Danos Causados por Exploits e Interrupção de Processos de Negócios
Um exploit geralmente afeta o sistema, quando um usuário de aplicações vulneráveis visita uma página Web infectada. Qualquer página da Internet, mesmo que seja uma webpage familiar e tenha sido visitada com segurança antes, pode ser infectada. A exploração é ativada sem o conhecimento do usuário e não requer um arquivo executável para baixar ou executar. Para usuários corporativos, os exploits são ainda mais perigosos, porque um ataque a computadores de uma empresa podem interromper seus processos de negócio e levar a grandes perdas - tanto financeiras quanto de reputação.
O uso de exploits aumenta drasticamente a eficiência dos cyber-ataques direcionados a organizações. Um dos exemplos mais recentes é o do malware Careto, que atingiu pelo menos 380 metas públicas e privadas em todo o mundo. Proteger clientes corporativos é ainda mais complicado, porque algumas empresas precisam usar o software que é compatível apenas com os mais antigos - e, conseqüentemente, são mais vulneráveis - as versões do Java, para o qual a maioria dos exploits são desenvolvidos hoje em dia.
MRG Effitas investigou o nível de proteção anti-exploit fornecida por seis produtos corporativos de diferentes fornecedores. Ao contrário de seus concorrentes, o Kaspersky Endpoint Security for Business não foi o único produto testado como uma solução integrada, mas a sua prevenção automática também foi julgada de forma isolada, a partir de todos os outros mecanismos de proteção. Esta tecnologia anti-exploração é utilizada em todas as soluções de proteção da Kaspersky.
Os especialistas da MRG Effitas selecionaram 110 contenções com links maliciosos, que foram feitas para testar a proteção fornecida pelos diferentes produtos. A grande maioria (98) desses exploits, foram direcionados para a plataforma Java. O aumento no seu número ao longo dos últimos dois anos foi o tema do estudo "Java under attack - the evolution of exploits in 2012-2013". O teste foi dividido em duas fases: a primeira etapa determinou o percentual de exploits bloqueados numa fase inicial, antes que o código malicioso iniciasse a sua atividade destrutiva. A segunda etapa foi menos rigorosa e à solução de segurança foi concedido um "recurso" para bloquear a exploração inicial, conseguindo ignorar possíveis carregamentos de malware.
Resultados das Avaliações Relacionadas ao Endpoint Security for Business
Kaspersky Endpoint Security for Business demonstrou os melhores resultados na primeira fase de bloqueio, coibindo 98% das explorações. Mesmo quando a solução Automatic Exploit Prevention foi testada isoladamente, sem quaisquer outros recursos de segurança, a solução apresentou um melhor desempenho do que a maioria dos outros participantes e compartilhou o segundo lugar depois de bloquear 95% dos exploits. Na segunda etapa, o Kaspersky Endpoint Security for Business bloqueou 100% das ameaças.
Considerações Executivas
Apenas um produto rival poderia corresponder a esse resultado, enquanto os outros participantes não bloquearam mais de 94%. Os resultados do Real World Enterprise Security Exploit Prevention Test permitiram que a solução corporativa da Kaspersky Lab recebesse o prêmio Certified MRG Effitas. Na sequência desses fatos, Oleg Ishanov, Director Anti-Malware Research da Kaspersky Lab, comentou que até aquele momento, nenhum cyber-ataque grave visando uma organização, poderia funcionar sem exploits atuando de forma secreta, assumindo o controle do computador e em seguida, executar o código malicioso que desencadeia a parte principal do ataque.
Eficácia da Solução Automatic Exploit Prevention
Então, é muito mais seguro bloquear o exploit na primeira fase, antes de carregar programas maliciosos no computador. O teste MRG Effitas demonstrou que a tecnologia Automatic Exploit Prevention pode lidar com esta tarefa melhor do que as soluções dos concorrentes, mesmo quando isolados dos outros sub-sistemas de segurança do produto. Vale observar que o teste foi efetuado por uma versão do Microsoft Windows 7 Enterprise SP1 64 bits. Os aplicativos que foram mais freqüentemente alvo de exploits no ano anterior, como o Java 1.7, Adobe Reader 9.3, o Flash Player 10.1, o Silverlight 5.1 e Internet Explorer 8.0, também foram instalados nos computadores de teste.
