Malware
Malware é a contração de malicious software (software mal-intencionado). Normalmente é um código projetado para causar danos ou obter acesso não autorizado.
A variedade de malwares é enorme dentre as quais se destacam:
Adware – Exibe anúncios indesejados. Embora em alguns casos possam ser considerados apenas pop-ups irritantes, em outros são porta de entrada para outros malwares, não tão inocentes. Mesmo no caso em que são utilizados “apenas” para a exibição de propaganda, podem coletar informações pessoais do visitante para induzi-lo a alguma ação.
Botnets – Não é em si um tipo de malware, mas sim uma rede de computadores (robot network) infectados que atuam em conjunto, controlados pelos invasores. Normalmente são utilizados para ataques DDoS (negação de serviço), enviar spam (mensagens indesejadas) ou minerar criptomoedas.
Ransomware – Restringe o acesso do usuário a arquivos ou sistemas, criptografa o conteúdo e cobra um “resgate” para informar uma chave que (supostamente) permitirá recuperar os dados. Uma apresentação mais detalhada pode ser vista neste outro artigo: Ransomware.
Spyware – Código que fica em execução em segundo plano, coletando informações do usuário através de suas ações em seu computador, incluindo senhas, números de cartão de crédito, sites visitados, dentre outras informações.
Trojan – Disfarçado de software legítimo ou oculto em um aplicativo que foi comprometido, normalmente são discretos e criam backdoors (porta dos fundos na tradução literal, um meio de se acessar um sistema ou rede sem passar pelo processo de identificação) que permite a entrada de outros malwares.
Vírus – Anexa trechos de códigos indesejados a arquivos existentes em seu dispositivo e se propagam infectando outros arquivos. O modo de disseminação é semelhante ao comportamento do vírus no corpo humano, que se espalha comprometendo células saudáveis. E para reforçar uma dúvida muito comum, vírus é apenas um dos tipos de malware.
Worms – Seu objetivo principal é a proliferação. Um worm infecta um computador e depois se replica. Alguns são utilizados como meios de propagação para outros malwares.
Poderíamos adicionar na lista outros malwares como rootkit e cryptojacking e mesmo assim a lista ainda não estaria completa.
Como o malware se propaga?
Como vimos anteriormente não existe apenas um tipo de malware. A disseminação também ocorre de várias maneiras. Cada um deles utiliza-se de uma ou mais formas para alcançar seu objetivo.
Embora o termo malware tenha sido utilizado pela primeira vez por Yisrael Radai em 1990, eles já estavam por aí bem antes disso. O primeiro não é um consenso e tem dois postulantes. Creeper, um virus de 1971, que foi criado como um experimento de laboratório pelo engenheiro Robert Thomas para infectar mainframes conectados a ARPANET; e, Elk Cloner, escrito por um garoto de 15 anos e que teria se propagado via disquete em 1982, infectando computadores Apple II.
De lá para cá, algumas formas de disseminação foram mais impactantes em certos momentos. Atualmente, as principais formas de propagação ocorrem através de mensagens de e-mail – links e arquivos anexos infectados –, SMS, mensagens em redes sociais, navegação em sites infectados, utilização de software ilegítimo etc. É importante frisar que em alguns casos o malware se propaga sem a intervenção direta do usuário, aproveitando-se de vulnerabilidades no sistema operacional ou firmware não atualizados.
As novas variantes incluem técnicas projetadas para enganar usuários, administradores de sistemas e mesmo algumas ferramentas antimalware. Termos como evasão, ofuscação e polimorfismo fazem parte do dia a dia dos profissionais de segurança. Estas novas variantes tornam estritamente necessário que os times de segurança analisem detalhadamente as ferramentas utilizadas. Técnicas como antisandbox – o malware adia sua execução até que detecte que não está mais sendo executado em uma sandbox (normalmente uma máquina virtual na qual os softwares são testados antes de serem liberados para os usuários) – e file-less (sem arquivo) – o código reside apenas na memória do sistema, fazem parte do arsenal atual.
Além disso, estudos indicam uma utilização cada vez maior de conexões criptografadas (HTTPS) tanto na distribuição dos malwares, alguns estudos falam em 67%, quanto no acesso que estes fazem as centrais de controle para informar o que coletaram e receber comando sobre os próximos passos. Como muitos firewalls não possuem a inspeção SSL habilitada, seja por não possuírem esta ferramenta, seja por problemas de performance, seja pela quantidade de problemas de acesso a sites advindos da ativação, este crescimento é um ponto de atenção.
O malware infecta apenas PCs?
Os malwares não se restringem a PCs da plataforma Windows. Os hackers se aproveitam de todas as oportunidades. PCs, Macs, smartphones, virtualmente qualquer dispositivo que rode algum trecho de código, pode ser infectado e explorado. O crescimento no uso de IoT (Internet das Coisas) vem ampliando o número de dispositivos passíveis de serem infectados.
Em 2016, o malware Mirai fez ataques DDoS maciços utilizando câmeras conectadas a internet e roteadores. Em março deste mesmo ano foi identificado um ataque ransomware que infectou 7.000 usuários Mac. Em 2010, tivemos a ocorrência de um vírus, Stuxnet, projetado para atacar especificamente o sistema operacional de um determinado equipamento industrial (centrífugas de enriquecimento de urânio).
