O que é malware?

O crime cibernético é uma indústria gigantesca. De acordo com uma estimativa (link externo ao site ibm.com), ela seria a terceira maior economia do mundo, atrás dos EUA e da China, com um custo projetado de US$ 10,5 trilhões até 2025.

Nesse setor, hackers desenvolvem constantemente novas cepas de malware com novos recursos e funcionalidades. Essas cepas individuais de malware geram novas variantes ao longo do tempo para melhor escapar do software de segurança. Estima-se que (link externo ao site ibm.com) mais de 1 bilhão de diferentes cepas e variantes de malware tenha sido criadas desde 1980, dificultando o acompanhamento dos profissionais de cibersegurança.

Os hackers geralmente compartilham seu malware tornando o código aberto ou vendendo-o a outros criminosos. Os acordos de Malware-as-a-service são prevalentes entre os desenvolvedores de ransomware, para que até criminosos com pouco conhecimento técnico possam colher as recompensas do crime cibernético.

Embora o cenário esteja sempre mudando, as cepas de malware podem ser categorizadas em alguns tipos comuns.

Os termos "malware" e "vírus do computador" são frequentemente usados como sinônimos, mas um vírus é tecnicamente um tipo específico de malware. Especificamente, um vírus é um código malicioso que "sequestra" um software legítimo para causar danos e espalhar cópias de si mesmo.

Os vírus não podem agir sozinhos. Em vez disso, ocultam trechos do código em outros programas executáveis. Quando um usuário inicia o programa, o vírus também começa a ser executado. Os vírus geralmente são projetados para excluir dados importantes, interromper as operações normais e espalhar cópias de si mesmos para outros programas no computador infectado.

A maioria das primeiras ameaças de malware eram vírus. O Elk Cloner, talvez o primeiro malware a se espalhar por dispositivos públicos, era um vírus que tinha como alvo os computadores da Apple.

Um botnet é uma rede de dispositivos infectados por malware e conectados à Internet sob o controle de um hacker. Os botnets podem incluir PCs, dispositivos móveis, dispositivos de Internet of Things (IoT) e muito mais. As vítimas normalmente não percebem quando seus dispositivos fazem parte de um botnet. Os hackers costumam usar botnets para lançar ataques DDoS, que bombardeiam uma rede alvo com tanto tráfego que ela fica lenta ou desliga completamente.

Mirai, um dos botnets mais conhecidos, foi responsável por um ataque massivo em 2016 contra o provedor de sistema de nomes de domínio Dyn. Este ataque derrubou sites populares como Twitter e Reddit para milhões de usuários nos EUA e na Europa (link externo ao site ibm.com).

Um criptojacker é um malware que controla um dispositivo e o utiliza para minerar criptomoedas, como bitcoin, sem o conhecimento do proprietário. Essencialmente, os criptojackers criam botnets de criptografia.

A criptomoeda de mineração é uma tarefa extremamente cara e de uso intensivo de computador. Os criminosos cibernéticos lucram enquanto os usuários de computadores infectados apresentam desempenho desacelerado e falhas. Os cryptojackers geralmente visam a infraestrutura de nuvem corporativa, permitindo que eles marquem mais recursos para criptomineração do que visando computadores individuais. 

O malware sem arquivo é um tipo de ataque que usa vulnerabilidades em programas de software legítimos, como navegadores da web e processadores de texto, para injetar códigos maliciosos diretamente na memória do computador. Como o código é executado na memória, ele não deixa vestígios no disco rígido. Por usar um software legítimo, geralmente evita a detecção.

Muitos ataques de malware sem arquivos usam o PowerShell, uma interface de linha de comando e uma ferramenta de script incorporada ao sistema operacional do Microsoft Windows. Os hackers podem executar scripts PowerShell para alterar configurações, roubar senhas ou causar outros danos.

Macros maliciosas são outro vetor comum para ataques sem arquivos. Aplicativos como Microsoft Word e Excel permitem que os usuários definam macros, conjuntos de comandos que automatizam tarefas simples, como formatação de texto ou execução de cálculos. Os hackers podem armazenar scripts maliciosos nessas macros; quando um usuário abre o arquivo, esses scripts são executados automaticamente.

Worms são programas maliciosos auto-replicáveis que podem se espalhar entre aplicativos e dispositivos sem interação humana. (Compare com um vírus, que só pode se espalhar se um usuário executar um programa comprometido.) Embora alguns "worms" não façam nada mais do que se espalhar, muitos têm consequências mais graves. Por exemplo, o ransomware WannaCry, que causou uma estimativa de US$ 4 bilhões em danos, era um worm que maximizou seu impacto, espalhando-se automaticamente entre os dispositivos conectados.

