O que é malware?
Assine a newsletter da IBM Proteja a sua empresa contra Malwares
ilustração de sistema de proteção contra malwares, programas e softwares maliciosos
O que é malware?

Malware é a abreviatura de "software malicioso", e é qualquer código de software ou programa de computador intencionalmente escrito para prejudicar um sistema de computador ou seus usuários.

Esses programas maliciosos podem assumir muitas formas, desde um ransomware altamente prejudicial e caro até um adware meramente irritante, dependendo do que os criminosos cibernéticos pretendem fazer.

Quase todos os ataques cibernéticos modernos envolvem algum tipo de malware.  Os criminosos cibernéticos desenvolvem e usam malware para:

  • Manter dispositivos, dados ou redes corporativas inteiras reféns de grandes somas de dinheiro

  • Obtenha acesso não autorizado a dados confidenciais ou ativos digitais

  • Retire credenciais de login, números de cartão de crédito, propriedade intelectual ou outras informações valiosas

  • Interrompa sistemas críticos nos quais empresas e agências governamentais confiam

Há bilhões de ataques de malware a cada ano, e infecções por malware podem ocorrer em qualquer dispositivo ou sistema operacional. Os sistemas Windows, Mac, iOS e Android podem ser vítimas.

Cada vez mais, os ataques de malware têm como alvo as empresas em vez de os usuários individuais, pois os hackers aprenderam que é mais lucrativo ir atrás das organizações. As empresas podem ser extorquidas por quantias maiores de dinheiro e, muitas vezes, detêm quantidades significativas de dados pessoais que podem ser usados para roubo de identidade ou vendidos na dark web.

Tipos de malware

O crime cibernético é uma indústria gigantesca. De acordo com uma estimativa, seria a terceira maior economia do mundo, atrás apenas dos EUA e da China, com projeção de custo de US$ 10,5 trilhões até 2025.  

Nesse setor, hackers desenvolvem constantemente novas cepas de malware com novos recursos e funcionalidades. Essas cepas individuais de malware geram novas variantes ao longo do tempo para melhor escapar do software de segurança. Estima-se que mais de um bilhão de cepas e variantes de malware diferentes tenham sido criadas desde a década de 1980, dificultando o acompanhamento por parte dos profissionais de cibersegurança.

Os hackers geralmente compartilham seu malware tornando o código de código aberto ou vendendo-o a outros criminosos. Os acordos de Malware-as-a-service são prevalentes entre os desenvolvedores de ransomware, para que até criminosos com pouco conhecimento técnico possam colher as recompensas do crime cibernético.

Embora o cenário esteja sempre mudando, as cepas de malware podem ser categorizadas em alguns tipos comuns.

Vírus de computador

Os termos "malware" e "vírus do computador" são frequentemente usados como sinônimos, mas um vírus é tecnicamente um tipo específico de malware. Especificamente, um vírus é um código malicioso que "sequestra" um software legítimo para causar danos e espalhar cópias de si mesmo.

Os vírus não podem agir sozinhos. Em vez disso, ocultam trechos do código em outros programas executáveis. Quando um usuário inicia o programa, o vírus também começa a ser executado. Os vírus geralmente são projetados para excluir dados importantes, interromper as operações normais e espalhar cópias de si mesmos para outros programas no computador infectado.

A maioria das primeiras ameaças de malware eram vírus. O Elk Cloner, talvez o primeiro malware a se espalhar por dispositivos públicos, era um vírus que tinha como alvo os computadores da Apple.

Ransomware

O ransomware bloqueia os dispositivos ou dados de uma vítima e exige um pagamento de resgate, geralmente na forma de criptomoeda, para desbloqueá-los. De acordo com o X-Force Threat Intelligence Index da IBM, o ransomware é o segundo tipo mais comum de ataque cibernético, representando 17% dos ataques.

Os ataques mais básicos de ransomware tornam os ativos inutilizáveis até que o resgate seja pago, mas os cibercriminosos podem usar táticas adicionais para aumentar a pressão sobre as vítimas.

