O que é malware?

Quase todos os ataques cibernéticos modernos envolvem algum tipo de malware. Esses programas maliciosos podem assumir muitas formas, desde ransomware altamente prejudicial e caro até adware meramente irritante, dependendo do que os cibercriminoso pretendem fazer.

Os criminosos cibernéticos desenvolvem e usam malware para:

• Manter dispositivos, dados ou redes corporativas inteiras reféns em troca de grandes quantias de dinheiro.
  
  
• Obter acesso não autorizado a dados confidenciais ou recursos digitais.
  
  
• Roubar credenciais de login, números de cartão de crédito, propriedade intelectual ou outras informações valiosas
  
  
• Interromper os sistemas críticos dos quais as empresas e agências governamentais dependem.

Há bilhões de ataques de malware todos os anos, e infecções de malware podem ocorrer em qualquer dispositivo ou sistema operacional. Os sistemas Windows, Mac, iOS e Android podem ser vítimas.

Cada vez mais, os ataques de malware têm como alvo empresas em vez de usuários individuais, pois os hackers aprenderam que é mais lucrativo ir atrás de organizações. As empresas frequentemente detêm quantidades significativas de dados pessoais, e os hackers exploram esse fato para extorquir grandes quantias de dinheiro delas. Os hackers podem usar esses dados pessoais para roubo de identidade ou vendê-los na dark web.

O crime cibernético é uma indústria gigantesca. De acordo com uma estimativa, ela seria a terceira maior economia do mundo, atrás dos EUA e da China, com um custo projetado de US$ 10,5 trilhões até 2025.

Nesse setor, hackers desenvolvem constantemente novas cepas de malware com novos recursos e funcionalidades. Essas cepas individuais de malware geram novas variantes ao longo do tempo para escapar melhor do software de segurança. Estima-se que mais de 1 bilhão de diferentes cepas e variantes de malware tenham sido criadas desde a década de 1980, dificultando o acompanhamento dos profissionais de cibersegurança.

Os hackers geralmente compartilham seu malware tornando o código aberto ou vendendo-o a outros criminosos. Os acordos de malware como serviço predominam entre os desenvolvedores de ransomware, para que até criminosos com pouco conhecimento técnico possam colher as recompensas do crime cibernético.

Embora o cenário esteja sempre mudando, as cepas de malware podem ser categorizadas em alguns tipos comuns.

Os termos "malware" e "vírus do computador" são frequentemente usados como sinônimos, mas um vírus é tecnicamente um tipo específico de malware. Especificamente, um vírus é um código malicioso que "sequestra" um software legítimo para causar danos e espalhar cópias de si mesmo.

Os vírus não podem agir sozinhos. Em vez disso, ocultam trechos do código em outros programas executáveis. Quando um usuário inicia o programa, o vírus também começa a ser executado. Os vírus geralmente são projetados para excluir dados importantes, interromper as operações normais e espalhar cópias de si mesmos para outros programas no computador infectado.

A maioria das primeiras ameaças de malware eram vírus. O Elk Cloner, talvez o primeiro malware a se espalhar por dispositivos públicos, era um vírus que tinha como alvo os computadores da Apple.

O ransomware bloqueia os dispositivos ou dados de uma vítima e exige um pagamento de resgate, geralmente na forma de criptomoedas, para desbloqueá-los. De acordo com o X-Force Threat Intelligence Index da IBM, o ransomware é o segundo tipo mais comum de ataque cibernético, representando 17% dos ataques.

Os ataques mais básicos de ransomware tornam os ativos inutilizáveis até que o resgate seja pago, mas os cibercriminosos podem usar táticas adicionais para aumentar a pressão sobre as vítimas.

Em um ataque de extorsão dupla, cibercriminosos roubam dados e ameaçam vazá-los se não forem pagos. Em um ataque de extorsão tripla, hackers criptografam dados da vítima, os roubam e ameaçam desconectar os sistemas por meio de um ataque de distributed denial-of-service (DDoS).

