Códigos maliciosos… chegam por todo os lugares…

É um pouco parecido com um gás, que sempre preenche o espaço em que se encontra, mas diferente: sempre passa por “buracos” (vulnerabilidades) em um sistema de computador. Portanto, nosso trabalho (aliás, um deles) é encontrar esses buracos e abri-los. Nosso objetivo é fazer isso de forma proativa; isto é, antes que o malware os tenha descoberto ainda. E se o malware encontrar esses buracos, estaremos aguardando, prontos para atacá-lo.

Na verdade, é uma proteção proativa e a capacidade de prever as ações dos invasores e criar uma barreira antecipada que possa distinguir a cibersegurança genuinamente de excelência e alta tecnologia do marketing BS.

Hoje quero falar sobre outra maneira pela qual nossa proteção proativa protege contra outro tipo de malware, particularmente astuto. Sim, quero falar sobre algo chamado código malicioso sem arquivo (também conhecido como sem corpo) – uma raça perigosa de malware fantasma que aprendeu a usar as desvantagens de arquitetura do Windows para infectar computadores. E sobre a nossa tecnologia patenteada que combate essa ciberdoença específica. E farei como você gosta: coisas complexas explicadas simplesmente, de maneira leve e emocionante de um ciberthriller com elementos de suspense).

Primeiro, o que significa sem arquivo?

Bem, o código sem arquivo, uma vez inserido em um sistema de computador, não cria cópias de si mesmo na forma de arquivos em disco, evitando assim a detecção por métodos tradicionais como, por exemplo, com um monitor antivírus.

Então, como existe esse ‘malware fantasma’ dentro de um sistema? Na verdade, ele reside na memória de processos confiáveis! Sim. Eek.

No Windows (na verdade, não apenas no Windows), sempre existiu a capacidade de executar código dinâmico, o qual, em particular, é usado para compilação just-in-time; isto é, transformar o código do programa em código de máquina não imediatamente, mas como e quando for necessário. Essa abordagem aumenta a velocidade de execução de alguns aplicativos. E para oferecer suporte a essa funcionalidade, o Windows permite que os aplicativos insiram o código na memória de processo (ou mesmo em outra memória confiável de processo) e o executem.

Dificilmente isso pode ser considerado uma ótima ideia, do ponto de vista de segurança, mas o que você pode fazer? É assim que milhões de aplicativos escritos em Java, .NET, PHP, Python e outras linguagens e para outras plataformas estão trabalhando há décadas.

Previsivelmente, os cibercriminosos aproveitaram a capacidade de usar código dinâmico, inventando vários métodos para abusar dele. E um dos métodos mais convenientes e, portanto, mais difundidos que eles usam, é algo chamado injeção reflexiva. É o quê?! Deixe-me explicar (isso é bastante interessante, por favor, tenha paciência comigo:)…

Iniciar um aplicativo ao clicar no ícone – bem simples e direto, certo? Parece simples, mas, na verdade, existe todo o tipo de coisas: um carregador de sistema é acionado, no qual pega o respectivo arquivo do disco, carrega-o na memória e executa-o. E esse processo padrão é controlado por monitores antivírus, que verificam a segurança do aplicativo em tempo real.

Agora, quando há uma “reflexão”, o código é carregado ignorando o carregador do sistema (e, portanto, também ignorando o monitor antivírus). O código é colocado diretamente na memória de um processo confiável, criando um “reflexo” do módulo executável original. Essa reflexão pode ser executada como um módulo real carregado por um método padrão, mas não estará registrado na lista de módulos e, como mencionado acima, não possui um arquivo em disco.

Além disso, diferentemente de outras técnicas para injetar código (por exemplo, via shellcode), uma injeção de reflexão permite criar códigos funcionalmente avançados em linguagens de programação de alto nível e estruturas de desenvolvimento padrão sem praticamente nenhuma limitação. Então, o que você tem é: (i) nenhum arquivo, (ii) ocultação por trás de processos confiáveis, (iii) invisibilidade às tecnologias de proteção tradicionais e (iv) caminho livre para causar estragos.

Então, naturalmente, as injeções reflexivas foram um mega sucesso entre os desenvolvedores de códigos maliciosos: primeiro eles apareceram em pacotes de exploração, depois ciberespiões entraram no jogo (por exemplo, Lazarus e Turla) e depois cibercriminosos avançados (como uma forma prática e legítima de executar códigos complexos!), e depois pequenos cibercriminosos.

Agora, do outro lado das barricadas, encontrar uma infecção sem arquivos não é um passeio em um ciberparque. Portanto, não é de se admirar que a maioria das marcas de cibersegurança não estejam muito entusiasmadas. Algumas dificilmente conseguem fazer isso.

