Relatório de segurança mostra que roubo de dados foi principal ameaça em 2013

Por Rafael Romer | 16.04.2014 às 16:14 - atualizado em 17.04.2014 às 01:14

A Websense adiantou ao Canaltech os resultados de seu Relatório de Ameaças 2014, que documenta as principais tendências de ataques e ameaças de segurança que atingiram empresas no ano passado.

De acordo com os dados observados através da base de clientes da empresa, hackers estão mudando planos de ataque para torná-los cada vez mais complexos e invisíveis para soluções tradicionais de segurança, e colocam o roubo de dados com o principal objetivo de suas atividades. "Esse se tornou o objetivo mais comum, 30% dos ataques que roubavam dados já estavam até criptografando a informação", explica Graziane Pengue, engenheiro sênior de sistemas da Websense. "Esse nível de complexidade e esse foco na informação está deixando muito claro que o objetivo é o furto".

De acordo com a empresa de segurança, os ataques com um nível de organização maior passaram a ser o normal, e não mais a exceção, como no passado, o que mostra um crescente desenvolvimento da infraestrutura e aprimoramento de ameaças criminosas.

O ganho financeiro ainda é o principal objetivo desses grupos durante os ataques. Com um número grande de ações que envolveram o chamado sequestro de informação, o roubo de um dado que só será devolvido pelo atacante após o pagamento de um "resgate" foi observado. "Nós detectamos o uso crescente do chamado 'cryptolocker', que prende uma informação", afirma. "Eu consigo esconder uma informação importante para você e quero algo em troca disso".

Cadeia de Destruição

Os ataques, agora, utilizam uma série de técnicas de engenharia social para atrair a atenção de usuários específicos, utilizando temas populares, como foi o nascimento do príncipe George no ano passado. Em seguida, as ações utilizam ferramentas como kits de exploração e redirecionamento para prejudicar sites legítimos e roubar informações sem comprometer diretamente o sistema do alvo.

Esse modelo gerou um padrão que a empresa apelidou de "cadeia de destruição", que é uma série dos sete estágios de ação que compuseram a maior parte desses ataques no ano passado – cada um com uma engenharia específica que tem como objetivo final o roubo de informação.

O primeiro passo, o "reconhecimento", é focado na obtenção de infomações sobre o seu alvo de ataque. Em seguida, é colocada a "isca", que utiliza os dados coletados no primeiro estágio para atrair a atenção de um grupo específico.

O terceiro nível do ataque é o redirecionamento, que leva o usuário a uma página que parece legítima. No ano passado, os ataques utilizaram uma média de quatro redirecionamentos diferentes em cada ataque. Em um ataque específico, foi observado um total de 20 redirecionamentos diferentes.

Categorias de sites como Negócios e Economia, Tecnologia da Informação e Compras e Viagens foram as mais utilizadas por técnicas de redirecionamento. Só as ferramentas da empresa bloquearam um total de 1,8 bilhão de redirecionamentos em 2013.

Após o redirecionamento, é descarregado algum kit que passa a explorar as vulnerabilidades do sistema alvo. Os kits de exploração Magnitude e Neutrino foram os mais utilizados no ano passado. De acordo com os dados da empresa, um total de 67 milhões de eventos baseados em kits de exploração foram observados em sistemas da Websense.

Em seguida, o arquivo de ataque é colocado no sistema da vítima, que a partir desse momento poderá ficar inerte enquanto os dados desejados são coletados. Por fim, o arquivo realiza o chamado "call home", que termina por infectar o sistema com novas instruções e ferramentas que realizam o roubo dos dados.

A complexidade do ataque faz com que empresas tenham que tomar cuidados extras com seus sistemas de segurança. Um exemplo desse tipo de ação orquestrada foi o roubo de número de cartões de crédito de clientes da rede de varejo norte-americana Target, no final no ano passado. O roubo afetou um número estimado de 110 milhões de consumidores da empresa, e teve origem não dentro da Target, mas nos sistemas de um dos parceiros de negócio da rede.

"A gente recomenda às empresas não só olharem o seu fluxo de informação e seu perímetro de segurança, mas se você está trocando informações com parceiros, vocês precisam definir normas que todos devem seguir", explica o engenheiro. "Você tem que entender todo o fluxo de informação".