As exigências de resgate podem variar de dezenas de milhares a milhões de dólares dos EUA. De acordo com um relatório, o pagamento médio de resgate é de US$ 812.360. Mesmo que as vítimas não paguem, o ransomware é caro. O relatório do custo das violações de dados da IBM constatou que o ataque médio de ransomware custa US$ 4,38 milhões com o envolvimento de autoridades policiais e US$ 5,37 milhões sem o envolvimento de autoridades policiais, e esses valores não incluem o resgate em si.

Os hackers usam malware de acesso remoto para obter acesso a computadores, servidores ou outros dispositivos criando ou explorando backdoors. De acordo com o X-Force Threat Intelligence Index, plantar backdoors é o objetivo mais comum dos hackers, representando 21% dos ataques.

Os backdoors permitem que os cibercriminosos façam muita coisa. Eles podem roubar dados ou credenciais, assumir o controle de um dispositivo ou instalar malwares ainda mais perigosos, como o ransomware. Alguns hackers usam malware de acesso remoto para criar backdoors que podem ser vendidos a outros hackers, o que pode render vários milhares de dólares cada.

Alguns malware de acesso remoto, como o Back Orifice ou CrossRAT, são criados intencionalmente para fins maliciosos. Os hackers também podem modificar ou usar indevidamente um software legítimo para acessar remotamente um dispositivo. Em particular, os cibercriminosos usam credenciais roubadas para o remote desktop protocol (RDP) da Microsoft como backdoors.

Um botnet é uma rede de dispositivos infectados por malware e conectados à Internet sob o controle de um hacker. Os botnets podem incluir PCs, dispositivos móveis, dispositivos de Internet of Things (IoT) e muito mais. As vítimas normalmente não percebem quando seus dispositivos fazem parte de um botnet. Os hackers costumam usar botnets para lançar ataques DDoS, que bombardeiam uma rede alvo com tanto tráfego que ela fica lenta ou desliga completamente.

O Mirai, um dos botnets mais conhecidos, foi responsável por um ataque maciço em 2016 contra o provedor de sistema de nomes de domínio Dyn. Este ataque derrubou sites populares como o Twitter e Reddit para milhões de usuários nos EUA e na Europa.

Um criptojacker é um malware que controla um dispositivo e o utiliza para minerar criptomoedas, como bitcoin, sem o conhecimento do proprietário. Essencialmente, os criptojackers criam botnets de criptografia.

A mineração de criptomoedas é uma tarefa extremamente cara e com uso intenso de computação. Os cibercriminosos lucram enquanto os usuários de computadores infectados apresentam desempenho desacelerado e falhas. Os cryptojackers frequentemente visam a infraestrutura de nuvem empresarial, permitindo-lhes mobilizar mais recursos para mineração de criptomoedas do que visando computadores individuais.

O malware sem arquivo é um tipo de ataque que usa vulnerabilidades em programas de software legítimos, como navegadores da web e processadores de texto, para injetar códigos maliciosos diretamente na memória do computador. Como o código é executado na memória, ele não deixa vestígios no disco rígido. Por usar um software legítimo, geralmente evita a detecção.

Muitos ataques de malware sem arquivos usam o PowerShell, uma interface de linha de comando e uma ferramenta de script incorporada ao sistema operacional do Microsoft Windows. Os hackers podem executar scripts PowerShell para alterar configurações, roubar senhas ou causar outros danos.

Macros maliciosas são outro vetor comum para ataques sem arquivos. Aplicativos como Microsoft Word e Excel permitem que os usuários definam macros, conjuntos de comandos que automatizam tarefas simples, como formatação de texto ou execução de cálculos. Os hackers podem armazenar scripts maliciosos nessas macros; quando um usuário abre o arquivo, esses scripts são executados automaticamente.

Worms são programas maliciosos auto-replicáveis que podem se espalhar entre aplicativos e dispositivos sem interação humana. (Compare com um vírus, que só pode se espalhar se um usuário executar um programa comprometido.) Embora alguns "worms" não façam nada mais do que se espalhar, muitos têm consequências mais graves. Por exemplo, o ransomware WannaCry, que causou uma estimativa de US$ 4 bilhões em danos, era um worm que maximizou seu impacto, espalhando-se automaticamente entre os dispositivos conectados.

