0
0
Carl Sagan disse uma vez a famosa frase: “Você tem que conhecer o passado para compreender o presente.” Os eventos passados podem iluminar as tendências futuras, de acordo com a sabedoria comum – e a segurança cibernética não é exceção.
Os relatórios anuais de ameaças fornecem às equipes de segurança a oportunidade de refletir sobre os eventos cibernéticos significativos dos últimos 12 meses, com o objetivo de identificar tendências para desenvolvimento futuro, traduzindo-se idealmente em melhor proteção.
Mas embora o relatório anual seja útil, um relato dos últimos 20 anos na segurança cibernética, durante os quais o setor de segurança da informação nasceu e amadureceu, é muito mais valioso.
Muitos eventos significativos de cibersegurança ocorreram desde o ano 2000 – nem todos eles ‘inéditos’, mas todos eles relacionados a uma mudança no comportamento de segurança ou proteção.
Aqui está uma retrospectiva de 20 anos das ameaças cibernéticas do mundo, apresentada pela Sophos.
2000-2004 – The Worm Era
Esta era viu alguns dos worms mais prolíficos que a indústria de segurança da informação já viu, custando mais de US $ 100 bilhões em danos e custos de remediação. Ele também marca o início do malware como sensação na mídia convencional.
Primeiro, houve o worm ILOVEYOU, lançado em 2000, que tinha como alvo os usuários do Microsoft Outlook e infectou pelo menos 10% dos hosts conectados à Internet em questão de horas e causou até US $ 15 bilhões em danos.
Em resposta, a Microsoft lançou uma atualização do Outlook com alterações destinadas a combater os piores sintomas do ILOVEYOU, incluindo impedir que usuários acessem anexos inseguros e avisar os usuários se um programa tentar enviar e-mail em seu nome.
Então veio uma verdadeira onda de worms, que alargou os horizontes além do Outlook e visou vulnerabilidades do sistema operacional e infraestrutura de rede.
Em ordem cronológica, aqui estão os vermes das primeiras filhas:
- CodeRed (julho de 2001)
- Código Vermelho II (agosto de 2001)
- Nimda (setembro de 2001)
- SQL Slammer (janeiro de 2003)
- Blaster (agosto de 2003)
- Welchia (agosto de 2003)
- Sobig.F (agosto de 2003)
- Sober (outubro de 2003)
- Bagle (janeiro de 2004)
- MyDoom (janeiro de 2004)
- Netsky (fevereiro de 2004)
- Sasser (abril de 2004)
Muitos desses worms abusaram das vulnerabilidades de estouro de buffer em várias versões do Windows ou em aplicativos como o Internet Information Services (IIS) ou SQL Server. A intenção nem sempre foi clara, mas, em alguns casos, o impacto foi severo.
Como resultado da proliferação de worms, a Microsoft lançou o Patch Tuesday, uma abordagem estruturada e consistente para a distribuição de patches – antes disso, os patches eram distribuídos ad-hoc ou como parte de service packs.
A filtragem de e-mail também melhorou nesta era, com os fornecedores empregando mais software de detecção para seus produtos. Mas, embora as ameaças por e-mail continuassem com seus ataques independentemente, muitos cibercriminosos estavam passando para sua próxima agenda: ganhar dinheiro.
2005-2012 – A Era da Monetização
Os cibercriminosos, que até então causavam perturbação principalmente por notoriedade ou por curiosidade, começaram a pensar em seu passatempo como uma via potencial para o fluxo de caixa.
Com essa motivação em jogo, muitos nichos diferentes surgiram, explorando a gama de talentos encontrados no ecossistema do crime cibernético. Malvertising, spam, botnets e trojans foram apenas o começo.
Os cibercriminosos, como suas contrapartes no mundo real, se organizaram.
Spam
O spam começou como um meio para espalhar vermes; uma carta em cadeia de um amigo ou parente inconsciente era típica. Mas logo se tornou monetizado por meio de golpes online.
Uma das campanhas de spam coordenadas mais conhecidas foi a proliferação de spam de farmácia. ‘Webmasters’ direcionariam o tráfego para lojas online administradas por chefões, onde os alvos encontrariam muitos medicamentos prescritos a preços extremamente reduzidos.
Com hosts à prova de balas, os cibercriminosos provavelmente ganharam bilhões com o spam de farmácia, e o cibercrime com motivação financeira veio para ficar.
Botnets
Um dos botnets mais prolíficos da época foi o botnet Storm, outrora apelidado de ‘supercomputador mais poderoso’ do mundo.
