Software malicioso, ou malware, é qualquer código de software ou programa de computador, incluindo ransomware, cavalos de Troia e spyware, escrito intencionalmente para prejudicar os sistemas de computador ou seus usuários.
Quase todos os ataques cibernéticos modernos envolvem algum tipo de malware. Esses programas maliciosos podem assumir muitas formas, desde ransomware altamente prejudicial e caro até adware meramente irritante, dependendo do que os criminosos cibernéticos pretendem fazer.
Os criminosos cibernéticos desenvolvem e usam malware para:
- Manter dispositivos, dados ou redes corporativas inteiras reféns em troca de grandes quantias de dinheiro.
- Obter acesso não autorizado a dados confidenciais ou recursos digitais.
- Roubar credenciais de login, números de cartão de crédito, propriedade intelectual ou outras informações valiosas
- Interromper os sistemas críticos dos quais as empresas e agências governamentais dependem.
Há bilhões de ataques de malware a cada ano (link externo ao site ibm.com), e infecções de malware podem ocorrer em qualquer dispositivo ou sistema operacional. Os sistemas Windows, Mac, iOS e Android podem ser vítimas.
Cada vez mais, os ataques de malware têm como alvo as empresas em vez de os usuários individuais, pois os hackers aprenderam que é mais lucrativo ir atrás das organizações. As empresas geralmente detêm quantidades significativas de dados pessoais, e os hackers exploram esse fato para extorquir grandes quantias de dinheiro delas. Os hackers podem usar esses dados pessoais para roubo de identidade ou vendê-los na dark web.
Obtenha insights para se preparar e responder a ataques cibernéticos com maior velocidade e eficácia com o IBM Security X-Force Threat Intelligence Index.
Cadastre-se para obter o relatório do custo das violações de dados
O crime cibernético é uma indústria gigantesca. De acordo com uma estimativa (link externo ao site ibm.com), ela seria a terceira maior economia do mundo, atrás dos EUA e da China, com um custo projetado de US$ 10,5 trilhões até 2025.
Nesse setor, hackers desenvolvem constantemente novas cepas de malware com novos recursos e funcionalidades. Essas cepas individuais de malware geram novas variantes ao longo do tempo para melhor escapar do software de segurança. Estima-se que (link externo ao site ibm.com) mais de 1 bilhão de diferentes cepas e variantes de malware tenha sido criadas desde 1980, dificultando o acompanhamento dos profissionais de cibersegurança.
Os hackers geralmente compartilham seu malware tornando o código aberto ou vendendo-o a outros criminosos. Os acordos de Malware-as-a-service são prevalentes entre os desenvolvedores de ransomware, para que até criminosos com pouco conhecimento técnico possam colher as recompensas do crime cibernético.
Embora o cenário esteja sempre mudando, as cepas de malware podem ser categorizadas em alguns tipos comuns.
Os termos "malware" e "vírus do computador" são frequentemente usados como sinônimos, mas um vírus é tecnicamente um tipo específico de malware. Especificamente, um vírus é um código malicioso que "sequestra" um software legítimo para causar danos e espalhar cópias de si mesmo.
Os vírus não podem agir sozinhos. Em vez disso, ocultam trechos do código em outros programas executáveis. Quando um usuário inicia o programa, o vírus também começa a ser executado. Os vírus geralmente são projetados para excluir dados importantes, interromper as operações normais e espalhar cópias de si mesmos para outros programas no computador infectado.
A maioria das primeiras ameaças de malware eram vírus. O Elk Cloner, talvez o primeiro malware a se espalhar por dispositivos públicos, era um vírus que tinha como alvo os computadores da Apple.
Um botnet é uma rede de dispositivos infectados por malware e conectados à Internet sob o controle de um hacker. Os botnets podem incluir PCs, dispositivos móveis, dispositivos de Internet of Things (IoT) e muito mais. As vítimas normalmente não percebem quando seus dispositivos fazem parte de um botnet. Os hackers costumam usar botnets para lançar ataques DDoS, que bombardeiam uma rede alvo com tanto tráfego que ela fica lenta ou desliga completamente.
Mirai, um dos botnets mais conhecidos, foi responsável por um ataque massivo em 2016 contra o provedor de sistema de nomes de domínio Dyn. Este ataque derrubou sites populares como Twitter e Reddit para milhões de usuários nos EUA e na Europa (link externo ao site ibm.com).
