Kaspersky Lab: remetentes de spam usaram epidemia WannaCry para promover serviços fraudulentos no 2º trimestre

kasperskylabA Kaspersky Lab divulgou o relatório “Spam e Phishing no 2º trimestre de 2017”, que mostra que criminosos virtuais envolvidos na distribuição de spam tentaram explorar o receio geral causado pela epidemia do ransomware WannaCry usando e-mails de spam e phishing. Além disso, durante o trimestre, houve uma quantidade maior de e-mails em massa direcionados a redes corporativas e de cavalos de Troia maliciosos.

Segundo o relatório de spam e phishing do segundo trimestre elaborado pela Kaspersky Lab, estas foram as principais constatações:

• No segundo trimestre de 2017, o Brasil (18,09%) foi o país com maior percentual de usuários afetados por ataques de phishing. Outros países incluíram Venezuela (10,56%), Argentina (9,35 %) e Nova Zelândia (12,06%).
• O volume médio de spam no trimestre aumentou para 56,97%.
• Os países com maior ocorrência de spam incluíram Brasil, Rússia, França, Irã, e Países Baixos.
• O país mais visado por envios de e-mails maliciosos foi a Alemanha. Outros alvos populares incluíram Brasil, Itália, Vietnã, França e os EUA.
• O sistema antiphishing da Kaspersky Lab foi acionado 46.557.343 vezes nos computadores de usuários da Kaspersky Lab. A maior porcentagem de usuários afetados ocorreu no Brasil (18,09%).
• Ao todo, 8,26% usuários exclusivos dos produtos da Kaspersky Lab no mundo todo foram atacados por golpes de phishing.
• Assim como no 1º trimestre, os principais alvos de ataques de phishing continuaram os mesmos e foram, principalmente, do setor financeiro: bancos, serviços de pagamento e lojas virtuais.
• O volume das malas diretas maliciosas aumentou 17%, de acordo com o novo relatório da Kaspersky Lab.

O WannaCry no spam

O ataque de ransomware WannaCry afetou mais de 200.000 computadores no mundo inteiro, causando pânico geral, e os remetentes de spam aproveitaram a oportunidade de imediato. Pesquisadores detectaram uma grande quantidade de mensagens que ofereciam serviços como proteção contra os ataques do WannaCry, recuperação de dados, além de workshops e cursos de treinamento para os usuários. Os remetentes de spam também implementaram com êxito um esquema tradicional de ofertas fraudulentas para instalar atualizações de software nos computadores afetados. No entanto, os links redirecionavam os usuários para páginas de phishing, onde os dados pessoais das vítimas seriam roubados.
KASPERSKY_SPAM_2017.jpgFontes de spam por País no segundo trimestre de 2017

Leia mais deste post

Entrevistamos Camillo Di Jorge, presidente da ESET Brasil

Olá pessoal,

hoje eu trago para vocês uma interessante entrevista com o Camillo Di Jorge, presidente da ESET Brasil, empresa fornecedora de soluções de segurança, como antivírus para PCs e servidores. O foco desta entrevista foi a fragilidade na proteção quanto à ameaças em ambientes domésticos e no mercado e micro e pequenas empresas.

CDR_9223

Quais são as recomendações efetivas para o usuário final com relação à prevenção de malwares?

Camillo: É aconselhável que o usuário final trabalhe em três pilares:

* Acompanhar publicações sobre o tema de segurança da informação, para estar bem informado sobre novos golpes e ameaças que surgem a cada dia

* Ter bom senso sempre que estiver se comunicando por meios eletrônicos. Muitos golpes e ameaças digitais valem-se de descuidos das vítimas como porta de entrada em seus dispositivos (o que chamamos de Engenharia Social)

* Ter uma boa solução de segurança instalada. Além de ser uma retaguarda do item anterior (i.e.: bom senso), protege de outras ameaças que se propagam sem depender de qualquer interação com o usuário (vide o WannaCry ou Petya)

Há uma enorme variedade de ameaças digitais, portanto é importante que o usuário entenda os três pilares como mutuamente complementares, ao invés de confiar apenas em um ou outro item.

Vivemos em uma realidade onde a oferta de tecnologia é imensa e grandes empresas possuem área de TI que podem auxiliar e fazer toda a preparação para o uso desses recursos, mas e no caso do usuário final seja em cunho pessoal/doméstico seja no de pequena empresa onde essa preparação é mínima ou inexistente? Como proceder?

