Dias atrás nos deparamos com uma pesquisa de um renomado fabricante de antivírus que disse:

“96% dos ataques de ransomware vem por email”

Ou seja, a pesquisa estava afirmando que o principal vetor, ou seja, o principal canal de ataque do ransomware é o e-mail.

Isso foi tema de numa de nossas reuniões diárias e gerou um pouco de discussão…

Levamos esse tema também para ser discutido num treinamento fechado de clientes.

Alguns analistas achavam que a maioria das infecções de ransomware vinham por navegação em sites “suspeitos” ou pelo usuário baixar algum download “pirata”.

Então fizemos o dever de casa.

Começamos a pesquisar as estatísticas de malware na nossa base de logs de spam e phishing.

No início começamos a procurar por emails que traziam vírus anexados no e-mail, executáveis e arquivos que o Windows reconhece como “cpl” (extensão do painel de controle!)…sim vem muito vírus com isso.

O volume era baixo desse tipo de e-mail com próprio malware em anexo.

Então focamos em procurar emails com algum link (URL) que direcionam algum site com arquivos executáveis.

Aí sim encontramos muito, mas muito mesmo…

Pegamos um tráfego num cliente de que chega a 1 milhão de spam por dia…bem expressivo.

A nossa primeira análise chegou próximo 87% dos spams que continham links, direcionavam para algum site que hospedavam arquivos executáveis.

Muitas URLs eram “camufladas”, redirecionando para outros sites, em alguns casos utilizando de 3 a 5 sites para redirecionamento até chegar no arquivo executável.

Após identificado as URLs, executamos alguns scripts em Python e começamos a “baixar” as amostras dos executáveis.

Repetimos a pesquisa em um amostra de spams em um cliente com tráfego menor, mais ou menos 100 mil emails por dia e para nossa surpresa 98% dos emails com links direcionavam para sites com arquivos executáveis Windows.

Após baixar as amostras, o job dos scripts faziam a varredura com 5 produtos de antivírus comerciais.

Claro que fizemos os testes em laboratório controlado com sandbox e máquinas isoladas.

A maioria dos arquivos era detectado como ransomware e outros como keyloggers, geralmente usado para roubar dados bancários do usuário.

Mas o que realmente chamou atenção era que muitas amostras de malwares baixados, não eram detectados por alguns fabricantes de antivírus.

Em alguns casos nenhum antivírus detectou a amostra como malware!

Ok, mas com sabemos então que era um malware?

Uma análise rápida no binário com disassembler já dava indícios que era um malware, e após “rodar” a amostra numa sandbox dava para perceber imediatamente as alterações nas principais DLLs do sistema operacional.

Isso acendeu um alerta!

Email ainda é um dos vetores mais críticos, principalmente para ambientes corporativos, por que nesse ambiente o e-mail é usado como uma ferramenta de trabalho.

A vezes achamos que só spam é o problema, mas o problema maior pode ser o malware, que não está necessariamente anexado ao email, mas sim hospedado em websites e URLs “camufladas”.

Então vale a velha e boa estratégia de tratar cyber segurança em camadas…dar atenção para a segurança no email, para o filtragem de navegação web, para o dispositivo do usuário-final e principalmente criar um plano de resposta e recuperação de dados.

Como dizemos aqui internamente: “Por que existe spam no e-mail corporativo? Porque e-mail corporativo é algo que usuário lê”.

Bom trabalho!

2019-02-11T15:51:36+00:00