Os cavalos de Troia se disfarçam de programas úteis ou se escondem dentro de um software legítimo para enganar os usuários para que os instalem. Um acesso remoto aos cavalos de Troia ou "RAT" cria uma porta traseira secreta no dispositivo infectado. Outro tipo de Cavalo de Troia chamado de "dropper" instala um malware adicional assim que tem uma posição pendente. O Ryuk, uma das cepas de ransomware mais devastadoras recentes, usou o cavalo de Troia Emotet para infectar dispositivos.

Rootkits são pacotes de malware que permitem que os hackers obtenham acesso privilegiado no nível do administrador ao sistema operacional de um computador ou a outros ativos. Os hackers podem então usar essas permissões elevadas para fazer praticamente qualquer coisa que desejem, como adicionar e remover usuários ou reconfigurar aplicações. Os hackers costumam usar rootkits para ocultar processos maliciosos ou desabilitar softwares de segurança que possam capturá-los.

O scareware assusta os usuários, fazendo-os baixar malware ou passar informações confidenciais a um fraudador. O scareware geralmente aparece como um pop-up repentino com uma mensagem urgente, geralmente avisando o usuário de que ele violou a lei ou que seu dispositivo está infectado. O pop-up orienta o usuário a pagar uma “multa” ou baixar um software de segurança falso que acaba sendo um malware real.

O spyware se esconde em um computador infectado, coletando secretamente informações confidenciais e transmitindo-as de volta ao invasor. Um tipo comum de spyware, chamado keylogger, registra todas as teclas digitadas pelo usuário, permitindo que os hackers coletem os nomes de usuário, senhas, números das contas bancárias e de cartão de crédito, números da segurança social e outros dados confidenciais.

O adware envia spam a um dispositivo com anúncios pop-up indesejados. O adware geralmente é incluído em um software gratuito, sem que o usuário saiba. Quando o usuário instala o programa, ele também instala o adware sem querer. A maioria dos adwares é pouco mais do que um aborrecimento. No entanto, alguns adwares coletam dados pessoais, redirecionam os navegadores da web para sites maliciosos ou até mesmo fazem download de mais malware no dispositivo do usuário se ele clicar em um dos pop-ups.

O ransomware bloqueia os dispositivos ou dados de uma vítima e exige um pagamento de resgate, geralmente na forma de criptomoeda, para desbloqueá-los. De acordo com o X-Force Threat Intelligence Index da IBM, o ransomware é o segundo tipo mais comum de ataque cibernético, representando 17% dos ataques.

Os ataques mais básicos de ransomware tornam os ativos inutilizáveis até que o resgate seja pago, mas os cibercriminosos podem usar táticas adicionais para aumentar a pressão sobre as vítimas.

Em um ataque de extorsão dupla, os criminosos cibernéticos roubam os dados e ameaçam vazá-los se não forem pagos. Em um ataque de extorção tripla, os hackers criptografam os dados da vítima, os roubam e ameaçam desconectar os sistemas por meio de um ataque distribuído de negação de serviço (DDoS).

As demandas de resgate podem variar de dezenas de milhares a milhões de dólares americanos. De acordo com um relatório (link externo ao site ibm.com), o pagamento médio de um resgate é de US$ 812.360. Mesmo que as vítimas não paguem, o ransomware é caro. O relatório do custo das violações de dados da IBM constatou que o ataque médio de ransomware custa US$ 4,54 milhões, sem incluir o resgate em si.

Os hackers usam malware de acesso remoto para obter acesso a computadores, servidores ou outros dispositivos criando ou explorando backdoors. De acordo com o índice X-Force Threat Intelligence, plantar backdoors é o objetivo mais comum dos hackers, respondendo por 21% dos ataques.

Os backdoors permitem que os cibercriminosos façam muita coisa. Eles podem roubar dados ou credenciais, assumir o controle de um dispositivo ou instalar malwares ainda mais perigosos, como o ransomware. Alguns hackers usam malware de acesso remoto para criar backdoors que podem ser vendidos a outros hackers, o que pode render vários milhares de dólares cada.

Alguns malwares de acesso remoto, como o Back Orifice ou CrossRAT, são intencionalmente criados para fins maliciosos. Os hackers também podem modificar ou usar indevidamente um software legítimo para acessar remotamente um dispositivo. Em particular, os cibercriminosos usam credenciais roubadas para o protocolo de desktop remoto (RDP) da Microsoft como backdoors.