Camillo: Essa é a realidade da maioria da população e também onde grande parte das ameaças cibernéticas estão concentradas. Nesse caso, o usuário deve procurar soluções de segurança que sejam simples de gerenciar, auto-explicativas e, acima de tudo, eficaz e eficiente.

A ESET oferece produtos totalmente adaptados ao público brasileiro, com interfaces em português, além de não pesar na máquina, porque o usuário só deve notar a presença da solução quando uma ameaça é combatida. Não há nada pior do que o usuário ter que desabilitar uma solução para poder utilizar suas aplicações, porque nesse caso, sim, estará muito exposto às ameaças.

Ainda considerando um ambiente doméstico. Vamos imaginar um cenário comum de uma residência onde temos pelo menos um computador, um notebook, um tablet, telefones celulares, televisão inteligentes, todos conectados à internet, acessando e compartilhando recursos. Quais as melhores práticas com relação à proteção contra malwares neste caso? Não seria uma complexidade muito grande para o usuário final? Existe a necessidade de se ter um técnico/consultor de confiança?

Camillo: Esse é um cenário cada vez mais comum e que tende a se tornar ainda mais complexo no futuro. É importante proteger cada um desses dispositivos, principalmente aqueles utilizados para navegar na internet.

Dependendo do número de dispositivos e do valor das informações acessas por eles, pode ser necessário medidas de segurança mais estruturais, como segregação de redes, por exemplo. Nesse caso, sim, seria aconselhavel contar com a assessoria de um técnico/consultor de confiança.

Tendo em vista cenários como esse, a ESET oferece soluções para PCs e dispositivos móveis que são compatíveis com diferentes sistemas operacionais.

Quais soluções a ESET oferece para este mercado doméstico e Micro, pequenas e médias empresas?

Camillo: A ESET oferece soluções para todos estes mercados de acordo com as necessidades de cada um.

Para o mercado doméstico, por exemplo, a empresa oferece a Solução de Segurança “Tudo em Um” que protege seus equipamentos, transações e as crianças com funções como Controle Pais e Controle Webcam e Roteador que impedem o aceso a sites impróprios e apresenta uma mensagem de alerta caso alguém tente acessar sua webcam além de revisar a segurança de sua rede e controlar quem está conectado à ela. Além de segurança contra ataques. (www.eset.com.br/purchase/residencial )

Já para micro empresas, há o ESET Home Office Security Pack com soluções para empresas com até 10 computadores como Antivírus, Controle de Acesso Web, Administração Remota, Controle de Dispositivos, Firewall (que filtra o tráfego de rede) e Antispam. (www.eset.com.br/purchase/empresarial ).

Há também o ESET Small Business Security Pack, para empresas com 15 a 50 computadores que inclui as funções Controle de Dispositivos, Administração remota e Proteção para servidores de e-mail além das funções da solução ESET Home Office Security Pack.

E para empresas que necessitam de ainda mais segurança há a ESET File Security, que oferece proteção para os dados que passam pelo servidor de arquivos da empresa. O produto utiliza o renomado motor de rastreamento ESET NOD32® em seu núcleo e combina detecção em alta velocidade, performance sem contratempos e estabilidade para garantir um nível sempre alto de segurança.

Para mais informações acesse: www.eset.com.br

Com relação especificamente à categoria de Malware Ransomware, quais as recomendações da ESET, pois muitos ainda pagam o resgate das informações e não as recebem. Como lidar com essa situação?

Camillo: Essa é uma preocupação que deve preceder a infecção. Depois que os arquivos já foram comprometidos, aconselhamos a não pagar, primeiramente porque não se sabe se efetivamente os dados serão recuperados, além disso, de tempos em tempos muitas são descobertas falhas em famílias de ransomware que permitem lançar software capazes de recuperar os dados gratuitamente e, por fim, porque isso gera maior incentivo ao cibercrime para continuar com esse tipo de ataque.

No entanto, para evitar passar por essa situação é importante ter um backup atualizado dos dados (que não esteja conectado à máquina, porque senão ele também sera criptografado), ter instalada uma boa solução de segurança, e se concentrar nos três pilares citados anteriormente. A ESET preparou uma página especialmente esse tema que possui maior detalhamento dessas informações: http://www.eset.com.br/kit-antiransomware

Eu espero que tenham gostado e deixem suas sugestões de temas e pessoas que na medida do possível eu vou procurar trazer mais entrevistas como esta para o blog,

Até a próxima!