Em um ataque de extorsão dupla, os criminosos cibernéticos roubam os dados e ameaçam vazá-los se não forem pagos. Em um ataque de extorsão tripla, os hackers criptografam os dados da vítima, os roubam e ameaçam desconectar os sistemas por meio de um ataque distribuído de negação de serviço (DDoS).

As demandas de resgate podem variar de dezenas de milhares a milhões de dólares americanos. Segundo um relatório, o pagamento médio de resgate é de US$ 812.360. Mesmo que as vítimas não paguem, o ransomware é caro.O relatório Custo das violações de dados da IBM descobriu que o ataque médio de ransomware custa US$ 4,54 milhões, sem incluir o próprio resgate. 

Malware de acesso remoto

Os hackers usam malware de acesso remoto para obter acesso a computadores, servidores ou outros dispositivos criando ou explorando backdoors. De acordo com o X-Force Threat Intelligence Index, plantar backdoors é o objetivo mais comum dos hackers, representando 21% dos ataques.

Os backdoors permitem que os cibercriminosos façam muita coisa. Eles podem roubar dados ou credenciais, assumir o controle de um dispositivo ou instalar malwares ainda mais perigosos, como o ransomware. Alguns hackers usam malware de acesso remoto para criar backdoors que podem ser vendidos a outros hackers, o que pode render vários milhares de dólares cada.

Algum malware de acesso remoto, como Back Orifice ou CrossRAT, é intencionalmente criado para fins maliciosos. Os hackers também podem modificar ou usar indevidamente software legítimo para acessar remotamente um dispositivo. Em particular, sabe-se que os criminosos cibernéticos usam credenciais roubadas para o protocolo de desktop remoto (RDP) da Microsoft como backdoors. 

Botnets

Um botnet é uma rede de dispositivos infectados por malware e conectados à Internet sob o controle de um hacker. Os botnets podem incluir PCs, dispositivos móveis, dispositivos de Internet of Things (IoT) e muito mais. As vítimas normalmente não percebem quando seus dispositivos fazem parte de um botnet. Os hackers costumam usar botnets para lançar ataques DDoS, que bombardeiam uma rede alvo com tanto tráfego que ela fica lenta ou desliga completamente.

A Mirai, uma das botnets mais conhecidas, foi responsável por um ataque massivo em 2016 contra o provedor de Sistema de Nomes de Domínio Dyn, que derrubou sites populares como Twitter e Reddit para milhões de usuários nos EUA e na Europa.

Criptojackers

Um criptojacker é um malware que controla um dispositivo e o utiliza para minerar criptomoedas, como bitcoin, sem o conhecimento do proprietário. Essencialmente, criptojackers criam botnets de criptografia.

A criptomoeda de mineração é uma tarefa extremamente cara e de uso intensivo de computador. Os criminosos cibernéticos lucram enquanto os usuários de computadores infectados apresentam desempenho desacelerado e falhas. Os cryptojackers geralmente visam a infraestrutura de nuvem corporativa, permitindo que eles marquem mais recursos para criptomineração do que visando computadores individuais. 

Malware sem arquivo

O malware sem arquivo é um tipo de ataque que usa vulnerabilidades em programas de software legítimos, como navegadores da Web e processadores de texto, para injetar códigos maliciosos diretamente na memória do computador. Como o código é executado na memória, ele não deixa vestígios no disco rígido. Por usar software legítimo, geralmente evita a detecção.

Muitos ataques de malware sem arquivos usam o PowerShell, uma interface de linha de comando e uma ferramenta de script incorporada aos sistemas operacionais Microsoft Windows. Os hackers podem executar scripts PowerShell para alterar configurações, roubar senhas ou causar outros danos.

Macros maliciosas são outro vetor comum para ataques sem arquivos. Aplicativos como Microsoft Word e Excel permitem que os usuários definam macros, conjuntos de comandos que automatizam tarefas simples, como formatação de texto ou execução de cálculos. Os hackers podem armazenar scripts maliciosos nessas macros; quando um usuário abre o arquivo, esses scripts são executados automaticamente.

