By SophosLabs
A SophosLabs publicou nesta semana sua avaliação anual sobre o estado da segurança da Internet e das informações e nossa perspectiva sobre quais ameaças à segurança provavelmente irão afetar o mundo em 2020: o Relatório de Ameaças da SophosLabs 2020, disponível para download.
Este ano, o relatório amplia o escopo de análise para abranger tópicos além das principais competências históricas da Sophos em prevenção de malware e malware de desktop, para refletir com mais precisão a ampla gama de problemas de segurança que a Sophos auxilia diariamente seus clientes na resolução e mitigação dos mesmos.
Embora o relatório discuta tópicos importantes, como ferramentas e técnicas de ransomware, novos malwares para dispositivos móveis e a persistência de ataques automatizados a dispositivos de borda das redes, também abrange por exemplo, problemas relacionados à segurança de serviços e instâncias de computação em nuvem e ataques direcionados a alguns dos métodos de aprendizado de máquina.
Atacando como um chefe
A SophosLab nomeou uma das grandes tendências que cresce a cada dia nos ataques ativos automáticos de 2019; isso envolve comprometimento das redes internas de grandes empresas, direcionado por humanos, seguido pelo uso de ferramentas padrão de administração de rede do Windows, como WMI e PowerShell, para distribuir rapidamente malware por uma grande rede corporativa de uma só vez.
Esse método foi usado, por exemplo, pelos criadores de ameaças por trás do ransomware SamSam e posteriormente adotado por outros atores de ameaças envolvidos na distribuição de ransomware direcionados a grandes redes, como os criminosos por trás do ransomware MegaCortex.
Esses ataques complexos seguem um padrão previsível que envolve o uso de ferramentas de segurança de código aberto e credenciais de Administrador de Domínio comprometidas, para alavancar a infraestrutura da rede contra si mesma.
Ataques ao RDP
O serviço de Área de Trabalho Remota e seu aplicativo cliente são ferramentas essenciais de gerenciamento de rede da Microsoft há anos, mas 2019 teve um salto significante em quantidade de ataques. Enquanto alguns invasores escolhem seus alvos de forma direcionada, aproveitando as vulnerabilidades no RDP e participando de ataques de força bruta contra serviços RDP operados por seus alvos, outros fazem uma verdadeira varredura na Internet procurando por máquinas com conexão RDP aberta.
Essa enchente de tráfego de varredura levantou uma questão: quanto tempo levaria para que uma máquina que expusesse o RDP à Internet voltada ao público permanecesse descomprometida e não fosse afetada pelas ondas intermináveis de ataques.
Para descobrir, a equipe da SophosLabs disponibilizou servidores de honeypot projetados para parecerem ao mundo como uma máquina vulnerável e fizeram a distribuição para Datacenters em todo o mundo. Não foi anunciada a existência deles, mas os atacantes os encontraram rapidamente. Os resultados foram um tanto chocantes.
Ao longo de um período de 30 dias na primavera passada, registramos mais de 3 milhões de tentativas de logon em nossos servidores RDP falsos. Observe que essas não eram apenas verificações da porta de rede usada por padrão pelo serviço RDP, mas tentativas de logon ativas que falharam apenas porque nosso honeypot não era uma máquina real na qual os possíveis invasores pudessem fazer login.
A lição para os administradores de rede é bastante clara: se você se preocupa em proteger sua rede, verifique se não há regras em seu firewall permitindo conexão RDP a servidores ou estações de trabalho.
Segurança na nuvem: o conhecimento é metade da batalha
Outra tendência observada é o ritmo crescente em que as pessoas encontram, por acaso, grandes tesouros de dados privados que foram movidos (legitimamente pelos proprietários dos dados) para instâncias de computação em nuvem e depois protegidos de forma inadequada ao acesso público. Algumas das violações da nuvem no ano passado atingiram grandes fabricantes, provedores de serviços financeiros e empresas de entretenimento, violações que poderiam ter sido evitadas.
A SophosLabs fez a criação de um cenário hipotético para destacar como pequenos erros podem criar grandes problemas. Nesse cenário, uma organização faz uma má escolha sobre o gerenciamento de senhas e resulta em dois problemas desafiadores: primeiro, uma imensidão de dados na nuvem passa a ficar sem proteção, levando a uma violação das informações do cliente e do código-fonte privado; posteriormente, o invasor que roubou a senha da conta de serviços em nuvem da organização também a usa para configurar um grande número de servidores virtuais com o único objetivo de atuar como minerador de criptomoedas.
Para saber mais sobre esses tópicos e muito mais, leia o Relatório de Ameaças para 2020.