COVID-19: A corrida ao ouro do cibercrime em 2020

Se você me dissesse no início de 2020 que, pela primeira vez na história da segurança cibernética, veríamos todos os setores e tipos de dispositivo no mundo sendo alvo de ataques baseados em um único tema, eu não acreditaria em você. Se você me dissesse que esse tema dependeria da exploração de uma pandemia global e os atacantes atingiriam até mesmo pesquisadores médicos nas linhas de frente que tentam parar essa doença, eu também não acreditaria. No entanto, aqui estamos nós e nossa realidade de fato inclui uma “corrida do ouro” no cibercrime destinada a aproveitar o COVID-19.

Em meados de julho, o Centro Nacional de Segurança Cibernética do Reino Unido, o Estabelecimento de Segurança das Comunicações do Canadá e a Agência Nacional de Segurança dos Estados Unidos emitiram um comunicado conjunto detalhando como o Cozy Bear (APT29) foi empregado pelo governo russo para atingir organizações envolvidas no desenvolvimento da vacina COVID-19 dentro desses três países.

Pesquisadores da equipe de inteligência de ameaças da Unit 42 da Palo Alto Networks estão acompanhando de perto uma infinidade de ataques cibernéticos com o COVID-19 que surgiram em todo o mundo nos últimos meses. Desde o início deste ano, identificamos mais de 40.000 sites registrados usando um nome relacionado ao coronavírus, que classificamos como sites de "alto risco" devido aos golpes e malwares direcionados a consumidores inocentes.

O impacto global da pandemia do COVID-19, combinado com a falta de confiança no governo e na mídia como fontes confiáveis de informação, finalmente criou uma tempestade perfeita para os criminosos cibernéticos serem bem sucedidos. As pessoas estão constantemente procurando novas fontes de suprimentos e de informações, e cibercriminosos aproveitaram a oportunidade.

Por que isso importa

Os invasores usufruíram da chance de procurar por atualizações do COVID-19 e comprar produtos essenciais on-line, criando ataques motivados pelo lucro.

Nós descobrimos:

• Sites fraudulentos que oferecem itens como máscaras faciais e desinfetante para as mãos por preços baixos.

• Ebooks falsos de COVID-19 prometendo novas “dicas” sobre como se manter seguro. Na verdade, esses sites não entregam produtos após a conclusão da compra e apenas roubam o dinheiro e todas as informações pessoais e financeiras carregadas no site.

• Evidências que sugerem que os cibercriminosos também estão criando sites à “prova de falhas” que estão inativos no momento, esperando para serem rapidamente ativados quando outro site fraudulento for derrubado.

• Criminosos cibernéticos que usam provedores de serviços em nuvem (como Amazon, Google, Microsoft e Alibaba) para hospedar sites maliciosos. Isso porque quando as ameaças se originam na nuvem, pode ser mais fácil evitar a detecção usando os recursos de um provedor em nuvem. (Graças aos rigorosos processos de triagem e monitoramento empregados por esses provedores de nuvem e provavelmente devido aos custos mais altos com o uso deles, foi relativamente raro até agora para atores maliciosos hospedarem domínios maliciosos em nuvens públicas).

Também descobrimos - e bloqueamos - uma ampla variedade de ameaças cibernéticas agressivas que têm como alvo agências governamentais de assistência médica, governos locais e regionais e grandes universidades que estão lidando com os esforços críticos de resposta da pandemia de COVID-19. As regiões impactadas incluem EUA, Canadá, Alemanha, Turquia, Coréia e Japão.

Embora não seja surpreendente que os cibercriminosos estejam aproveitando esta oportunidade para explorar a pandemia para seu ganho pessoal, está claro que os criminosos que lucram com o cibercrime vão de alguma forma ter sucesso e estão nele a longo prazo.

Continuamos monitorando e protegendo contra essas ameaças, mas é importante observar que essas mudanças de comportamento destacam que os cibercriminosos estão investindo tempo e recursos para reforçar seus ataques.

Olhando para o futuro

Com os casos de COVID-19 continuando a aumentar em alguns países, e com uma segunda onda do vírus prevista para ocorrer ainda este ano, continuaremos vendo temas em evolução de invasores relacionados a notícias da pandemia. Por exemplo, no final de junho, recebemos e-mails maliciosos com o assunto "Fornecedor de Máscara facial / termômetro da testa" e "Fornecemos máscara médica, óculos de proteção e pistola de temperatura". Esses são dois tópicos que estão mais relacionados à preparação e ao retorno ao mundo, em vez de ficar em casa. Prevejo que esta tendência continue com base nas prioridades de notícias e negócios.