Outros tipos de malware

Worms são programas maliciosos autorreplicáveis que podem se espalhar entre aplicativos e dispositivos sem interação humana. (Compare com um vírus, que só pode se espalhar se um usuário executar um programa comprometido.) Embora alguns "worms" não façam nada mais do que se espalhar, muitos têm consequências mais graves. Por exemplo, o ransomware WannaCry, que causou uma estimativa de US$ 4 bilhões em danos, era um worm que maximizou seu impacto, espalhando-se automaticamente entre os dispositivos conectados.

Os Cavalos de Troia se disfarçam de programas úteis ou se escondem dentro de um software legítimo para enganar os usuários a instalá-los. Um acesso remoto aos Cavalos de Troia ou "RAT" cria uma porta posterior secreta no dispositivo infectado. Outro tipo de Cavalo de Troia, chamado de "dropper", instala malware adicional assim que tem uma posição pendente. O Ryuk, uma das cepas de ransomware mais devastadoras recentes, usou o Troia de Emotet para infectar dispositivos.

Rootkits são pacotes de malware que permitem que os hackers obtenham acesso privilegiado no nível do administrador ao sistema operacional de um computador ou a outros ativos. Os hackers podem então usar essas permissões elevadas para fazer praticamente qualquer coisa que desejem, como adicionar e remover usuários ou reconfigurar aplicativos. Os hackers costumam usar rootkits para ocultar processos maliciosos ou desabilitar software de segurança que possa capturá-los.

O scareware assusta os usuários, fazendo-os baixar malware ou passar informações confidenciais a um fraudador. O scareware geralmente aparece como um pop-up repentino com uma mensagem urgente, geralmente avisando o usuário de que ele violou a lei ou que seu dispositivo está infectado. O pop-up orienta o usuário a pagar uma “multa” ou baixar um software de segurança falso que acaba sendo um malware real.

O spyware se esconde em um computador infectado, coletando secretamente informações confidenciais e transmitindo-as de volta ao invasor. Um tipo comum de spyware, chamado keylogger, registra todas as teclas digitadas pelo usuário, permitindo que hackers coletem nomes de usuário, senhas, números de contas bancárias e de cartão de crédito, números de seguro social e outros dados confidenciais.

O adware envia spam a um dispositivo com anúncios pop-up indesejados. O adware geralmente é incluído no software gratuito, sem que o usuário saiba. Quando o usuário instala o programa, ele também instala o adware sem querer. A maioria dos adwares é pouco mais do que um aborrecimento, mas alguns coletam dados pessoais, redirecionam os navegadores da Web para sites mal-intencionados ou até mesmo fazem download de mais malware no dispositivo do usuário se ele clicar em um dos pop-ups.

Vetores de ataque e infecção de malware

Um ataque de malware tem dois componentes: o payload de malware e o vetor de ataque. A carga útil é o código malicioso que os hackers querem instalar, e o vetor de ataque é como a carga útil é entregue ao alvo.

Alguns dos vetores de malware mais comuns incluem:

Golpes de engenharia social

Os ataques de engenharia social manipulam psicologicamente as pessoas para fazerem coisas que não deveriam fazer, como baixar malware. Ataques de phishing, que usam e-mails fraudulentos ou mensagens de texto para enganar os usuários, são particularmente comuns. De acordo com o X-Force Threat Intelligence Index, o phishing é um fator em 41% das infecções por malware. 

E-mails e mensagens de phishing geralmente são criados para parecer que vêm de uma marca ou indivíduo confiável. Eles normalmente tentam evocar emoções fortes como medo ("Encontramos nove vírus em seu telefone!"), ganância ("Você tem um pagamento não reclamado esperando por você!") ou urgência ("Você está ficando sem tempo para reivindicar seu presente gratuito!") para que os usuários tomem a ação desejada. Geralmente, a ação é abrir um anexo de e-mail malicioso ou visitar um site malicioso que carrega malware em seu dispositivo.

