquina rapidamente”, diz ele.

7. Melhorando suas habilidades de escrita de código
A descriptografia está ficando mais difícil à medida que os desenvolvedores de ransomware aprimoram seu ofício. “Obter uma ferramenta de descriptografia depende de algumas coisas”, diz. “O autor do ransomware cometer um erro ao implementar o processo de criptografia. Não fazer o gerenciamento de chaves adequado, por exemplo, ou usar um gerador de números predicáveis ​​para uma chave. ”Esses erros permitem que os pesquisadores determinem as chaves de descriptografia do ransomware.

“Isso acontece mais vezes do que o esperado”. “Geralmente os caras que escrevem essas coisas não são especialistas em criptografia.” Ele vê essa mudança, observando que está ajudando com um caso que envolve uma nova versão do ransomware Crysis. “Com as versões anteriores do Crysis, o autor cometeu erros com a criptografia, então pudemos escrever decifradores. Agora eles consertaram e não há como decifrá-lo”.

8. Ransomware como distração
Outra tendência que ele viu crescer rapidamente no ano passado é o uso de ransomware como distração para esconder outro tipo de ataque. “Eles estão usando o ransomware como um ataque simples e destrutivo, talvez para agravar ainda mais a agenda política ou causar estragos na Internet, ou usá-lo para encobrir a instalação de malware em outro lugar.”

Usar o ransomware para obter ganhos financeiros ainda é o motivo mais comum para os criminosos. De acordo com uma pesquisa recente, 62% de todos os ataques de ransomware são para ganho financeiro, enquanto 38% são para atrapalhar os negócios. Apenas 24% são motivados politicamente. Especialista se preocupa que isso possa mudar. “Nós temos alguns atores que realmente cruzaram essa linha. Mais atores adotarão essa técnica. ”Ele cita uma onda do ransomware WannaCry que deixou os arquivos sem nenhuma maneira de descriptografá-los.

Os dois grupos que costumam comentar nos noticiários mais propensos a lançar ataques de ransomware destrutivos são atores patrocinados pelo Estado em nome de governos como os do Irã ou da Coreia do Norte e hacktivistas. “Isso não é algo que um colegial possa fazer. Para lançar uma campanha destrutiva de sucesso, você precisa de uma exploração, diz Bartholomew. Ele cita o WannaCry usando um exploit para o qual ninguém tinha um patch. “Não havia como impedir que essa coisa se espalhasse no começo.”

A única maneira de uma organização se proteger contra esses tipos de ataques de ransomware é manter uma boa higiene de segurança, garantir que seus usuários recebam treinamento de ransomware adequado e que tenham sólidos processos de backup e recuperação. Ele observa que algumas empresas usam thin clients onde não há disco rígido nos sistemas dos usuários, onde eles entram em um sistema virtual. “Esses são fáceis de reverter porque são sistemas virtuais”, diz ele.

9. Direcionando para sistemas operacionais dsatualizados
As versões mais recentes do Microsoft Windows 10 e do Apple MacOS são mais difíceis de atacar que as anteriores. A boa notícia para o ransomware é que existem milhões de sistemas mal corrigidos e desatualizado.

10. Encontrando novas maneiras de se mover lateralmente através da rede
Espera-se que incidentes de movimentação lateral de ransomware “aumentem significativamente”. Um usuário pode usar um dispositivo móvel em um Starbucks ou hotel, por exemplo, e alguém carregar um malware no dispositivo por meio de uma porta de comunicação comprometida. “A partir daí, eles podem atravessar a rede e entrar nos servidores da empresa”, diz ele. “Isso tem uma probabilidade muito alta de aumentar”, alerta.

11. Atrasando ataques de ransomware
Uma tática que se espera ver mais em um futuro próximo é o que ele chama de “postura de ovos de Páscoa”, onde o ransomware infecta um sistema, mas fica inativo por um largo período de tempo antes de ser ativado.

Como os pesquisadores se adaptam às ameaças em evolução
Nenhuma dessas adaptações torna o ransomware indetectável. “Você tem que tomar cada uma como algo conhecido e escrever detecções para elas. Analise, veja como o ransomware se comporta e mude suas detecções ”.

Para derrotar os esforços feitos para evitar a detecção, disfarçando ou alterando a assinatura digital do ransomware, alguns fornecedores concentram-se na análise comportamental, às vezes usando Machine Learning para identificar o ransomware. A abordagem é eficaz com ameaças conhecidas, mas não tanto com o novo ransomware, pois ele não possui os dados necessários para reconhecê-lo.

O desafio é identificar novas ameaças, criar os conjuntos de dados que a análise comportamental precisa para detectá-las e, em seguida, distribuir esses conjuntos de dados para todos que precisarem deles o mais rápido possível.

O machine learning pode desempenhar um papel maior na identificação de novas variações de ransomware. Alguns sugeriram usá-lo para prever como uma variedade específica mudará com a próxima iteração baseada em versões anteriores. Este trabalho ainda é teórico, em grande parte, mas mostra como o Machine Learning pode eventualmente ser capaz de antecipar novas ameaças de ransomware e estar pronto para elas quando elas chegarem.

A Future possui as melhores soluções e serviços para a sua empresa. Saiba mais clicando aqui.

Fonte: ComputerWorld

Read More

Receba conteúdos exclusivos