Um criptojacker é um malware que controla um dispositivo e o utiliza para minerar criptomoedas, como bitcoin, sem o conhecimento do proprietário. Essencialmente, os criptojackers criam botnets de criptografia.
A criptomoeda de mineração é uma tarefa extremamente cara e de uso intensivo de computador. Os criminosos cibernéticos lucram enquanto os usuários de computadores infectados apresentam desempenho desacelerado e falhas. Os cryptojackers geralmente visam a infraestrutura de nuvem corporativa, permitindo que eles marquem mais recursos para criptomineração do que visando computadores individuais.
O malware sem arquivo é um tipo de ataque que usa vulnerabilidades em programas de software legítimos, como navegadores da web e processadores de texto, para injetar códigos maliciosos diretamente na memória do computador. Como o código é executado na memória, ele não deixa vestígios no disco rígido. Por usar um software legítimo, geralmente evita a detecção.
Muitos ataques de malware sem arquivos usam o PowerShell, uma interface de linha de comando e uma ferramenta de script incorporada ao sistema operacional do Microsoft Windows. Os hackers podem executar scripts PowerShell para alterar configurações, roubar senhas ou causar outros danos.
Macros maliciosas são outro vetor comum para ataques sem arquivos. Aplicativos como Microsoft Word e Excel permitem que os usuários definam macros, conjuntos de comandos que automatizam tarefas simples, como formatação de texto ou execução de cálculos. Os hackers podem armazenar scripts maliciosos nessas macros; quando um usuário abre o arquivo, esses scripts são executados automaticamente.
Worms são programas maliciosos auto-replicáveis que podem se espalhar entre aplicativos e dispositivos sem interação humana. (Compare com um vírus, que só pode se espalhar se um usuário executar um programa comprometido.) Embora alguns "worms" não façam nada mais do que se espalhar, muitos têm consequências mais graves. Por exemplo, o ransomware WannaCry, que causou uma estimativa de US$ 4 bilhões em danos, era um worm que maximizou seu impacto, espalhando-se automaticamente entre os dispositivos conectados.
Os cavalos de Troia se disfarçam de programas úteis ou se escondem dentro de um software legítimo para enganar os usuários para que os instalem. Um acesso remoto aos cavalos de Troia ou "RAT" cria uma porta traseira secreta no dispositivo infectado. Outro tipo de Cavalo de Troia chamado de "dropper" instala um malware adicional assim que tem uma posição pendente. O Ryuk, uma das cepas de ransomware mais devastadoras recentes, usou o cavalo de Troia Emotet para infectar dispositivos.
Rootkits são pacotes de malware que permitem que os hackers obtenham acesso privilegiado no nível do administrador ao sistema operacional de um computador ou a outros ativos. Os hackers podem então usar essas permissões elevadas para fazer praticamente qualquer coisa que desejem, como adicionar e remover usuários ou reconfigurar aplicações. Os hackers costumam usar rootkits para ocultar processos maliciosos ou desabilitar softwares de segurança que possam capturá-los.
O scareware assusta os usuários, fazendo-os baixar malware ou passar informações confidenciais a um fraudador. O scareware geralmente aparece como um pop-up repentino com uma mensagem urgente, geralmente avisando o usuário de que ele violou a lei ou que seu dispositivo está infectado. O pop-up orienta o usuário a pagar uma “multa” ou baixar um software de segurança falso que acaba sendo um malware real.
O spyware se esconde em um computador infectado, coletando secretamente informações confidenciais e transmitindo-as de volta ao invasor. Um tipo comum de spyware, chamado keylogger, registra todas as teclas digitadas pelo usuário, permitindo que os hackers coletem os nomes de usuário, senhas, números das contas bancárias e de cartão de crédito, números da segurança social e outros dados confidenciais.
O adware envia spam a um dispositivo com anúncios pop-up indesejados. O adware geralmente é incluído em um software gratuito, sem que o usuário saiba. Quando o usuário instala o programa, ele também instala o adware sem querer. A maioria dos adwares é pouco mais do que um aborrecimento. No entanto, alguns adwares coletam dados pessoais, redirecionam os navegadores da web para sites maliciosos ou até mesmo fazem download de mais malware no dispositivo do usuário se ele clicar em um dos pop-ups.
O ransomware bloqueia os dispositivos ou dados de uma vítima e exige um pagamento de resgate, geralmente na forma de criptomoeda, para desbloqueá-los. De acordo com o X-Force Threat Intelligence Index da IBM, o ransomware é o segundo tipo mais comum de ataque cibernético, representando 17% dos ataques.