Vulnerabilidades do sistema

Os criminosos cibernéticos estão constantemente procurando vulnerabilidades não corrigidas em softwares, dispositivos e redes que lhes permitam injetar malware no software ou firmware do alvo. Os dispositivos de IoT, muitos dos quais são vendidos e implantados com segurança mínima ou nenhuma, são um campo especialmente fértil para os criminosos cibernéticos semearem malware.

Mídia removível

Usando uma tática chamada "baiting", os hackers podem colocar drives USB infectados adornados com rótulos que chamam a atenção em locais públicos, como espaços de coworking ou cafés. Atraídos por essas unidades, usuários desavisados podem conectá-las a seus dispositivos para ver o que elas contêm, e o malware infecta seu sistema. Um estudo recente descobriu que 37% das ameaças cibernéticas conhecidas são projetadas para explorar mídias removíveis.

Downloads falsos de software e arquivos

Muitas formas de malware, como Cavalos de Troia e adware, disfarçam-se de software útil ou cópias gratuitas de filmes e músicas. Ironicamente, eles muitas vezes se disfarçam de programas antivírus gratuitos ou aplicativos que irão melhorar o desempenho do dispositivo. Embora as redes de torrent onde os usuários compartilham mídia pirata sejam playgrounds notórios para os cibercriminosos, o malware oculto também pode chegar a mercados legítimos. Recentemente, o malware Goldoson foi capaz de infectar milhões de dispositivos ocultando-se em aplicativos disponíveis no Google Play Store.

Publicidade maliciosa e downloads drive-by

Malvertising é quando hackers colocam anúncios maliciosos em redes de anúncios legítimos ou sequestram anúncios legítimos para fornecer códigos maliciosos. Por exemplo, o malware do Bumblebee se espalhou por um anúncio malicioso do Google se passando pelo Cisco AnyConnect. Os usuários que pesquisassem o produto real veriam o anúncio nos resultados de pesquisa, clicariam nele e baixariam o malware involuntariamente. Uma técnica relacionada chamada "drive-by downloads" faz com que os usuários nem precisem clicar em nada: assim que visitam um site malicioso, o download é iniciado automaticamente. 

Dispositivos do usuário

Nas redes corporativas, os dispositivos pessoais dos usuários podem ser os principais vetores de malware. Os smartphones e laptops dos usuários podem ser infectados durante seu tempo pessoal, quando estão se conectando a redes não seguras sem o benefício das soluções de segurança da empresa. Quando os usuários trazem esses dispositivos para o trabalho, o malware pode se espalhar para a rede corporativa.  

Ataques à cadeia de suprimentos

Se a rede de um fornecedor estiver comprometida, o malware poderá se espalhar para as redes das empresas que usam os produtos e serviços desse fornecedor. Por exemplo, os cibercriminosos tiraram vantagem de uma falha na plataforma VSA da Kaseya para espalhar o ransomware para os clientes sob o pretexto de uma atualização de software legítima. 

Como detectar malware

Algumas infecções por malware, como o ransomware, se anunciam sozinhas. A maioria, no entanto, tenta ficar fora de vista enquanto causam estragos. Ainda assim, as infecções por malware geralmente deixam sinais que as equipes de segurança cibernética podem usar para identificá-las. Isso inclui:

Declínio de desempenho: programas de malware usam os recursos do computador infectado para executar, muitas vezes ocupando espaço de armazenamento e interrompendo processos legítimos. A equipe de suporte de TI pode notar um fluxo de tickets de usuários cujos dispositivos estão desacelerando, travando ou inundando com pop-ups.

Atividade de rede nova e inesperada: a equipe de TI e segurança pode notar padrões estranhos, como processos que usam mais largura de banda do que o normal, dispositivos que se comunicam com servidores desconhecidos ou contas de usuário que acessam ativos que normalmente não usam. 