Kaspersky Lab: ransomware móvel triplicou significamente no primeiro trimestre de 2017

Brasil e Venezuela estão entre os 10 países mais visados por Trojans cifradores a nível mundial

kasperskylabO pesadelo global – ransomware – não mostra nenhum sinal de desaceleração, uma vez que o volume dele para dispositivos móveis subiu mais de três vezes (3,5 vezes) durante os primeiros meses do ano, de acordo com o “Desenvolvimento de ameaças de computador no primeiro trimestre de 2017” da Kaspersky Lab. O ransomware que tem como alvo todos os dispositivos, sistemas e redes também continuou a crescer com o surgimento de 11 novas famílias de cifras trojans e 55.679 novas modificações no primeiro trimestre. Além disso, Brasil e Venezuela estão entre os 10 países atacados por trojans cifradores, com o ransomware XPAN sendo a ameaça mais difundida.

O número de arquivos detectados de ransomware móvel atingiu 218,625 durante o trimestre, em comparação com 61,832 no trimestre anterior; com a família Congur representando mais de 86%.

O ransomware Congur é basicamente um bloqueador que configura e restabelece o PIN do dispositivo (código de acesso) fornecendo direitos de administrador no dispositivo e algumas variantes do malware para que os cibercriminosos aproveitem esses direitos para instalar seu módulo na pasta do sistema – tornando quase impossível a remoção.

Apesar da popularidade do Congur, o Trojan-Ransom.AndroidOS.Fusob.h permaneceu o ransomware móvel mais amplamente usado, representando quase 45% de todos os usuários atacados por esta ameaça. Uma vez executado, o Trojan solicita privilégios de administrador, coleta informações sobre o dispositivo, incluindo coordenadas GPS e histórico de chamadas, e carrega os dados em um servidor mal-intencionado. Com base no que ele recebe, o servidor pode enviar de volta um comando para bloquear o dispositivo.

Os Estados Unidos tornaram-se o país mais afetado por ransomware móvel no primeiro trimestre, com a Svpeng a ameaça mais generalizada. Por sua vez, o Brasil e a Venezuela estão entre os 10 países mais afetados por ataques de Trojans cofrados. Importante, o Brasil ficou em segundo lugar (1,07%), embora ele nunca apareceu no top 10 países atacados por cifras. Isto é consistente com nossa observação do aumento no número de extorsões Trojans visando vítimas brasileiras. Um exemplo proeminente de tal tipo de malware foi Xpan, cuja análise foi publicada no ano passado.
KASPERSKY_GEOGRAFIA_RANSOMWARE

“O panorama de ameaças móveis para ransomware estava longe de ser calmo no primeiro trimestre. O ransomware que alveja dispositivos móveis subiu, com as famílias novas do ransomware e as modificações que continuam a proliferar. As pessoas precisam ter em mente que os atacantes podem – e cada vez mais – tentarem bloquear o acesso a seus dados não apenas em um PC, mas também em seu dispositivo móvel”, observa Roman Unuchek, analista sênior de malware da Kaspersky Lab. Leia mais deste post

Veeam – The Essential Guide to Ransomware

veeamlogoA Veeam, parceira deste blog, disponibilizou o white paper “The Essential Guide to Ransomware” que fala a respeito da categoria de malware que mais atingiu as empresas e seus negócios em 2016. A verdade é que a maioria das corporações, seja de qual tamanho for, não estão preparadas para responder a um incidente causado por um Ransomware bem como retornar suas operações o quanto antes e com o mínimo de dano possível.

Leitura indispensável para nós que atuamos com suporte e infraestrutura.

Download do white paper aqui.

Kaspersky Lab descobre como desbloquear arquivos criptografados pelas novas versões do ransomware CryptXXX

Olá pessoal,

compartilho com vocês o release que recebi a respeito de um anúncio importante da Kaspersky, principalmente para nós que atuamos como consultores em empresas e clientes finais. Vejam abaixo:

Após o lançamento de ferramentas de descriptografia para duas variações do ransomware CryptXXX, no primeiro semestre de 2016, a Kaspersky Lab libera um novo descriptografador de arquivos bloqueados pela mais recente versão do malware. Desde abril de 2016, esse programa malicioso foi capaz de infectar milhares de computadores em todo o mundo, e era impossível descriptografar integralmente os arquivos afetados por ele. Mas agora não é mais assim.