Os cavalos de troia disfarçam-se como programas úteis ou escondem-se dentro de software legítimo para enganar os utilizadores a instalá-los. Um acesso remoto aos cavalos de troia ou "RAT" cria um backdoor secreto no dispositivo infectado. Outro tipo de cavalo de troia, chamado de "dropper," instala malware adicional assim que consegue invadir. O Ryuk, uma das cepas de ransomware mais devastadoras recentes, usou o cavalo de troia Emotet para infectar dispositivos.

Rootkits são pacotes de malware que permitem que hackers obtenham acesso privilegiado em nível de administrador ao sistema operacional de um computador ou a outros ativos. Os hackers podem usar essas permissões elevadas para fazer praticamente o que quiserem, como adicionar e remover usuários ou reconfigurar aplicativos. Os hackers costumam usar rootkits para ocultar processos maliciosos ou desativar o software de segurança que pode capturá-los.

O scareware assusta os usuários, fazendo-os baixar malware ou passar informações confidenciais a um fraudador. O scareware geralmente aparece como um pop-up repentino com uma mensagem urgente, geralmente avisando o usuário de que ele violou a lei ou que seu dispositivo tem um vírus. O pop-up orienta o usuário a pagar uma “multa” ou baixar um software de segurança falso que acaba sendo um malware real.

O spyware se esconde em um computador infectado, coletando secretamente informações confidenciais e transmitindo-as de volta ao invasor. Um tipo comum de spyware, chamado de keylogger, registra todas as teclas digitadas pelo usuário, permitindo que hackers coletem nomes de usuário, senhas, números de contas bancárias e cartões de crédito, números da previdência social e outros dados confidenciais.

O adware envia spam para o dispositivo com anúncios pop-up indesejados. O adware é frequentemente incluído no software gratuito, sem que o usuário saiba. Quando o usuário instala o programa, ele também instala o adware sem querer. A maioria dos adwares é pouco mais que um incômodo. No entanto, alguns adwares coletam dados pessoais, redirecionam os navegadores da web para sites mal-intencionados ou até mesmo baixam mais malware no dispositivo do usuário se ele clicar em um dos pop-ups.

Um ataque de malware tem dois componentes: a carga útil do malware e o vetor de ataque. A carga útil é o código malicioso que os hackers querem plantar e o vetor de ataque é o método usado para entregar a carga útil no seu alvo.

Alguns dos vetores de malware mais comuns incluem:

Algumas infecções por malware, como o ransomware, se anunciam sozinhas. No entanto, a maioria tenta ficar longe da vista enquanto causam estragos. Ainda assim, as infecções por malware geralmente deixam sinais que as equipes de cibersegurança podem usar para identificá-las. Esses sinais incluem:

Quedas de desempenho: os programas de malware usam os recursos do computador infectado para serem executados, muitas vezes consumindo espaço de armazenamento e interrompendo processos legítimos. A equipe de suporte de TI pode notar um ingresso de tickets de usuários cujos dispositivos estão lentos, travando ou inundados de pop-ups.

Atividades novas e inesperadas da rede: as equipes de TI e segurança podem notar padrões estranhos, como processos que usam mais largura de banda do que o normal, dispositivos que se comunicam com servidores desconhecidos ou contas de usuário que acessam ativos que normalmente não usam.

Configurações alteradas: algumas cepas de malware alteram as configurações do dispositivo ou desabilitam soluções de segurança para evitar a detecção. As equipes de TI e segurança podem perceber que, por exemplo, as regras de firewall foram alteradas ou os privilégios de uma conta foram elevados.

Alertas de eventos de segurança: para organizações com soluções de detecção de ameaças implementadas, o primeiro sinal de uma infecção por malware provavelmente será um alerta de evento de segurança. Soluções como sistemas de detecção de intrusão (IDS), plataformas de gerenciamento de eventos e informações de segurança (SIEM) e software antivírus podem sinalizar possíveis atividades de malware para a equipe de resposta a incidentes avaliar.

Os ataques de malware são inevitáveis, mas existem medidas que as organizações podem adotar para fortalecer suas defesas. Essas etapas incluem:

Treinamento de conscientização sobre cibersegurança: muitas infecções por malware resultam de usuários que baixam softwares falsos ou caem em golpes de phishing. O treinamento de conscientização de segurança pode ajudar os usuários a detectar ataques de engenharia social, sites maliciosos e aplicações falsas. O treinamento de conscientização sobre cibersegurança também pode educar os usuários sobre o que fazer e com quem entrar em contato se suspeitarem de uma ameaça de malware.