Configurações alteradas: algumas cepas de malware alteram as configurações do dispositivo ou desativam as soluções de segurança para evitar a detecção. As equipes de TI e segurança podem notar que, por exemplo, as regras de firewall foram alteradas ou os privilégios de uma conta foram elevados.

Alertas de eventos de segurança: Para organizações com soluções de detecção de ameaças implementadas, o primeiro sinal de uma infecção por malware provavelmente será um alerta de evento de segurança. Soluções como sistemas de detecção de intrusão (IDS), plataformas de gerenciamento de eventos e informações de segurança (SIEM) e software antivírus podem sinalizar possíveis atividades de malware para que a equipe de resposta a incidentes possa realizar uma análise.

Como se proteger e remover malware

Os ataques de malware são inevitáveis, mas existem medidas que as organizações podem adotar para fortalecer suas defesas. Isso inclui:

Treinamento de conscientização sobre segurança cibernética: muitas infecções por malware resultam de usuários que baixam softwares falsos ou caem em golpes de phishing. O treinamento de conscientização de segurança cibernética pode ajudar os usuários a detectar ataques de engenharia social, sites maliciosos e aplicativos falsos. O treinamento de conscientização de segurança também pode educar os usuários sobre o que fazer e com quem entrar em contato se suspeitarem de uma ameaça de malware.

Políticas de segurança: solicitar senhas fortes, autenticação de vários fatores e VPNs ao acessar ativos confidenciais por Wi-Fi não protegido pode ajudar a limitar o acesso de hackers às contas dos usuários. Instituir um cronograma regular para gerenciamento de patches, avaliações de vulnerabilidades e testes de penetração também pode ajudar a detectar vulnerabilidades de software e dispositivos antes que os criminosos cibernéticos os explorem. As políticas para gerenciar dispositivos BYOD e impedir a TI paralela podem ajudar a impedir que os usuários tragam malware para a rede corporativa sem saber.

Backups: a manutenção de backups atualizados de dados confidenciais e imagens do sistema, idealmente em discos rígidos ou outros dispositivos que possam ser desconectados da rede, pode facilitar a recuperação de ataques de malware.

Arquitetura de rede de confiança zero: A confiança zero é uma abordagem de segurança de rede na qual os usuários nunca são confiáveis e sempre são verificados. Em particular, a confiança zero implementa o princípio do menor privilégio, a microssegmentação da rede e a autenticação adaptativa contínua para garantir que nenhum usuário ou dispositivo possa acessar dados ou ativos confidenciais que não devam. Se o malware entrar na rede, esses controles poderão limitar seu movimento lateral.

Planos de resposta a incidentes: criar planos de resposta a incidentes para diferentes tipos de malware antecipadamente pode ajudar as equipes de segurança cibernética a erradicar as infecções por malware mais rapidamente. 

Softwares de segurança cibernética e programas para retirar malware

Além das táticas manuais descritas acima, as equipes de segurança cibernética podem usar soluções de segurança para automatizar aspectos de remoção, detecção e prevenção de malware. As ferramentas comuns incluem:

Software antivírus: Também chamado de "software anti-malware", os programas antivírus examinam os sistemas em busca de sinais de infecções. Além de alertar os usuários, muitos programas antivírus podem isolar e remover automaticamente malware após a detecção.

Firewalls: Os firewalls podem impedir que algum tráfego mal-intencionado chegue à rede em primeiro lugar. Se o malware chegar a um dispositivo de rede, os firewalls podem ajudar a impedir as comunicações de saída para hackers, como um keylogger enviando pressionamentos de tecla de volta para o invasor. 

Plataformas de gerenciamento de eventos e informações de segurança (SIEM): as SIEMs coletam informações de ferramentas de segurança internas, agregam-as em um log central e sinalizam anomalias. Como as SIEMs centralizam alertas de várias fontes, elas podem facilitar a detecção de sinais sutis de malware.

Plataformas de orquestração, automação e resposta de segurança (SOAR): os SOARs integram e coordenam ferramentas de segurança diferentes, permitindo que as equipes de segurança criem manuais semi ou totalmente automatizados para responder ao malware em tempo real.