Os ataques mais básicos de ransomware tornam os ativos inutilizáveis até que o resgate seja pago, mas os cibercriminosos podem usar táticas adicionais para aumentar a pressão sobre as vítimas.
Em um ataque de extorsão dupla, os criminosos cibernéticos roubam os dados e ameaçam vazá-los se não forem pagos. Em um ataque de extorção tripla, os hackers criptografam os dados da vítima, os roubam e ameaçam desconectar os sistemas por meio de um ataque distribuído de negação de serviço (DDoS).
As demandas de resgate podem variar de dezenas de milhares a milhões de dólares americanos. De acordo com um relatório (link externo ao site ibm.com), o pagamento médio de um resgate é de US$ 812.360. Mesmo que as vítimas não paguem, o ransomware é caro. O relatório do custo das violações de dados da IBM constatou que o ataque médio de ransomware custa US$ 4,54 milhões, sem incluir o resgate em si.
Os hackers usam malware de acesso remoto para obter acesso a computadores, servidores ou outros dispositivos criando ou explorando backdoors. De acordo com o índice X-Force Threat Intelligence, plantar backdoors é o objetivo mais comum dos hackers, respondendo por 21% dos ataques.
Os backdoors permitem que os cibercriminosos façam muita coisa. Eles podem roubar dados ou credenciais, assumir o controle de um dispositivo ou instalar malwares ainda mais perigosos, como o ransomware. Alguns hackers usam malware de acesso remoto para criar backdoors que podem ser vendidos a outros hackers, o que pode render vários milhares de dólares cada.
Alguns malwares de acesso remoto, como o Back Orifice ou CrossRAT, são intencionalmente criados para fins maliciosos. Os hackers também podem modificar ou usar indevidamente um software legítimo para acessar remotamente um dispositivo. Em particular, os cibercriminosos usam credenciais roubadas para o protocolo de desktop remoto (RDP) da Microsoft como backdoors.
Um ataque de malware tem dois componentes: a carga útil do malware e o vetor de ataque. A carga útil é o código malicioso que os hackers querem plantar e o vetor de ataque é o método usado para entregar a carga útil no seu alvo.
Alguns dos vetores de malware mais comuns incluem:
Os ataques de engenharia social manipulam psicologicamente as pessoas para fazerem coisas que não deveriam fazer, como baixar malware. Ataques de phishing, que usam e-mails fraudulentos ou mensagens de texto para enganar os usuários, são particularmente comuns. De acordo com o índice X-Force Threat Intelligence, o phishing é um fator em 41% das infecções por malware.
E-mails e mensagens de phishing geralmente são criados para parecer que vêm de uma marca ou indivíduo confiável. Eles normalmente tentam evocar emoções fortes como medo ("Encontramos nove vírus em seu telefone!"), ganância ("Você tem um pagamento não reclamado esperando por você!") ou urgência ("Você está ficando sem tempo para reivindicar seu presente gratuito!") para que os usuários tomem a ação desejada. Geralmente, a ação é abrir um anexo de e-mail malicioso ou visitar um site malicioso que carrega malware em seu dispositivo.
Os cibercriminosos estão constantemente buscando vulnerabilidades não corrigidas em softwares, dispositivos e redes que lhes permitam injetar malwares no software ou firmwares do alvo. Os dispositivos de IoT, muitos dos quais são vendidos e implementados com segurança mínima ou nenhuma, são um campo especialmente fértil para os cibercriminosos semearem malware.
Usando uma tática chamada de "baiting", os hackers podem colocar drives USB infectados adornados com etiquetas que chamam a atenção em locais públicos, como espaços de coworking ou cafés. Atraídos por esses drives, usuários desavisados podem conectá-las a seus dispositivos para ver o que elas contêm, e o malware infecta seu sistema. Um estudo recente descobriu que 37% das ameaças cibernéticas conhecidas são projetadas para explorar mídias removíveis (link externo ao site ibm.com).
Muitas formas de malware, como cavalos de Troia e adware, disfarçam-se de software útil ou cópias gratuitas de filmes e músicas. Ironicamente, eles muitas vezes se disfarçam de programas antivírus gratuitos ou aplicações que melhoram o desempenho do dispositivo. Embora as redes de torrent onde os usuários compartilham mídia pirata sejam playgrounds notórios para os cibercriminosos, o malware oculto também pode chegar a mercados legítimos. Recentemente, o malware Goldoson (link externo ao site ibm.com) foi capaz de infectar milhões de dispositivos se ocultando em aplicações disponíveis na loja Google Play.
