Quais os principais programas maliciosos? Onde estão? Onde atacam? Relatório da Kaspersky responde
10:58
Postado por Anônimo
Os dados estatísticos mencionados neste artigo englobam todos os países da América do Sul e também os da América Central e Caribe. As estatísticas estão baseadas nos dados obtidos pelo Kaspersky Security Network entre janeiro e março de 2011 e ajudam a entender a proporção geral dos ataques e as tendências atuais na região.
Os 20 principais programas maliciosos
É interessante notar que pelo menos um terço dos malware mais disseminados na região da América Latina são as ameaças do "dia zero", que podem ser detectadas com bons sistemas heurísticos, mas não com tecnologias padrão, como as utilizadas para detecção por assinaturas.
Além disso, várias ameaças antigas ainda circulam "sem contenção" após mais de dois anos. A referência é especificamente ao verme Kido e suas variantes. Esse worm ainda está entre as ameaças mais comuns e os meios de propagação ainda são os dispositivos USB, recursos compartilhados da rede local e vulnerabilidades. Isso nos faz pensar que, na América Latina, ainda temos um longo caminho a percorrer em relação aos sistemas de gestão da segurança, políticas de uso de dispositivos USB e políticas de segurança em geral. Muitos sistemas operacionais ainda não estão atualizados e por isso são reinfectados facilmente.
Vale a pena mencionar que os dispositivos USB parecem ser o principal meio de infecção na América Latina. A lista dos 20 principais malware confirma isso, pois os vírus Sality, Autoit, VBNA e Virut, entre outros, se propagam exatamente por esse meio.
O programa indesejado, chamado HackTool.Win32.Kiser.zv, em nono lugar na lista, é um crack que permite reiniciar o tempo de validade da versão de teste dos produtos Kaspersky. Isso significa que os índices de pirataria na região são altíssimos. Aqui não estão incluídos somente os aspectos legais. Em muitos casos, as infecções por malware ocorrem precisamente por não haver produtos licenciados que, por sua vez, não são atualizados. Como, geralmente, as atualizações só estão disponíveis para produtos com licenças válidas, as vulnerabilidades das aplicações desatualizadas dão aos criminosos cibernéticos grandes chances de infectar sistemas com facilidade.
Podemos mencionar ainda a presença de falsos antivírus (Rogue/Fake AVs) e também cavalos de tróia do tipo Downloader, que geralmente vêm acompanhados por cavalos de tróia do tipo Banker, que roubam informações bancárias das vítimas e, por consequência, seu dinheiro.
Vítimas por região geográfica
As duas primeiras posições da lista de vítimas por região são facilmente justificadas, uma vez que se tratam dos países com maior população e alto grau de adoção de internet. No entanto, é surpreendente verificar que a Venezuela ocupa o 3° lugar. O mesmo se pode dizer da Colômbia, a 4ª colocada.
Em relação à lista de vírus de 2010 (http://www.viruslist.com/sp/analysis?pubid=207271111) e a compararmos com os resultados atuais, vemos que o Brasil alcançou o 1° lugar devido à quantidade de ataques, enquanto a Venezuela seguiu o mesmo caminho, desbancando a Colômbia do 3° para o 4° lugar.
A quantidade de ataques registrados pode estar relacionada aos índices de crescimento dos crimes cibernéticos. Isso porque, atualmente, a imensa maioria dos programas maliciosos tem o objetivo de roubar dinheiro ou praticar algum crime que traga vantagens econômicas ilícitas para os criminosos por trás dos ataques. O fato de que alguns países que detêm tecnologias altamente avançadas não figurarem entre os cinco primeiros da lista pode indicar que eles realizam um esforço maior em termos de aplicação de leis eficazes para combater esse tipo de ataque. Um exemplo pode ser o Chile.
Hospedagem de malware nos servidores da web
A lista a seguir mostra a distribuição de malware instalados em servidores web por região.
Comparado à 2010, os países que hospedam a maior quantidade de programas ainda são o Brasil e o Panamá.
No entanto, podemos perceber que o Paraguai caiu do 3° para o 13° lugar. Isso indica que, internamente, algumas medidas práticas foram tomadas para mitigar a situação e eliminar contas utilizadas para hospedar malware.
Provavelmente, outras medidas adicionais foram tomadas, resultando na queda acentuada da posição do Paraguai.