Plataformas de detecção e resposta de endpoints (EDR): EDRs monitoram dispositivos de endpoints, como smartphones, laptops e servidores, para sinais de atividade suspeita e podem responder automaticamente a malware detectado.

Plataformas estendidas de detecção e resposta (XDR): XDRs integram ferramentas e operações de segurança em todas as camadas de segurança: usuários, endpoints, e-mail, aplicativos, redes, cargas de trabalho na nuvem e dados. XDRs podem ajudar a automatizar processos complexos de prevenção, detecção, investigação e resposta de malware, incluindo caça proativa a ameaças.

Ferramentas de gerenciamento de superfície de ataque (ASM): as ferramentas ASM descobrem, analisam, corrigem e monitoram continuamente todos os ativos na rede de uma organização. O ASM pode ser útil para ajudar as equipes de segurança cibernética a detectar aplicativos e dispositivos de TI ocultos não autorizados que possam conter malware.

Gerenciamento unificado de endpoints (UEM): software UEM monitora, gerencia e protege todos os dispositivos de usuário final de uma organização, incluindo desktops, laptops e dispositivos móveis. Muitas organizações usam soluções UEM para ajudar a garantir que os dispositivos BYOD dos funcionários não tragam malware para a rede corporativa.

Soluções relacionadas
Conjunto IBM security® QRadar®

Supere ataques com um conjunto de segurança conectado e modernizado. O portfólio QRadar é incorporado com IA de nível empresarial e oferece produtos integrados para segurança de endpoint, gerenciamento de logs, SIEM e SOAR, todos com uma interface de usuário comum, insights compartilhados e fluxos de trabalho conectados.

Explore a suíte QRadar
Equipe de resposta a incidentes X-Force

A caça proativa a ameaças, o monitoramento contínuo e uma profunda investigação de ameaças são apenas algumas das prioridades que um departamento de TI já está ocupado. Ter uma equipe confiável de resposta a incidentes em espera pode reduzir seu tempo de resposta, minimizar o impacto de um ataque cibernético e ajudá-lo a se recuperar mais rapidamente.

Explore a resposta a incidentes do X-Force
Soluções de proteção contra ransomware

Para prevenir e combater ameaças modernas de ransomware, a IBM usa informações de 800 TB de dados de atividades de ameaças, dados em mais de 17 milhões de ataques de phishing e spam e dados de reputação em quase um milhão de endereços IP maliciosos de uma rede de 270 milhões de terminais.

Conheça as soluções de proteção contra ransomware
Recursos O que é um cyberattack?

Os ataques cibernéticos são tentativas indesejáveis de roubar, expor, alterar, desabilitar ou destruir informações por meio de acesso não autorizado a sistemas de computador.

O que é ransomware?

O ransomware mantém os dispositivos e dados das vítimas como reféns até que o resgate seja pago. Saiba como o ransomware funciona, por que ele se proliferou nos últimos anos e como as organizações se defendem contra ele.

O que é zero trust?

A zero trust é uma estrutura que pressupõe que a segurança de uma rede complexa está sempre em risco de ameaças externas e internas. Ajuda a organizar e traçar estratégias para uma abordagem completa para combater essas ameaças.

X-Force Threat Intelligence Index

Todos os anos, o IBM Security X-Forc, nossa equipe interna de especialistas em segurança cibernética e remediadores, emite bilhões de pontos de dados para expor as tendências e estatísticas de segurança mais urgentes de hoje.

Dê o próximo passo

As ameaças de cibersegurança estão se tornando mais avançadas, persistentes e exigem mais esforço dos analistas de segurança para filtrar inúmeros alertas e incidentes. O IBM Security QRadar SIEM ajuda você a remediar as ameaças mais rapidamente, mantendo seus resultados. O QRadar SIEM prioriza alertas de alta fidelidade para ajudar você a detectar ameaças que outros não percebem.

Conheça o QRadar SIEM Agende uma demonstração em tempo real