A ferramenta gratuita RannohDecryptor consegue descriptografar a maioria dos arquivos com extensão .crypt, .cryp1 e .crypz.

O CryptXXX representa uma das famílias de ransomware mais perigosas e distribuídas ativamente: os criminosos usaram os kits de exploits Angler e Neutrino por um longo período para infectar as vítimas com esse malware. Esses dois kits foram considerados dos mais eficientes em termos de infecção bem-sucedida dos alvos.

Desde abril de 2016, os produtos da Kaspersky Lab registraram ataques do CryptXXX contra pelo menos 80.000 usuários no mundo inteiro. Mais da metade deles estão localizados em apenas seis países: EUA, Rússia, Alemanha, Japão, Índia e Canadá.

kasperskyransomware
Porém, esses dados representam apenas os usuários protegidos pelas tecnologias de detecção da Kaspersky Lab. Infelizmente, o número total de usuários afetados é muito maior. Não se sabe o número exato, mas os especialistas da Kaspersky Lab estimam que pode haver centenas de milhares de usuários infectados.

Nossa recomendação regular para as vítimas de diferentes famílias de ransomware é: mesmo que não haja ainda uma ferramenta de descriptografia disponível para a versão do malware que criptografou seus arquivos, não pague o resgate para os criminosos. Salve os arquivos corrompidos e tenha paciência; há uma grande probabilidade de surgir uma ferramenta de descriptografia em breve. O caso do CryptXXX v.3 é uma demonstração disso. Vários especialistas em segurança do mundo todo trabalham incessantemente para conseguir ajudar as vítimas do ransomware. Mais cedo ou mais tarde, será encontrada uma solução para a grande maioria dos ransomware”, declara Anton Ivanov, especialista em segurança da Kaspersky Lab.

Saiba mais sobre ransomware em Securelist.com.

noransom

A ferramenta de descriptografia pode ser baixada no site da Kaspersky Lab e em Nomoreransom.org – o site da organização sem fins lucrativos lançado este ano pela National High Tech Crime Unit da polícia dos Países Baixos, o European Cybercrime Centre da Europol e duas empresas de segurança de computadores, a Kaspersky Lab e a Intel Security, com o objetivo de ajudar vítimas de ransomware a recuperar seus dados criptografados sem precisar remunerar os criminosos. A batalha internacional contra o ransomware continua avançando, com a entrada de mais de 30 novos parceiros dos setores público e privado no projeto No More Ransom.

Ataques de ransomware a empresas acontecem a cada 40 segundos; essa é a “História do Ano” de 2016 da Kaspersky Lab

Os ataques de ransomware voltados para empresas aumentaram três vezes em 2016. Ou seja, cresceu de um ataque a cada 2 minutos, em janeiro, para um ataque a cada 40 segundos, em outubro. Já o índice de ataques individuais aumentou de um a cada 20 segundos para um a cada 10 segundos. Com o surgimento de mais de 62 novas famílias de ransomware durante o ano, essa ameaça cresceu de modo tão contundente que a Kaspersky Lab declarou o ransomware seu principal tema de 2016.

kasperskylab
O relatório História do Ano faz parte do Boletim de Segurança anual da Kaspersky Lab, que analisa  ameaças e os dados mais importantes do ano, além de incluir previsões para o ano de 2017.

Entre outras coisas, 2016 revelou o interesse de criminosos por um modelo de negócios de ransomware (oferecido como serviço) para aqueles que não têm habilidades, recursos ou a intenção de desenvolver um próprio. Com esse sistema, criadores de código oferecem produtos maliciosos ‘sob demanda’, vendendo versões modificadas de maneira exclusiva aos clientes, que então as distribuem por meio de spam e sites comprometidos, pagando uma comissão para o criador – o principal beneficiário financeiro.

Aparentemente, o modelo de negócios clássico de ‘associado’ funciona com a mesma eficiência para o ransomware quanto para os outros tipos de malware. Muitas vezes, as vítimas pagam para os criminosos, o que gera um fluxo contínuo de dinheiro pelo sistema. Inevitavelmente, isso resulta no aparecimento praticamente diário de novos cryptors”, comentou Fedor Sinitsyn, analista sênior de malware da Kaspersky Lab.