Malvertising é quando hackers colocam anúncios maliciosos em redes de anúncios legítimos ou sequestram anúncios legítimos para fornecer códigos maliciosos. Por exemplo, a disseminação do malware Bumblebee (link externo a ibm.com) por meio de um anúncio malicioso do Google se passando pelo Cisco AnyConnect. Os usuários que pesquisassem o produto real veriam o anúncio nos resultados de pesquisa, clicariam nele e baixariam o malware involuntariamente.
Uma técnica relacionada chamada "drive-by downloads" faz com que os usuários nem precisem clicar em nada: assim que visitam um site malicioso, o download é iniciado automaticamente.
Nas redes corporativas, os dispositivos pessoais dos usuários podem ser os principais vetores de malware. Os smartphones e laptops dos usuários podem ser infectados durante seu tempo pessoal, quando estão se conectando a redes não seguras sem o benefício das soluções de segurança da empresa. Quando os usuários trazem esses dispositivos para o trabalho, o malware pode se espalhar para a rede corporativa.
Se a rede de um fornecedor estiver comprometida, o malware poderá se espalhar para as redes das empresas que usam os produtos e serviços desse fornecedor. Por exemplo, os cibercriminosos aproveitaram uma falha na plataforma VSA da Kaseya para (link externo ao site ibm.com) espalhar ransomware aos clientes sob o disfarce de uma atualização de software legítima.
Algumas infecções por malware, como o ransomware, se anunciam sozinhas. No entanto, a maioria tenta ficar longe da vista enquanto causam estragos. Ainda assim, as infecções por malware geralmente deixam sinais que as equipes de cibersegurança podem usar para identificá-las. Esses sinais incluem:
Declínio de desempenho: programas de malware usam os recursos do computador infectado para executar, muitas vezes ocupando espaço de armazenamento e interrompendo processos legítimos. A equipe de suporte de TI pode notar um fluxo de tickets de usuários cujos dispositivos estão desacelerando, travando ou sendo inundados com pop-ups.
Atividade de rede nova e inesperada: a equipe de TI e segurança pode notar padrões estranhos, como processos que usam mais largura de banda do que o normal, dispositivos que se comunicam com servidores desconhecidos ou contas de usuário que acessam ativos que normalmente não usam.
Configurações alteradas: algumas cepas de malware alteram as configurações do dispositivo ou desativam as soluções de segurança para evitar a detecção. As equipes de TI e segurança podem notar que, por exemplo, as regras de firewall foram alteradas ou os privilégios de uma conta foram elevados.
Alertas de eventos de segurança: para organizações com soluções de detecção de ameaças implementadas, o primeiro sinal de uma infecção por malware provavelmente será um alerta de evento de segurança. Soluções como sistemas de detecção de intrusão (IDS), plataformas de gerenciamento de eventos e informações de segurança (SIEM) e software antivírus podem sinalizar possíveis atividades de malware para que a equipe de resposta a incidentes as analise.
Os ataques de malware são inevitáveis, mas existem medidas que as organizações podem adotar para fortalecer suas defesas. Essas etapas incluem:
Treinamento de conscientização sobre cibersegurança: muitas infecções por malware resultam de usuários que baixam softwares falsos ou caem em golpes de phishing. O treinamento de conscientização de segurança pode ajudar os usuários a detectar ataques de engenharia social, sites maliciosos e aplicações falsas. O treinamento de conscientização sobre cibersegurança também pode educar os usuários sobre o que fazer e com quem entrar em contato se suspeitarem de uma ameaça de malware.
Políticas de segurança: solicitar senhas fortes, autenticação multifatorial e VPNs ao acessar ativos confidenciais por Wi-Fi não protegido pode ajudar a limitar o acesso de hackers às contas dos usuários. Instituir um cronograma regular para gerenciamento de correções, avaliações de vulnerabilidades e testes de penetração também pode ajudar a detectar vulnerabilidades de software e dispositivos antes que os cibercriminosos os explorem. As políticas para gerenciamento de dispositivos BYOD (traga seu próprio dispositivo) e impedir a TI invisível podem ajudar a impedir que os usuários tragam malware para a rede corporativa sem saber.
Backups: a manutenção de backups atualizados de dados confidenciais e imagens do sistema, idealmente em discos rígidos ou outros dispositivos que possam ser desconectados da rede, pode facilitar a recuperação de ataques de malware.