Além disso, também prevemos que os EUA provavelmente serão mais alvo de invasores em comparação com países que não têm mais o COVID-19, causando um impacto na vida diária (como a Nova Zelândia).

Também esperamos ver um aumento no crime cibernético à medida que as economias entram em recessão. Com o número de desempregados em todo o mundo crescendo, algumas pessoas inevitavelmente se voltam para o cibercrime, como normalmente acontece nas crises econômicas.

Por fim, considerando que mais da força de trabalho agora adota o home office, prevemos um aumento de atacantes direcionados a roteadores e outros dispositivos da Internet das Coisas (IoT) para comprometer as redes domésticas.

Esses dispositivos já são alvo frequente porque 98% de todo o tráfego IoT não é criptografado, expondo dados pessoais e confidenciais na rede e permitindo que os invasores possam ouvir e coletar informações pessoais ou confidenciais.

Embora não tenhamos os dados para mostrar que isso está acontecendo atualmente, um cenário muito provável do próximo passo para os invasores seria mudar o foco dos roteadores domésticos para fazer mais do que apenas pesquisar por criptomoeda ou iniciar ataques DDoS, como eles fizeram no passado. Com mais funcionários trabalhando em casa e sem uma ferramenta de segurança corporativa e um firewall corporativo, os invasores podem começar a tentar roubar dados confidenciais que eles normalmente não acessariam com a mesma facilidade. Os consumidores devem garantir que o roteador físico não esteja usando a senha padrão que acompanha o dispositivo (geralmente apenas "Admin"). Eles também devem atualizá-lo para a versão mais recente do firmware. Muitas vezes, os consumidores criam uma senha apenas para sua rede sem fio e não percebem que o dispositivo físico também precisa ter uma senha exclusiva.

Aqui estão nossas dicas recomendadas para que consumidores e empresas fiquem seguros durante esse período:

Consumidores:

• Desconfie de sites que ofereçam ofertas “boas demais para serem verdade” sobre necessidades básicas contra o COVID-19, como máscaras faciais e álcool para as mãos.

• Trate todos os emails e sites que pretendem oferecer informações sobre o COVID-19 como suspeitos.

• Para garantir que você não seja vítima de um ataque de phishing, sempre verifique os três indicadores principais: nome de domínio correto, presença do cadeado e propriedade válida do certificado.

• Se você acredita que as informações do seu cartão de crédito foram roubadas em uma compra on-line recente, entre em contato com seu banco para bloquear ou alterar seu cartão imediatamente.

• Considere bloquear seu crédito para que novas contas não possam ser abertas usando suas informações pessoais.

• Verifique se o seu roteador doméstico possui uma senha física, além da senha do Wi-Fi. Se você não souber como fazer isso, visite o site do fabricante do dispositivo para encontrar as instruções passo a passo.

• Instruções para a Linksys.

• Instruções para Netgear.

• Instruções para a ASUS.

• Instruções para o D-Link.

Empresas:

• Execute uma avaliação de práticas recomendadas para identificar onde a configuração pode ser alterada para melhorar sua postura de segurança.

• Use a filtragem de URL para bloquear “domínios recém-registrados”, ou seja que contém domínios registrados nos últimos 32 dias.

• Se você não puder bloquear o acesso à categoria domínios registrados recentemente, nossa recomendação seria impor a descriptografia SSL a esses URLs para aumentar a visibilidade e impedir que os usuários baixem tipos de arquivos arriscados, como PowerShells e executáveis.

• Você também pode aplicar uma política de prevenção de ameaças muito mais rigorosa e aumentar o registro ao acessar domínios recém-registrados. Também recomendamos a proteção da camada DNS, pois sabemos que mais de 80% dos malwares usam DNS para estabelecer o C2.

• Os varejistas de comércio eletrônico e on-line podem reduzir os riscos corrigindo todos os seus sistemas, componentes e plugins da web para evitar serem comprometidos.

• Realize regularmente verificações de integridade de conteúdo web offline para ver se suas páginas foram editadas e se o código JavaScript malicioso foi inserido pelos invasores.

• Verifique se você está usando senhas fortes nos administradores do sistema de gerenciamento de conteúdo (CMS) para torná-lo menos suscetível a ataques de força bruta.

*Ryan Olson é vice-presidente de inteligência em ameaças da Unidade 42 da Palo Alto Networks