Malware "Careto" Também Conhecido como "The Mask"
Em meados de fevereiro desse ano de 2014, a Kaspersky Lab identificou a existência de um malware governamental que chegou a infectar equipamentos em pelo menos 31 países, incluindo o Brasil, com o objetivo de roubar informações secretas de órgãos do governo, embaixadas e empresas de energia, óleo e gás, além de centros de pesquisa e de organizações ativistas. Com a plena capacidade de interceptar até mensagens criptografadas, o programa malicioso atingiu 380 vítimas únicas, entre mais de 1 mil IPs.
Brasil Fortemente Visado Pelo Malware
Desses protocolos infectados, 137 IPs são do Brasil, que fica atrás somente do Marrocos, com 384 IPs, em número de dispositivos atacados. De acordo com declarações de Dmitry Bestuzhev, diretor da equipe de pesquisa e análise da Kaspersky Lab na América Latina, o Brasil é o alvo número dois. Isso significa que o interesse desses atacantes, ou das pessoas que estão por trás desse ataque, é muito grande no que diz respeito ao Brasil. Entretanto, o executivo não revelou, quais foram as empresas ou órgãos atacados. ele apenas disse que essa é uma informação confidencial e que não poderia, de forma alguma, torná-la pública.
Alta Complexidade e Interceptação de Comunicações Criptografadas
Devido a sua complexidade, o malware chamado "The Mask" ou "Careto", pelo fato de ser proveniente da Espanha, é considerado pela Kaspersky mais perigoso do que o "Duqu", que foi usado para roubar informações sobre as usinas nucleares do Irã. Na verdade, "Careto" é mais do que um simples malware: ele traduz um conjunto sofisticado de ferramentas, que foi desenvolvido para comprometer computadores e coletar uma grande quantidade de informações a partir deles.
Bestuzhev disse ainda, que esse malware não rouba apenas documentos, mas também rouba certificados digitais, que são usados para criptografar as conexões. Portanto, uma vez que estiver de posse desses certificados, os atacantes podem interceptar comunicações criptografadas e, dessa forma, conseguir todo tipo de informação secreta e confidencial.
Os programas aos quais o pesquisador se refere são chaves de criptografia, utilizadas para codificar um documento. Além dessas chaves, o malware busca roubar as configurações de redes privadas, chaves para quebrar a criptografia em comunicações remotas entre servidores e clientes, e até arquivos que sejam capazes de abrir automaticamente um canal de conexão com outro computador. Já o "Duqu" tinha propósitos específicos. No caso do malware "Careto", o intuito é roubar informação, incluindo certificados de criptografia.
Comprometimento de Sistemas Windows, Linux e Mac OS X
Dentre os recursos ardilosos que o malware utiliza, alguns deles são capazes de camuflar sua atuação: um "rootkit" e um "bootkit" (programa que consegue dar um bypass em processos de validação e, na prática, esconde o "rootkit", deixando-o livre para atuar). De acordo com o Bestuzhev, as pessoas podem achar que é quase impossível infectar aparelhos iOS, mas, nesse caso, os criminosos criaram a possibilidade de infectar todos os dispositivos possíveis. Isso inclui aparelhos que rodam os sistemas Windows, Linux, Mac OS e possivelmente, iPhones e iPads. Os nomes das ameaças são Trojan.Win32/Win64.Careto, para Windows, e Trojan.OSX.Careto, para Mac.
Levando em consideração os objetivos do malware "Careto", seu conjunto de mecanismos de defesa e segurança e a sua capacidade de invadir qualquer sistema operacional, a Kaspersky levanta a hipótese de que o malware foi desenvolvido por uma ação governamental muito bem elaborada, oriunda de algum país latino-americano, com exceção do Brasil e países de menor dimensão.
Malware em Atividade Desde 2007
O malware "The Mask" foi descoberto no ano passado, mas sua atuação vem desde o ano de 2007, de acordo com declarações da equipe da Kaspersky. A propagação do malware ocorre por meio de e-mails de "phising", mensagens que se passam por comunicados corporativos com a intenção de direcionar internautas a sites falsos. A página de destino estava minada de "exploits".
Saiba Mais:
[1] Kaspersky Lab http://www.kaspersky.com/about/news/...petitors-again