Como saber se estou infectado?
Os hackers vêm se especializando em tentar se passar desapercebidos até o momento em que desejam se fazer notar. Com isso, muitos dos comportamentos anteriormente citados como indicativos de comprometimento, não são mais suficientes para indicar que seu dispositivo está comprometido. Entretanto, caso você detecte algum deles, não tenha uma boa ferramenta anti-vírus ou esta esteja desatualizada, ligue o sinal de alerta.
Lentidão – Seu dispositivo de repente ficou mais lento, seja no uso diário, seja na navegação na internet.
Espaço em disco – O espaço disponível reduziu drasticamente sem a instalação de um novo programa.
Consumo – A CPU e memória passam a ser demandados em tempo integral. Além disso, a ventoinha (fan) de seu computador funciona em tempo integral e em alta rotação.
Navegador – A página inicial de seu navegador muda sem que você tenha alterado. Plugins, toolbars e extensões não solicitados aparecem. Links direcionam para outros sites que não o esperado. Anúncios indicando que você ganhou alguns múltiplos de reais ou uma avaliação grátis em sites que nada tem a ver com o assunto.
Anti-vírus – Seu programa anti-vírus parou de funcionar ou as atualizações não ocorrem mais.
Como se proteger?
Como apresentado até agora, estar seguro contra o malware não consiste apenas em ter uma boa solução anti-malware. Para as empresas, uma política de segurança de TI baseada em boas práticas e a conscientização de todos na organização é essencial.
Algumas ações que devem ser observadas:
Utilize ferramentas de proteção de endpoint – Anti-malwa que trabalham com base em assinatura, embora sejam eficientes em muitas situações, não conseguem acompanhar a velocidade dos malwares. Faça uso de uma ferramenta que utilize inteligência artificial para monitoramento de seu endpoint. Se essa ferramenta puder combinar assinatura com inteligência artificial e se trabalhar em conjunto com outras ferramentas de segurança em sua rede, como seu firewall, certamente você terá ganhos expressivos em seu cenário.
Treine e eduque – O treinamento e conscientização dos funcionários são críticos. Os profissionais, independentemente de serem da área de TI, devem saber o que fazer – e o que não fazer –, como evitar o malware e como denunciá-lo.
Mantenha seus produtos atualizados – Mantenha seus sistemas operacionais, navegadores e outros softwares atualizados com os patches mais recentes dos fabricantes. Lembre-se que os ataques acontecem não apenas pela execução de um arquivo infectado, mas pela exploração da vulnerabilidade nos softwares utilizados.
Habilite as extensões de seus arquivos – O Windows normalmente vem configurado para não exibir as extensões de arquivos conhecidos. Um arquivo como Orçamento202008.pdf neste caso pode ser um executável de nome Orçamento202008.pdf.exe, uma vez que a extensão .exe não é exibida.
Extensões .JS devem ser abertas no Notepad – Altere a configuração de seu sistema operacional para abrir arquivos .js no notepad, evitando que macros maliciosas sejam executadas pelo usuário com um duplo clique no arquivo.
Mantenha a execução automática de macros desabilitada no Office – A Microsoft alterou esta configuração, desabilitando a execução automática, em versões anteriores. Mantenha assim.
Suspeite dos anexos recebidos – Tenha certeza de que o arquivo que recebeu é realmente necessário e foi realmente enviado de forma intencional pelo remetente. Os atacantes contam com sua curiosidade em abrir o arquivo.
Links – Suspeite de links em sites ou recebidos por e-mail, SMS, mensagens de WhatsApp ou redes sociais, principalmente quando o endereço ou remetente parecer suspeito ou estranho.
Navegação segura – Caso seu software de endpoint ou seu firewall possuam um filtro de navegação segura, ative-o (se os dois possuírem melhor ainda, ative os dois). As melhores ferramentas comparam os endereços que estão sendo visitados com bases que são atualizadas sistematicamente para identificar se aquele site é considerado seguro. Além disso, em um cenário corporativo podem ser utilizados para indicar ao funcionário que a navegação em determinados sites não está de acordo com a política de segurança da empresa ou com o código de ética e conduta.
Anormalidade no uso de processamento em servidores, incluindo cloud – Investigue qualquer crescimento anormal no consumo de CPU e GPU (processador da placa gráfica) de seus servidores, sejam eles físicos, virtuais ou plataformas públicas de cloud como a AWS, Azure, GCP e outros.
Backup, backup e backup – Faça backups constantes. Mantenha cópias de seus arquivos off-line e também fora de sua empresa. Se possível siga a regra 3-2-1: no mínimo três cópias dos dados, em no mínimo dois tipos diferentes de mídia e com ao menos 1 cópia fora da empresa. Ferramentas de backup que utilizam sistemas de arquivos locais podem ser comprometidos da mesma forma que os arquivos originais; daí quando você for precisar do backup, ele não estará disponível. E não deixe de testar a restauração de seus backups em períodos regulares.