Arquitetura de rede zero trust: zero trust é uma abordagem à segurança de rede na qual os usuários nunca são confiáveis e são sempre verificados. Em particular, o zero trust implementa o princípio do menor privilégio, microssegmentação de rede e autenticação adaptativa contínua. Essa implementação ajuda a garantir que nenhum usuário ou dispositivo possa acessar dados ou ativos confidenciais que não deveriam. Se o malware entrar na rede, esses controles poderão limitar seu movimento lateral.
Planos de resposta a incidentes: criar planos de resposta a incidentes para diferentes tipos de malware antecipadamente pode ajudar as equipes de cibersegurança a erradicar as infecções por malware mais rapidamente.
Além das táticas manuais descritas anteriormente, as equipes de cibersegurança podem usar soluções de segurança para automatizar aspectos de remoção, detecção e prevenção de malware. As ferramentas comuns incluem:
Software antivírus: Também chamado de "software anti-malware", os programas antivírus examinam os sistemas em busca de sinais de infecções. Além de alertar os usuários, muitos programas antivírus podem isolar e remover automaticamente malware após a detecção.
Firewalls: Os firewalls podem impedir que algum tráfego mal-intencionado chegue à rede em primeiro lugar. Se o malware chegar a um dispositivo de rede, os firewalls podem ajudar a impedir as comunicações de saída para hackers, como um keylogger enviando pressionamentos de tecla de volta para o invasor.
Plataformas de gerenciamento de eventos e informações de segurança (SIEM): as SIEMs coletam informações de ferramentas de segurança internas, agregam-nas em um registro central e sinalizam anomalias. Como os SIEMs centralizam os alertas de várias fontes, eles podem facilitar a identificação de sinais sutis de malware.
Plataformas de orquestração, automação e resposta de segurança (SOAR): os SOARs integram e coordenam ferramentas de segurança díspares, permitindo que as equipes de segurança criem playbooks semi ou totalmente automatizados para responder ao malware em tempo real.
Plataformas de detecção e resposta de endpoints (EDR): as EDRs monitoram dispositivos de endpoints, como smartphones, notebooks e servidores, em busca de sinais de atividades suspeitas e podem responder automaticamente a um malware detectado.
Plataforma estendidas de detecção e resposta (XDR): as XDRs integram ferramentas e operações de segurança em todas as camadas de segurança: usuários, endpoints, e-mail, aplicações, redes, cargas de trabalho na nuvem e dados. as XDRs podem ajudar a automatizar processos complexos de prevenção, detecção, investigação e resposta a malware, incluindo caça proativa a ameaças.
Ferramentas de gerenciamento de superfície de ataque (ASM): as ferramentas ASM descobrem, analisam, corrigem e monitoram continuamente todos os ativos na rede de uma organização. O ASM pode ser útil para ajudar as equipes de cibersegurança a detectar aplicações e dispositivos de TI invisíveis não autorizados que possam conter malware.
Gerenciamento unificado de endpoints (UEM): o software UEM monitora, gerencia e protege todos os dispositivos de usuário final de uma organização, incluindo desktops, notebooks e dispositivos móveis. Muitas organizações usam soluções UEM para ajudar a garantir que os dispositivos BYOD dos funcionários não tragam malware para a rede corporativa.
Para prevenir e combater ameaças modernas de ransomware, a IBM usa insights de 800 TB de dados de atividades de ameaças e informações de mais de 17 milhões de ataques de spam e phishing. Ela também analisa dados de reputação em quase 1 milhão de endereços IP maliciosos de uma rede de 270 milhões de endpoints.
Os ataques cibernéticos são tentativas indesejáveis de roubar, expor, alterar, desabilitar ou destruir informações por meio de acesso não autorizado a sistemas de computador.
O ransomware mantém os dispositivos e dados das vítimas como reféns até que o resgate seja pago. Saiba como o ransomware funciona, por que ele se proliferou nos últimos anos e como as organizações se defendem contra ele.
A zero trust é uma estrutura que pressupõe que a segurança de uma rede complexa está sempre em risco de ameaças externas e internas. Ajuda a organizar e traçar estratégias para uma abordagem completa para combater essas ameaças.
Todos os anos, o IBM Security X-Force, nossa equipe interna de especialistas em cibersegurança e remediadores, minera bilhões de pontos de dados para expor as tendências e estatísticas de segurança mais urgentes de hoje.