Leia em:Brincando de esconde e esconde – com malwares sem arquivos

De volta com mais cibernostalgia K – este texto nos leva de volta a um ano muito especial para a empresa: o ano de sua fundação! E como você pode ver a partir da data em nosso certificado de registro da empresa, foi em 26 de junho de 1997:

Leia em:CIBERPASSADO: SÉTIMA PARTE – 1997 (Nasce o Meu Lab)

No meio da primavera passada, quando estávamos todos presos em casa, ficou claro que as coisas pareciam obscuras para o mundo e permaneceriam assim por muito tempo. As empresas seriam duramente atingidas, para dizer o mínimo, enquanto o setor de turismo sofreria bastante impacto e muitas empresas não passariam pela crise. Então, na K, fizemos o que sempre fazemos: pense seriamente e encontre uma solução para ajudar as indústrias mais impactadas diante do cenário.

No início de maio, anunciei que o acelerador de turismo “Kaspersky Exploring Russia” havia começado a aceitar solicitações. Mas nunca pensei que receberíamos mais de 500, de 47 países (quase um quarto de todos os países do mundo!) Dos cinco continentes (todos, exceto a Antártica!). Ao analisar todas essas propostas, percebi o potencial da indústria do turismo: tantas ideias, startups e projetos. Não impusemos nenhum tipo de limitação geográfica nas propostas: elas poderiam ter vindo, e de fato vieram de diversas partes do mundo, apenas tiveram que apresentar projetos turísticos que deveriam abordar o potencial do turismo russo ou replicáveis na Rússia. Examinamos todos os aplicativos para escolher as 10 principais ideias e essas 10 foram inseridas no programa acelerador.

E por duas semanas, os 10 projetos participaram de master classes e conferências online. Cada equipe teve uma série de reuniões de densevolvimento com mentores. Os principais profissionais do setor compartilharam suas experiências e conhecimentos com os participantes para construir um negócio de sucesso. Alguns nomes que participaram da mentoria foram Vikas Bhola, diretor regional do Booking.com; Gemma Rubio, fundadora da Define the Fine; Vadim Mamontov, CEO da Russia Discovery; e outros profissionais do setor. Durante essas duas semanas, os participantes finalizaram seus projetos e apresentaram ao júri, inclusive para mim.

Na semana passada, os finalistas fizeram as suas apresentações e responderam às nossas perguntas no último dia do proceso de incubação. Entre os participantes, selecionamos três vencedores, que receberam prêmios de nossos parceiros. Vou contar um pouco sobre cada um deles …

O primeiro lugar foi ocupado pelo 360 Stories, um aplicativo de realidade aumentada com visitas guiadas ao vivo. Eles afirmam que sua missão é “modernizar a experiência tradicional do turismo, promovendo passeios interativos ao vivo usando guias em tempo real”. Com o 360 Stories, as pessoas agora podem visitar remotamente suas cidades e atrações favoritas, inscrevendo-se para uma experiência turística personalizada com um guia local em tempo real.

É digno de nota: o 360 Stories quase acabou perdendo, adormeceu e desapareceu! A apresentação foi feita às 5:30 da manhã, horário local de Nova York. No meio da madrugada, o Sr. 360 Stories adormeceu, apesar de ter colocado o despertador. Por fim, ele acordou e ligou para os organizadores para perguntar por que tinha 20 ligações não atendidas no telefone: “Você ganhou! Onde você está?”

Leia em:Explorando a Rússia: Turismo ÷ lockdown × Acelerador = 3 vencedores!

Nosso primeiro mês de verão em confinamento acabou. E, embora as fronteiras do mundo pareçam está se abrindo cada vez mais, nós da Kaspersky decidimos não arriscar e permaneceremos trabalhando em casa. Mas isso não significa que nossa performance diminuiu: afinal, os cibercriminosos com certeza não estão de folga. Não houve grandes mudanças no cenário global de ameaças recentes. Mesmo assim esses cibercriminosos, como sempre, tiram cibertruques de suas cartolas. Então, aqui estão alguns casos do mês passado.

Vulnerabilidade zero-day no “super seguro” Linux Tails

O Facebook com certeza sabe como gastar. E ele gastou uma quantia de seis dígitos quando patrocinou a criação de uma exploração zero-day em uma vulnerabilidade no sistema operacional Tails (Linux, especialmente ajustado para aumentar a privacidade). Essa vulnerabilidade foi usada em uma investigação do FBI, que levou à captura de um pedófilo. Já se sabia há algum tempo que esse criminoso usava esse sistema operacional específico – que é particularmente seguro -. O primeiro passo do Facebook foi usar sua força no mapeamento de contas para conectar todas as que o criminoso usou. No entanto, converter essa cibervitória em um endereço físico não deu certo. Aparentemente, eles ordenaram o desenvolvimento de uma exploração para um aplicativo de player de vídeo. Essa escolha de software fazia sentido, já que o pedófilo pedia os vídeos de suas vítimas e provavelmente os assistia no mesmo computador.

