De acordo com as declarações da equipe da Trustwave, a intenção não é refazer o trabalho incansável dos seus altamente capacitados pesquisadores da SpiderLabs, que estudaram minuciosamente o funcionamento interno do Magnitude - que agora controla cerca de um terço da quota de mercado em relação a kit exploits disponíveis - para expor, entre outras coisas, sua estrutura de pagamento/receita, efetividade e eficácia dos recursos administrativos e as difíceis tarefas de deteção. Ao invés disso, a equipe da Trustwave resolveu se concentrar no que as empresas e os consumidores devem fazer para se proteger contra esses programas mal-intencionados. Afinal de contas, ao longo de um período de um mês, Magnitude tentou explorar 1,1 milhão de máquinas únicas e realmente conseguiu comprometer cerca de 210 mil máquinas únicas.
Sendo assim, aqui estão quatro maneiras através das quais as pessoas podem ficar à frente dessa tendência:
• Embora muitas das infecções causadas por Magnitude ter ocorrido através de processos drive-by downloads - em que os usuários estão infectados simplesmente por visitar uma página web comprometida - é sempre uma boa idéia evitar clicar em links e anexos que você não estava esperando. Além disso, os departamentos de TI devem eliminar os direitos de administrador para usuários regulares, o que pode reduzir bastante a exposição à vulnerabilidade.
• Como esses toolkits normalmente tem como alvo as vulnerabilidades comumente encontradas em software de terceiros, como Java, Adobe Reader e Adobe Flash, é necessário que seus usuários mantenham sempre esses programas atualizados. E além disso, também é preciso considerar a desativação de componentes que não estiverem em uso ou que nem sejam mesmo de primeiro instância, tais como Java no navegador.
• Kits exploit como Magnitude, constantemente remetem a tipos de malware que utilizam e verificam o código em relação aos produtos anti-vírus mais comuns. Como tal, as organizações devem implementar defesas de malware avançados, como gateways de segurança Web, que oferecem proteção em tempo real contra ataques direcionados, as vulnerabilidades 0-day, blended threats e perda de dados.
• Por causa de pessoal habilitado e orçamento para investir em programas de capacitação, algumas organizações podem não ter as devidas capacidades para lidar com ataques de malware mais destrutivos. Para ajudar a preencher as lacunas, eles podem fazer parcerias com provedores de serviços gerenciados de segurança, que vêm munidos com o conhecimento e a inteligência escalável para combater as ameaças avançadas dos dias de hoje.
BlackHole: O "Must Have" dos Cybercriminosos
Em 2012, de uma forma evolutiva e já esperada, os cybercriminosos brasileiros adotaram pela primeira vez no país, a utilização de kits exploit para desencadear seus ataques. O elemento nefasto escolhido por eles foi o BlackHole, um kit exploit muito comum entre os atacantes cibernéticos do leste europeu. Ele foi encontrado em um ataque recente (na época), criado com a finalidade de distribuir trojans bancários. O kit explorava falhas de software de alta popularidade e dessa forma, conseguia potencializar o número de novas vítimas e de computadores infectados.
Kits Exploit e Automatização de Ataques
Para quem ainda não entendeu direito do que se trata, os kits exploit são pacotes de códigos que já vem prontos. Eles são negociados entre os cybercriminosos, com o intuito de automatizar ataques através da Web. Nesses ataques, são tirados proveitos das falhas de segurança de programas mais populares, como leitores de PDF, plugins de navegadores, e até mesmo falhas existentes no Windows. Além de tudo, os kits ainda fornecem estatísticas, informando quantos internautas acessaram as páginas infectadas, quantos foram infectados a partir de uma investida bem sucedida e qual a falha que mais foi utilizada com sucesso.
Impulso para Instalação de Falsos Anti-vírus, Disseminação de Rootkits e Infecção de Sistemas de Usuários
Vale ressaltar que um kit exploit pode custar caro: uma cópia da última versão do BlackHole, logo que a praga surgiu, custava em média U$ 2.500,00 (dois mil e quinhentos dólares). Os desenvolvedores que negociam o kit exploit com outros cybercriminosos, também alugam ou vendem versões pré-pagas do kit – o aluguel pode sair por U$ 50,00 (cinquenta dólares) por dia de uso. O Blackhole era comumente usado em esquemas maliciosos, que envolviam a instalação de antivírus falsos, rootkits e outras pragas que não eram tão comuns no Brasil. Mas com o passar do tempo, o país foi se transformando em uma enorme porta aberta para os mais diversos delitos cibernéticos, figurando no ranking de países onde o cybercrime tem maior prevalência.
