Estragos provocados por malware “dependem da criatividade dos hackers”

“Mais de um quarto dos ataques estavam a explorar vulnerabilidades identificadas há mais de 10 anos”, esta é a conclusão de um levantamento realizado pela equipa de “threat intelligence” da Check Point, durante o ano passado, que correlacionou os ataques para os quais a empresa de segurança criou assinaturas, com a data em que as respetivas vulnerabilidades foram identificadas. Maya Horowitz, diretora do grupo de “threat intelligence” na Check Point, assinala que “menos de 10% dos ataques tiraram partido de vulnerabilidades descobertas nos últimos dois anos”.

Esta situação é preocupante, porque significa que as empresas não estão a fazer os trabalhos de casa na proteção dos seus sistemas de informação. “Dizemos sempre que temos de correr atrás dos maus da fita, porque estão sempre um passo à nossa frente, mas afinal estão 10 anos atrás”, ironizou a analista.

Maya alerta que é preciso trabalhar. “A maioria dos ataques que encontramos baseiam-se em vulnerabilidades antigas, em coisas que já estão cobertas por correções dos fabricantes e por soluções de segurança. Isto significa que estes ataques poderiam e deveriam ser evitados, se houvesse mais atenção e tanto particulares como empresas, investissem tempo e dinheiro para se protegerem”.

A recomendação da perita é simples: os sistemas têm de estar atualizados e os administradores de redes, atentos. Referindo-se às botnet de IoT, “os ataques têm ocorrido em câmaras ou “routers” domésticos, mas podem acontecer em qualquer dispositivo IoT. É preciso tirar tempo para proteger os sistemas”, observa. E recorda: “o mais recente ataque IoT afetou 30% das redes em todo o mundo”.

Ainda assim, a mensagem de Maya é tranquilizadora até porque, “a maioria dos ataques são simples” e de fácil resolução, pois passam “passa pela “reciclagem de ataques antigos”.

Principais vulnerabilidades de 2017

Maya recorda que em 2017, as duas principais tendências identificadas pela empresa foram o o uso sem consentimento de máquinas para extracção de criptomoedas e as já referidas botnets de IoT. Uma terceira tendência é a proliferação de ransomware, “mas isso já são notícias velhas”, referiu.

No caso da “mineração” de criptomoeda, o malware tira partido do poder de computação e dos recursos de eletricidade da vítima, através de vários métodos usando cloud computing, os browsers ou “Web Services”. De acordo com Maya Horowitz, este tipo de ataques “está a tornar-se cada vez mais complexo e sofisticado”.

Relativamente às botnets associadas a dispositivos de IoT, Horowitz refere que foram identificados “muitíssimos ataques diferentes que tiram partido de vulnerabilidades de dispositivos de IoT como câmaras e routers domésticos”. Segundo a responsável, este malware baseia-se na botnet Mirai, usada para um “ataque de negação de serviço (DDoS) de larga escala que mandou abaixo a Internet há cerca de ano e meio”. Maya refere que “o código foi publicado online” e agora “qualquer cibercriminoso o pode adaptar para fazer ataques mais sofisticados”. A ofensiva original “usava apenas as credenciais por defeito para atacar. Os novos ataques irão explorar outras vulnerabilidades o que significa que ainda se poderá propagar mais e fazer mais estragos”.

Que tipo de estragos? “Depende da criatividade dos hackers”, afirma Maya Horowits. “Como são dispositivos pequenos e com poucas funcionalidades, podem atingir todo o mundo e criar o caos, como fez a Mirai”. Mas, pode ser um DDoS “segmentado e direcionado a determinada região ou indústria”. Como vemos com o ransomware, podem ser só hospitais ou toda a Ucrânia.

O que faz a Checkpoint quando identifica uma vulnerabilidade?

“Assim que identificamos uma vulnerabilidade, começamos por bloquear, com a nossa ‘gateway’, os ataques nos nossos clientes. Em seguida analisamos o que se passa, que tipo de ataques estão a acontecer e adicionamos as assinaturas [de software nocivo] aos produtos da Check Point”, explica Maya. Depois “procuramos mitigar o ataque a uma escala global”.

Protegidos os clientes, a Check Point avisa e envia os dados técnicos para os fabricantes dos dispositivos vulneráveis para que possam tomar medidas. “Honestamente, alguns estão bastante relutantes em desenvolver atualizações para os seus dispositivos de [IoT]. E mesmo que o fizessem é muito difícil aos utilizadores domésticos fazer uma atualização de um dispositivo de IoT. A maioria dos utilizadores nem iria tentar”. Maya considera que, no futuro, poderá existir uma solução que passe por atualizações em segundo plano, sem o utilizador se aperceber, como já acontece com os browsers. “De outro modo, as vulnerabilidades não serão colmatadas”.

Em seguida, e após a correção por parte do fabricante, a Check Point procura “criar awareness”, divulgando informação junto dos utilizadores por diferentes meios. “A imprensa, por exemplo, é importante nesta matéria, pois pode informar as pessoas por exemplo sobre a necessidade de proteger os equipamentos de IoT”. A divulgação de casos concretos só deve ser feita após a criação das correcções. “Caso contrário, apenas estaremos a dar ideias aos hackers”, assinala Maya.