A evolução do ransomware em 2016

Em 2016, o ransomware continuou atuando agressivamente no mundo todo, se tornando mais sofisticado e diversificado, além de ter fortalecido seu domínio sobre dados e dispositivos, indivíduos e empresas.

Leia mais deste post

SegInfocast #45 – Ransomware II

SegInfocast #45 – Faça o download aqui. (39:24 min, 27,0 MB) 

Neste episódio, eu recebi novamente Geraldo Bravo, engenheiro de pre-vendas da Cyberark para continuar a conversa sobre Ransomware, assunto já abordado no SegInfocast #41 com Carolina Bozza.

O que é o Ransomware?

Geraldo explica que o ransomware, também conhecido como vírus de resgate, é uma ameaça cujo objetivo é o sequestro de dados. Ele criptografa de forma não autorizada os arquivos da vítima (sistemas, documentos, etc) exigindo um pagamento para que se tenha acesso as informações com a revelação da chave usada para decriptografar os arquivos.

Quais são as principais famílias do Ransomware?

Nosso entrevistado cita algumas famílias como a CryptoLocker, uma das mais ativas atualmente. CryptedXXX, que além de criptografar arquivos também busca por credenciais e bitcoins, aliás, a razão que permitiu que os criminosos possam cobrar resgates sem serem identificados. Também o Crisis, que tem a capacidade de criptografar arquivos de sistema. Um ponto interessante é o fato de já existirem variantes que visam outros sistemas operacionais como o Mac e Android.

Os vetores de ataque do Ransomware

Mesmo com várias tecnologias de proteção, o e-mail (phishing) ainda é a forma mais utilizada para os ataques. E são utilizados executáveis e também documentos e scripts infectados.

Quais são as medidas para frear a ação desses ataques?

A primeira medida é a prevenção através de controle de e-mail e conscientização. O segundo passo é a contenção para evitar a propagação da ameaça na rede, impedindo a comunicação com o servidor na internet, para a criação das chaves de criptografia, porém alguns ransomwares já possuem uma chave padrão. Outras ações recomendadas são o monitoramento do nível de arquivos e também o conceito de privilégio mínimo necessário, para evitar que uma infecção altere outros processos importantes no sistema.

O que podemos esperar para o futuro?

Geraldo acredita que a Internet das Coisas aumentará ainda mais as possibilidades de infecção. Já existe um ransomware chamado Flocker, que consegue infectar uma smartTV, por exemplo. Uma outra novidade é o RaaS (Ransomware-As-A-Service), onde você pode escolher a ameaça mais adequada ao seu objetivo, criando uma variante exclusiva para o comprador.

Geraldo Bravo é engenheiro de pré-vendas da Cyberark com experiência de mais de 10 anos na área de redes e segurança da informação. Atuou em outras áreas como Gestão de Projetos e Gestão de Equipes e possui diversas certificações de segurança da informação.

 

Kaspersky Lab prevê aumento de ataques a entidades financeiras e ransomware corporativo na América Latina em 2017

A Equipe de Pesquisa e Análise Global (GReAT) da Kaspersky Lab na América Latina divulgou suas previsões para o próximo ano, segundo as quais os ataques a instituições financeiras e o ransomware corporativo serão destaques na região em 2017. Os especialistas em segurança da Kaspersky Lab de toda a América Latina, utilizam sua experiência e conhecimento para elaborar essas previsões.

Onda de ataques a instituições financeiras
Do malware para caixas eletrônicos ou pontos de venda aos ataques contra a própria infraestrutura bancária, os especialistas da Kaspersky Lab preveem que os criminosos virtuais assumirão riscos maiores em suas campanhas maliciosas, esperando pacientemente pelo momento certo para atacar entidades financeiras e, assim, desviar grandes quantias dos bancos. Ameaças como o Carbanak ou os ataques ao sistema SWIFT foram notícia durante este ano. No entanto, a equipe de pesquisa da Kaspersky Lab acredita que esse seja apenas o início de uma onda de ataques contra o setor financeiro latino-americano realizada por criminosos locais com ligações no exterior.

Leia mais deste post

SegInfocast 41 – Ransomware

seginfocast-150x150SegInfocast #41 – Faça o download aqui. (19:17 min, 13,3 MB)

Neste episódio eu entrevistei pela segunda vez Carolina Bozza, Country Manager da CyberArk, profissional com mais de 10 anos de experiência no mercado de TI. Neste podcast o tema abordado foi ransomware.

Leia mais deste post