Clientes de Internet Banking e o Alto Risco de Ataques
O uso de kits exploit em ataques nacionais, passou a ser sinônimo de que os clientes de Internet banking estarão expostos a mais riscos enquanto navegam, e poderão ser infectados mais facilmente, de forma imperceptível. A sua utilização possibilita que os cybercriminosos possam explorar falhas de segurança que foram descobertas recentemente, e a partir daí, infectar um número maior de vítimas. Isso torna-se ainda mais favorável para os atacantes, pelo fato de que muitos usuários tem a preocupação de instalar atualizações de segurança.
Todos os ataques sempre foram muito bem elaborados, muito bem orquestrados, desenvolvidos de forma a apresentarem uma baixíssima taxa de detecção e bloqueio pelas soluções de segurança mais utilizadas.
Variante do darkComet Despontava no Início de 2011
No início de 2011, um grupo de pesquisadores da Sophos, mostrou que Black Hole RAT era uma variante do malware darkComet para sistemas Windows. Chamado de Remote Administration Tool (RAT), este tipo de malware dava acesso aos atacantes, para que eles pudessem desempenhar inúmeras funções em computadores remotos, normalmente em computadores com Windows.
Na época, havia uma versão ainda em projeção para Mac OS X. Ela continha uma rotina de phishing que havia sido criada para enganar os usuários, fazendo com que eles revelassem a senha de administrador de seu sistema. Havia também uma permissão para que os atacantes pudessem baixar arquivos da Internet e em seguida, pudessem liberá-los no ambiente de trabalho para desligar ou reiniciar o computador da vítima. Nesse ritmo de atividade, os cybercriminosos passaram a executar comandos shell arbitrários, além de bloquear a tela do usuário com uma janela personalizada.
Infiltração em Computadores sem Conhecimento do Usuário
Em resumo, BlackHole penetra em computadores de forma bastante silenciosa, sem que a pessoa saiba de sua investida, que acontece através de exploração de vulnerabilidades de rede ou de software. Além disso, BlackHole exibe anúncios pop-up irritantes, que fazem os usuários de computador perderem a paciência. Assim, uma vez que seu computador estiver infectado com este BlackHole, ele replica-se e esconde-se no sistema. E não satisfeito, o elemento nefasto faz uso de recursos disponíveis na rede para se conectar ao seu comunicador, a fim de gravar e transmitir informações pessoais, tais como informações de cartão de crédito, número de login e senha.
Instalação de Trojans em Máquina Infectada
Em seguida, BlackHole baixa e instala mais trojans/worms/malwares no computador atacado por receber as configurações da Internet. Além disso, ele também apresenta a capacidade de injetar código para o processo "svchost.exe" e encerrar o executável de origem. Vale notar ainda que ele gera uma entrada de inicialização para habilitar sua execução automática, a fim de que ele possa ser executado automaticamente toda vez que você ligar o computador.
Desdobramento das Autoridades para Identificar os Cybercriminosos e Elucidar Delitos Praticados
Em face do que foi possível perceber e de forma bastante clara, a atividade criminosa na Internet está crescendo cada vez mais - não de forma constante, mas de forma exponencial, tanto em freqüência quanto em complexidade. Isso quer dizer que os criminosos cibernéticos estão ficando cada vez mais espertos, e vem descobrindo novas maneiras de burlar o sistema, para que possam alcançar o sucesso em suas investidas. As autoridades que cuidam dos casos de crimes cibernéticos ainda encontram muitas dificuldades para localizar os responsáveis por muitos delitos cometidos na grande rede; o problema maior é que as atividades do cybercibercrime são muito mais difíceis de serem detectadas e identificadas do que o crime praticado no mundo real.
Saiba Mais:
[1] Trustwave Blog https://www.trustwave.com/Resources/...-Exploit-Kits/