O modelo paraguaio deve realmente ser copiado por todos os países, pois as medidas adotadas no país impactaram diretamente na redução da taxa de cibercrimes.
Vulnerabilidades mais comuns
Lamentavelmente na América Latina ainda não se pensa, nem se age de maneira a se antecipar às vulnerabilidades e suas correções necessárias (patches). Pirataria e cultura são dois fatores-chave nesta questão.
A vulnerabilidade mais comum, e a número 1 encontrada nas máquinas da região, é a 41340 (classificação de acordo com a Secunia) do Adobe Reader: os criminosos conseguem explorá-la e acessar o sistema de forma remota. O interessante é que essa vulnerabilidade foi descoberta em setembro de 2010 e, após seis meses, muitos usuários ainda não instalaram os patches correspondentes.
Em segundo lugar está a vulnerabilidade 41917 da aplicação Adobe Flash Player. Da mesma maneira, essa vulnerabilidade foi descoberta em outubro de 2010, mas há muitos usuários que ainda não tomaram as medidas necessárias para instalação dos patches. Ao explorar essa vulnerabilidade, os criminosos conseguem remotamente acessar o sistema e informações confidenciais sem serem detectados pelos próprios mecanismos de segurança do sistema operacional.
O 3° lugar da lista é ocupado pela vulnerabilidade 43262, que corresponde ao Sun Java e que permite aos criminosos comprometer o sistema, passando por cima da segurança, gerando ataques de recusa de serviço na máquina comprometida e conseguindo acesso não-autorizado às informações confidenciais do usuário.
Locais dos ataques Como se pode ver, a maior parte dos ataques ocorre diretamente na máquina do usuário, quando ele usa dispositivos USB ou se conecta a outros recursos. No entanto, é interessante notar que 43% de todos os incidentes estão relacionados a ataques provenientes dos servidores de internet. Os criminosos já entenderam há muito tempo que a web é o melhor vetor dos ataques, pois está sempre disponível e pode ser utilizada por qualquer usuário em qualquer lugar do mundo. Ou seja, o mesmo ataque dirigido a usuários de um país pode funcionar com usuários de outra nação, uma vez que ambos tenham acesso à rede mundial de computadores.
Com este objetivo, os criminosos têm se esforçado, não só com a criação de sites maliciosos por meio do registro de domínios descartáveis, como também por meio de invasão (hacking) de servidores legítimos e populares entre os internautas. Os usuários que aparentemente visitam uma página confiável podem também tornar-se uma vítima fácil para os criminosos se a página em questão estiver comprometida e tiver um dos exploits mencionados anteriormente em vulnerabilidades (veja mais informações sobre esse ataque no artigo Visite seu site favorito e seja infectado).
Conclusões
Os dispositivos USB e as páginas de internet são os principais meios de infecção usados pelos criminosos na América Latina. Tantos os usuários domésticos como as empresas deveriam adotar políticas de gestão seguras para esses dispositivos. Por exemplo, uma das melhores práticas é desabilitar o processamento do arquivo "autorun.inf" nos sistemas operacionais Windows. Em alguns casos, as empresas também podem optar por uma política mais definitiva, como a proibição total do uso das memórias de armazenamento de informações em dispositivos USB enquanto outros dispositivos USB podem ser permitidos.
É importante também filtrar os conteúdos web, principalmente em empresas onde os funcionários acessam todo o tipo de recursos da internet. As estatísticas mostram que é possível reduzir significativamente a quantidade de ataques bem sucedidos no ambiente corporativo com a filtragem responsável e pré-determinada do conteúdo online.
Além disso, é preciso pensar e agir para enfrentar as vulnerabilidades que surgem no dia-a-dia. É importante que todos os usuários adotem essa prática permanentemente. Usar patches nos sistemas e aplicações é uma boa prática para ajudar a reduzir a probabilidade de se tornar vítima de crimes cibernéticos.
Esta matéria foi uma produção da Assessoria de Impresa da Kaspersky Lab, parceira Qualitek.
This entry was posted on October 4, 2009 at 12:14 pm, and is filed under
Notícias
. Follow any responses to this post through RSS. You can leave a response, or trackback from your own site.
Assinar:
Postar comentários (Atom)
Postar um comentário
Recebemos a sua mensagem e em breve retornaremos o contato. Obrigado por ler o blog da Qualitek!