A Intel Security publicou, em setembro, o Relatório de Ameaças da McAfee Labs que avalia a crescente ameaça de ransomware ao setor de saúde, investiga o “quem e o como” sobre a perda de dados, mostra a aplicação prática da aprendizagem automática em segurança cibernética e detalha o crescimento de ransomware, malware móvel, malware de macro e outras ameaças no segundo trimestre de 2016.
Após uma epidemia de ataques de ransomware premeditados contra hospitais no início desse ano, a Intel Security investigou os eventos, as redes de ransomware por trás deles e as estruturas de pagamento que viabilizam a obtenção de lucros pelos criminosos. Os estudos identificaram pagamentos da ordem de US$100 mil feitos pelas vítimas do segmento de saúde para contas de Bitcoin específicas. Apesar da evidente constatação de que o setor de saúde ainda corresponde, em termos gerais, a uma pequena fatia do “negócio” de ransomware, a McAfee Labs prevê um número cada vez maior de novos setores de atividades sendo colocados na mira das inúmeras redes responsáveis pelo lançamento desses ataques.
No primeiro semestre de 2016, os pesquisadores identificaram um criador e distribuidor de ransomware que aparentemente embolsou US$121 milhões (BTC 189.813) em pagamentos de operações de ransomware lançadas contra diversos setores. Informes do comitê de discussão sobre redes obscuras sugerem que o crime cibernético em questão acumulou lucros de US$94 milhões nos primeiros seis meses do ano.
A dimensão da operação se alinha com a pesquisa da McAfee Labs realizada no final de outubro de 2015 por seus parceiros da Aliança contra Ameaças Virtuais, quando o grupo desvendou uma operação de ransomware utilizando a variedade do vírus Crypto Wall para extorquir cerca de US$325 milhões no período de dois meses.
A equipe de pesquisa atribui o foco cada vez maior sobre os hospitais à dependência que eles possuem de sistemas de TI antigos, dispositivos médicos com pouca ou nenhuma segurança, serviços de terceiros provavelmente comuns em várias organizações e à necessidade de os hospitais contarem com acesso imediato a informações para proporcionar o melhor cuidado possível aos pacientes.
“Como alvos, os hospitais representam uma combinação atraente de segurança de dados relativamente fraca, ambientes complexos e a necessidade urgente de acesso às fontes de dados, muitas vezes em situações de vida ou morte”, afirmou Vincent Weafer, VP da McAffe Labs da Intel Security. “As novas revelações sobre a dimensão das redes de ransomware e o foco emergente sobre hospitais nos lembram que a economia do crime cibernético é alimentada pela capacidade e motivação para explorar novos setores de atividades.”
O relatório do segundo semestre apresenta também os resultados de uma pesquisa preliminar avaliando incidentes de perda de dados, incluindo os tipos de vazamento de dados, as formas como os dados saem das organizações e as etapas que essas organizações devem seguir para aprimorar os recursos de prevenção contra perda de dados.
Segundo os resultados da pesquisa, as organizações de serviços financeiros e de varejo implementaram as mais abrangentes proteções contra perda de dados, uma constatação atribuída pelo McAfee Labs às respostas organizacionais à frequência dos ataques virtuais e ao valor dos dados mantidos pelas empresas nesses dois setores. Por terem resistido a alguns ataques cibernéticos no passado, as empresas de saúde e produção fizeram poucos investimentos em segurança de TI, dispondo dos recursos menos completos para proteção de dados.
Na avaliação dos pesquisadores, as defesas mais fracas nesses dois setores são particularmente preocupantes, pois os criminosos cibernéticos continuam mudando o foco: de números de cartão de pagamento facilmente substituíveis para dados menos suscetíveis a perdas, como informações de identificação pessoal, prontuários de saúde pessoais, propriedade intelectual e informações de negócios sigilosas.
“Setores de atividade como saúde e produção representam tanto a oportunidade quanto a motivação para os criminosos cibernéticos”, prossegue Weafer. “Seus recursos de defesa relativamente fracos, aliados a ambientes altamente complexos, facilitam as violações e, consequentemente, os vazamentos de dados. A meta dos criminosos cibernéticos produz resultados fáceis, com menos risco. Grandes empresas e indivíduos podem facilmente cancelar cartões de pagamento roubados tão logo uma violação seja descoberta. Mas não é possível alterar dados extremamente pessoais ou nem é tão simples substituir planos de negócios, contratos e projetos de produtos.”
Segundo a pesquisa, mais de 25% dos entrevistados não monitoram o compartilhamento ou o acesso a informações sigilosas de funcionários ou clientes e apenas 37% monitoram o uso de ambos, embora esse número aumente para cerca de 50% nas organizações maiores.
Os resultados da pesquisa revelam também que aproximadamente 40% das perdas de dados envolvem algum tipo de mídia física, como pen drives, porém apenas 37% das organizações utilizam monitoramento das atividades do usuário e das conexões de mídias físicas no endpoint que poderiam conter tais incidentes. Enquanto 90% dos entrevistados alegam ter implementado estratégias de proteção na nuvem, apenas 12% estão confiantes na possibilidade de visualizar a atividade de seus dados na nuvem.
Para o executivo, sempre serão enfrentados desafios no trabalho para impedir o vazamento de dados, independentemente de onde estejam armazenados e da forma como sejam manipulados. “As organizações, porém, podem aprender muito com o tema consistente do estudo, isto é, o valor de uma visibilidade mais ampla dos eventos e incidentes em toda a empresa e o valor mais duradouro dos dados extraídos desse monitoramento para desenvolver posturas de segurança mais rígidas.”
Atividades de ameaça
No segundo trimestre de 2016, a rede de inteligência de ameaças globais detectou 316 novas ameaças a cada minuto e constatou aumentos significativos em ransomware, malware móvel e malware de macro:
• Ransomware: O 1,3 milhão de amostras de novos ransomwares coletadas durante o segundo trimestre representa a maior quantidade registrada desde quando a empresa de segurança começou a registrar esse tipo de ameaça. O número total de ransomware aumentou 128% no ano passado.
• Malware móvel: O número aproximado de 2 milhões de amostras de novos malwares móveis coletados representaram a maior quantidade registrada até hoje. O número total de malware móvel aumentou 151% em 2015.
• Malware de macro: Os novos mecanismos de download de Cavalos de Tróia, como Necurs e Dridex que disseminam o ransomware Locky, geraram aumento de mais de 200% em novos malwares de macro no segundo trimestre.
• Malware no Mac OS: A menor atividade da família do adware OSX.Trojan.Gen reduziu em 70% as detecções de novos malwares no Mac OS no segundo trimestre.
• Atividade dos botnets: O Wapomi, responsável por disseminar worms e mecanismos de download, aumentou em 8% no segundo trimestre. O Muieblackcat, segundo colocado do último trimestre e responsável por abrir as portas para novas explorações, sofreu uma queda de 11%.
• Ataques a redes: A avaliação do volume de ataques a redes no segundo trimestre mostra que os ataques de negação de serviço aumentaram 11% no trimestre, assumindo, assim, o primeiro lugar. Os ataques a navegadores sofreram uma queda de 8% no primeiro trimestre. Os tipos de ataque mais predominantes foram acompanhados de força bruta, SSL, DNS, varredura, backdoor e outros.