Políticas de segurança: solicitar senhas fortes, autenticação multifator e VPNs ao acessar ativos confidenciais por Wi-Fi não protegido pode ajudar a limitar o acesso de hackers às contas dos usuários. Instituir um cronograma regular para gerenciamento de patches, avaliações de vulnerabilidades e teste de penetração também pode ajudar a detectar vulnerabilidades de software e dispositivos antes que os cibercriminosos as explorem. As políticas para gerenciamento de dispositivos BYOD (bring your own device) e impedir a TI invisível podem ajudar a impedir que os usuários tragam malware para a rede corporativa sem saber.

Backups: a manutenção de backups atualizados de dados confidenciais e imagens do sistema, idealmente em discos rígidos ou outros dispositivos que possam ser desconectados da rede, pode facilitar a recuperação de ataques de malware.

Arquitetura de rede zero trust: zero trust é uma abordagem de segurança de rede na qual os usuários nunca são confiáveis e são sempre verificados Em particular, a zero trust implementa o princípio de privilégios mínimos, microssegmentação de rede e autenticação adaptativa contínua. Essa implementação ajuda a garantir que nenhum usuário ou dispositivo possa acessar dados ou ativos confidenciais que não deveria acessar. Se um malware entrar na rede, esses controles podem limitar seu movimento lateral.

Planos de resposta a incidentes: criar planos de resposta a incidentes para diferentes tipos de malware com antecedência pode ajudar as equipes de cibersegurança a erradicar infecções por malware mais rápido.

Além das táticas manuais descritas anteriormente, as equipes de cibersegurança podem usar soluções de segurança para automatizar aspectos de remoção, detecção e prevenção de malware. As ferramentas comuns incluem:

Software antivírus: Também chamado de "software anti-malware", os programas antivírus examinam os sistemas em busca de sinais de infecções. Além de alertar os usuários, muitos programas antivírus podem isolar e remover automaticamente malware após a detecção.

Firewalls: firewalls podem bloquear algum tráfego malicioso, impedindo-o de chegar à rede. Se o malware conseguir invadir um dispositivo de rede, os firewalls podem ajudar a impedir as comunicações de saída para os hackers, como um keylogger enviando as teclas digitadas de volta ao invasor.

Plataformas de gerenciamento de eventos e informações de segurança (SIEM): as SIEMs coletam informações de ferramentas de segurança internas, agregam-nas em um log central e sinalizam anomalias. Como as SIEMs centralizam os alertas de várias fontes, eles podem facilitar a identificação de sinais sutis de malware.

Plataformas de orquestração, automação e resposta de segurança (SOAR) SOARs: integram e coordenam ferramentas de segurança díspares, permitindo que as equipes de segurança criem playbooks semi ou totalmente automatizados para responder a malware em tempo real.

Plataformas de detecção e resposta de endpoint (EDR): as EDRs monitoram os dispositivos de endpoints, como smartphones, notebooks e servidores, em busca de sinais de atividades suspeitas, e podem responder automaticamente a malware detectado.

Plataformas de detecção e resposta estendidas (XDR): asXDRs integram ferramentas e operações de segurança em todas as camadas de segurança, usuários, endpoints, e-mail, aplicações, redes, cargas de trabalho e dados na nuvem. As XDRs podem ajudar a automatizar processos complexos de prevenção, detecção, investigação e resposta a malware, incluindo caça a ameaças.

Ferramentas de gerenciamento de superfície de ataque (ASM): asferramentas ASM descobrem, analisam, corrigem e monitoram continuamente todos os ativos na rede de uma organização. A ASM pode ser útil para ajudar as equipes de cibersegurança a detectar aplicativos e dispositivos de TI invisível não autorizados que podem conter malware.

Unified endpoint management (UEM): o software de UEM monitora, gerencia e protege todos os dispositivos dos usuários finais de uma organização, incluindo desktops, notebooks e dispositivos móveis. Muitas organizações usam soluções de UEM para ajudar a garantir que os dispositivos BYOD dos funcionários não tragam malware para a rede corporativa.