Infiltrar, adaptar, repetir: uma análise do malware de amanhã

por Brook Chelmo - Gerente de Marketing de Produtos Sênior da SonicWall

De acordo com o Relatório de Ameaças Cibernéticas SonicWall 2021 , os ataques de malware diminuíram de seu pico há três anos, mostrando uma queda geral de 43% em 2020. Apesar de parecer uma ótima notícia, a SonicWall encontrou um aumento de 73% novas atualizações de malwarez que não poderiam ser capturado por defesas tradicionais que dependem de definições estáticas.

Do jeito que as coisas estão indo, esperamos que essa tendência continue no futuro próximo. Mas por que isso está acontecendo - e o que isso significa? O cenário de ameaças é tão ativo por causa de muitos novos participantes no jogo e de um desenvolvimento mais rápido.

Novos inscritos

Em minha pesquisa para uma palestra sobre como a geração mais jovem está aprendendo a hackear, descobri que o programa de TV Mr. Robot criou muitos fãs que querem aprender como hackear. Esses jovens estão abordando o assunto ainda muito jovens e têm mais recursos à sua disposição quando comparados às gerações anteriores. Há muitos lugares seguros para eles testarem suas habilidades, como “Hack the Box”, mas com o tempo eles querem testar novas habilidades em empresas reais. Os mais responsáveis se oferecerão para fazer testes de intrusão, enquanto outros podem ir para o desenvolvimento e ataque de malware.

Quase todos os novos participantes do jogo estão procurando construir algo e ver o que podem passar por nossas defesas. Quase todos aqueles que entrevistei no ano passado estão começando a usar ransomware, o que pode explicar por que a SonicWall viu um aumento de 62% nesse tipo de malware em 2020. As tensões que eles estão criando estão se tornando tão avançadas que me assusta. Eles deixaram de idolatrar personagens fictícios para se tornarem os verdadeiros agressores. No caso do Hildacrypt , eles deixaram de fazer sua própria versão do Petya para dirigir para criar uma linhagem modelando as táticas da equipe que desenvolveu o ransomware SamSam.

Desenvolvimento mais rápido

Outros grupos de pessoas se juntarão a outros invasores para criar ransomware e outras formas de malware com diferentes módulos (por exemplo, bootloaders maliciosos, runners, descriptografadores, etc.) e testá-los em assuntos do mundo real. Após uma série de ataques, eles irão ao VirusTotal para ver se alguém o identificou. Após a descoberta, eles farão alterações no código, garantindo que todos os arquivos usados ​​com hash sejam diferentes (hash de um arquivo é como um computador identifica um arquivo). Eles também irão melhorar o desempenho de uma cepa para torná-la mais eficaz.

Depois disso, o próximo ataque é iniciado e o ciclo se repete. Por exemplo, o WannaCry teve várias versões lançadas nas primeiras semanas dos primeiros grandes ataques. Embora o VirusTotal não seja o fim de tudo para a detecção de malware, já que é o mais notável, os invasores frequentemente verificam quando suas versões são registradas, o que leva cerca de dois a três dias antes de terem que mudar de marcha. Com essas informações, eles criarão novas táticas de evasão com base em quem os encontrou primeiro e trabalharão de trás para frente enquanto constroem as versões 2, 3, 4, etc.

Com o tempo, esses desenvolvedores de malware podem fazer a transição de um projeto para outro, trazendo seu conhecimento e experiência com eles ao desenvolver uma nova linhagem de malware com uma nova equipe. Quando eles lutam para construir um módulo ou têm problemas para solucionar um problema, há um mercado ativo e barato com atendimento ao cliente disponível para ajudar a preencher as lacunas. Hoje, é mais fácil ser pago por meio de ransomware e depois pagar por ajuda no desenvolvimento de código, graças às criptomoedas. Portanto, em um futuro próximo, você pode esperar ver mais pessoas entrando no desenvolvimento de malware, com muitas novas variantes no horizonte.

Impedindo o malware do futuro: A SonicWall está em segurança de TI há 30 anos e já viu de tudo. Passaram de uma empresa de firewall para uma empresa de plataforma de segurança. Pararam o WannaCry nas redes de nossos clientes três semanas antes que o primeiro grande ataque fosse observado. Encontraram e nomearam várias novas linhagens ao longo de suas pesquisas e continuam a desenvolver novas e melhores tecnologias para ajudá-lo a descobrir e impedir ataques desconhecidos, de dia zero :)