Os ataques de malware são inevitáveis, mas existem medidas que as organizações podem adotar para fortalecer suas defesas. Essas etapas incluem:

Treinamento de conscientização sobre cibersegurança: muitas infecções por malware resultam de usuários que baixam softwares falsos ou caem em golpes de phishing. O treinamento de conscientização de segurança pode ajudar os usuários a detectar ataques de engenharia social, sites maliciosos e aplicações falsas. O treinamento de conscientização sobre cibersegurança também pode educar os usuários sobre o que fazer e com quem entrar em contato se suspeitarem de uma ameaça de malware.

Políticas de segurança: solicitar senhas fortes, autenticação multifatorial e VPNs ao acessar ativos confidenciais por Wi-Fi não protegido pode ajudar a limitar o acesso de hackers às contas dos usuários. Instituir um cronograma regular para gerenciamento de correções, avaliações de vulnerabilidades e testes de penetração também pode ajudar a detectar vulnerabilidades de software e dispositivos antes que os cibercriminosos os explorem. As políticas para gerenciamento de dispositivos BYOD (traga seu próprio dispositivo) e impedir a TI invisível podem ajudar a impedir que os usuários tragam malware para a rede corporativa sem saber.

Backups: a manutenção de backups atualizados de dados confidenciais e imagens do sistema, idealmente em discos rígidos ou outros dispositivos que possam ser desconectados da rede, pode facilitar a recuperação de ataques de malware.

Arquitetura de rede zero trust: zero trust é uma abordagem à segurança de rede na qual os usuários nunca são confiáveis e são sempre verificados. Em particular, o zero trust implementa o princípio do menor privilégio, microssegmentação de rede e autenticação adaptativa contínua. Essa implementação ajuda a garantir que nenhum usuário ou dispositivo possa acessar dados ou ativos confidenciais que não deveriam. Se o malware entrar na rede, esses controles poderão limitar seu movimento lateral.

Planos de resposta a incidentes: criar planos de resposta a incidentes para diferentes tipos de malware antecipadamente pode ajudar as equipes de cibersegurança a erradicar as infecções por malware mais rapidamente.

Além das táticas manuais descritas anteriormente, as equipes de cibersegurança podem usar soluções de segurança para automatizar aspectos de remoção, detecção e prevenção de malware. As ferramentas comuns incluem:

Software antivírus: Também chamado de "software anti-malware", os programas antivírus examinam os sistemas em busca de sinais de infecções. Além de alertar os usuários, muitos programas antivírus podem isolar e remover automaticamente malware após a detecção.

Firewalls: Os firewalls podem impedir que algum tráfego mal-intencionado chegue à rede em primeiro lugar. Se o malware chegar a um dispositivo de rede, os firewalls podem ajudar a impedir as comunicações de saída para hackers, como um keylogger enviando pressionamentos de tecla de volta para o invasor. 

Plataformas de gerenciamento de eventos e informações de segurança (SIEM): as SIEMs coletam informações de ferramentas de segurança internas, agregam-nas em um registro central e sinalizam anomalias. Como os SIEMs centralizam os alertas de várias fontes, eles podem facilitar a identificação de sinais sutis de malware.

Plataformas de orquestração, automação e resposta de segurança (SOAR): os SOARs integram e coordenam ferramentas de segurança díspares, permitindo que as equipes de segurança criem playbooks semi ou totalmente automatizados para responder ao malware em tempo real.

Plataformas de detecção e resposta de endpoints (EDR): as EDRs monitoram dispositivos de endpoints, como smartphones, notebooks e servidores, em busca de sinais de atividades suspeitas e podem responder automaticamente a um malware detectado.

Plataforma estendidas de detecção e resposta (XDR): as XDRs integram ferramentas e operações de segurança em todas as camadas de segurança: usuários, endpoints, e-mail, aplicações, redes, cargas de trabalho na nuvem e dados. as XDRs podem ajudar a automatizar processos complexos de prevenção, detecção, investigação e resposta a malware, incluindo caça proativa a ameaças.

Ferramentas de gerenciamento de superfície de ataque (ASM): as ferramentas ASM descobrem, analisam, corrigem e monitoram continuamente todos os ativos na rede de uma organização. O ASM pode ser útil para ajudar as equipes de cibersegurança a detectar aplicações e dispositivos de TI invisíveis não autorizados que possam conter malware.

Gerenciamento unificado de endpoints (UEM): o software UEM monitora, gerencia e protege todos os dispositivos de usuário final de uma organização, incluindo desktops, notebooks e dispositivos móveis. Muitas organizações usam soluções UEM para ajudar a garantir que os dispositivos BYOD dos funcionários não tragam malware para a rede corporativa.