Storm foi projetado para ser furtivo e lucrar. Em seu pico, as estimativas do tamanho do botnet variaram de um milhão a 10 milhões de computadores infectados. Storm desviou-se do manual de estratégias de seus predecessores de barulhento e agressivo para favorecer uma abordagem mais paciente e silenciosa.
Como parte de sua tática furtiva, o botnet empregou um modelo peer-to-peer distribuído. Ele usou DNS de fluxo rápido e polimorfismo para escapar dos defensores e infectar um número incontável de computadores.
Isso estabeleceu a notoriedade de Storm rapidamente e logo se tornou o padrão para todos os botnets futuros.
Trojans
Um dos pais do trojan, o trojan bancário Zeus / Zbot visava os usuários principalmente por meio de spam, phishing, publicidade ou engenharia social. Ele cresceu rapidamente de apenas um trojan bancário para um kit de crimeware completo e marcou o início do crimeware-as-a-service.
As licenças do Zeus começaram em US $ 1.000, mas o autor ofereceu versões customizadas a uma taxa mais alta, que incluía suporte 24 horas por dia, 7 dias por semana e eram distribuídas por meio de afiliados.
O código-fonte do Zeus vazou online em 2011, o que permitiu que cibercriminosos menos técnicos aprendessem com um dos kits de malware mais conhecidos até hoje. O código do Zeus vazado foi supostamente responsável por várias variantes, incluindo Citadel, Gameover Zeus, ICE-9, CIDEX, Ramnit, Dridex, Kronos, Tinba e Panda.
A era da monetização levou a um nível ainda maior de filtragem de e-mail devido ao aumento no spam e phishing de e-mail, enquanto kits de exploração e malvertising levaram a uma filtragem adicional de conteúdo da web.
A cooperação entre a indústria de segurança da informação, a aplicação da lei e os processadores de pagamento teve um impacto profundo nas operações lucrativas dos cibercriminosos, como a implementada pelo cavalo de Troia Reveton.
2013 até o presente – A Era do Ransomware
Pode não ser a única característica que define a era atual, mas o ransomware sem dúvida teve o impacto mais significativo, de acordo com a Sophos.
Em 2020, as estimativas de danos de ataques de ransomware estavam na casa dos trilhões de dólares. O ransomware expõe vulnerabilidades nas defesas de TI, gera novas tecnologias e pode afundar organizações inteiras.
CryptoLocker
Lançado em 2013, o ataque de ransomware CryptoLocker forneceu aos criminosos uma fórmula vencedora ao combinar duas tecnologias: criptografia e criptomoeda. O Cryptolocker e muitos de seus descendentes também ressuscitaram um antigo vetor de ameaça que estava adormecido por mais de uma década: o malware de documentos.
Desde então, muitos grupos por trás de algumas das famílias de ransomware mais prolíficas aprimoraram suas habilidades e se adaptaram a um ambiente em mudança.
Nenhum indivíduo ou indústria está imune a um ataque de ransomware. Nenhuma tecnologia é suficiente para pará-lo. O que começou como uma ideia nova, mas provavelmente inevitável, tornou-se um problema de proporções épicas.
Extorsão dupla
Os criminosos por trás do ransomware Maze popularizaram um padrão comum hoje: extorsão dupla, por meio da qual os cibercriminosos não apenas criptografam e roubam dados, mas ameaçam publicá-los se os alvos não pagarem.
Mesmo que uma empresa pudesse se recuperar totalmente de um ataque de ransomware sem pagar o resgate, ela ainda poderia se ver em problemas regulatórios.
Sob a ameaça de violação de dados públicos, algumas empresas podem optar por pagar o resgate em vez de quaisquer multas oficiais impostas a elas. Pagar o resgate pode ser a opção mais barata dos dois, considerando os custos de recuperação e os danos à marca associados à violação.
A batalha continua
O ransomware revolucionou o mundo da segurança cibernética, talvez mais do que qualquer outro vetor de ataque.
Ele expõe as falhas de muitas organizações em fazer alguns dos trabalhos básicos de segurança, sejam eles intencionais ou não.
Isso nos fez reavaliar nossos controles de segurança, construir ou fortalecer culturas de segurança dentro de nossas organizações, criar novas indústrias e inovar novos produtos.
Mas, mais do que isso, tornou-se extremamente claro que obter a segurança correta é difícil, mas não devemos ser dissuadidos de fazer o trabalho necessário que nosso mundo digital exige.
Para saber mais, leia o relatório completo da Sophos.
FONTE: SECURITY BRIEF