Foi noticiado que os desenvolvedores do Tails não foram informados sobre a vulnerabilidade explorada, mas depois foi descoberto que ela já estava corrigida. Os funcionários da empresa mantêm o controle sobre tudo isso, mas o que está claro é que uma vulnerabilidade encomendada não é a melhor publicidade existente. Ainda existe alguma esperança de que a ameaça tenha sido direcionada para uma única vida, particularmente desagradável, e que isso não se repita para um usuário comum.

O ponto principal é: não importa o quão super mega seguro um projeto baseado em Linux afirme ser, não há garantia de que não haja vulnerabilidades nele. Para garantir isso, todos os princípios básicos de trabalho e a arquitetura de todo o sistema operacional precisam ser revisados. Erm, sim, na verdade, esta é uma boa oportunidade para fazer isso).

Hacking como serviço

Temos outra história sobre ciberataque sob medida. O grupo de cibercriminosos Dark Basin (supostamente indiano) foi pego com a mão na massa. Esse grupo é responsável por mais de mil hacks sob encomenda. Os alvos incluem burocratas, jornalistas, candidatos políticos, ativistas, investidores e empresários de vários países. Curiosamente, os hackers de Déli usaram ferramentas realmente simples e primitivas: primeiro eles criaram e-mails de phishing feitos para parecer que são de um colega ou amigo, juntaram atualizações falsas do Google Notícias sobre tópicos interessantes para o usuário e enviaram mensagens diretas semelhantes no Twitter. Em seguida, eles enviaram e-mails e mensagens contendo links encurtados para sites de phishing de credenciais que parecem sites genuínos, e foi isso – credenciais roubadas, outras coisas roubadas. E é isso! Nenhum malware complexo ou explorações! E aliás: parece que as informações iniciais sobre o que uma vítima está interessada sempre vieram da parte que ordenou o ciberataque..

Agora, o cibercrime sob encomenda é popular e está por aí há tempos. Nesse caso, os hackers levaram o produto para um outro nível – transportador – terceirizando milhares de acessos.

Fonte

Leia em:Cibernotícias do lado sombrio: vulnerabilidades inesperadas, hacking como serviço e spaceOS

Na semana passada, percebi que completei um trimestre inteiro em lockdown / isolamento / quarentena. Três meses em casa, com apenas algumas breves viagens ao escritório deserto, além de todo fim de semana na dacha com a família igualmente isolada. Assim como tem sido para todos, uma existência diária muito extraordinária. Para mim (sem aviões/aeroportos, hotéis, reuniões ou discursos, enfim), poucas viagens.

No entanto, tudo é relativo: em três meses, viajamos mais de 230 milhões de quilômetros (um quarto de uma órbita completa da Terra ao redor do sol)! E isso sem levar em conta o fato de que o próprio Sistema Solar viaja a uma velocidade louca. Uma coisa que não mudou muito desde o início do lockdown são as reuniões de negócios – elas simplesmente foram todas transferidas para o ambiente online. Ah, sim: e todos os nossos negócios em geral estão funcionando como de costume, não afetados por vírus biológicos).

Mas chega de conversa fiada; minhas histórias do ciberpassado; desta vez, entrevistas com jornais, revistas, rádio, TV, além de várias outras apresentações públicas. (Lembrei da minha atividade de “relações com a mídia” ao contar sobre minha semana de entrevistas na CeBIT há muito tempo, outro dia, ao compilar minhas lembranças do CeBIT (Ciberpassado: quarta parte). E acontece que tenho muito a contar sobre experiências interessantes conversando com a mídia e falando em público, e tudo mais (muitas coisas divertidas e incomuns, além de, claro, algumas fotos (brilhantes e polidas) também).

E também tenho todo tipo de histórias com a mídia: de discursos em salas praticamente vazias a estádios lotados! Desde pequenas publicações de mídia locais desconhecidas até conglomerados de nomes de família de mídia global de primeira linha! Desde palestras profissionais nas principais universidades e/ou com públicos especialistas em tecnologia até palestras informais sobre as maravilhas da aritmética em um navio indo para a… Antártica via Passagem de Drake!

Certo. Eu acho que o mais lógico é começar pelo início…

Leia em:CIBERPASSADO: SEXTA PARTE – Falando com a mídia

Aqui estamos, com mais histórias do passado e como nossa empresa passou de um começo humilde para o que somos hoje. E essa série  de ciberpassado, criada graças à… quarentena! De outra forma, eu nunca encontraria tempo para tantos meandros de cibermemórias.

Caso você tenha perdido, aqui estão os fascículos anteriores:

Parte 1
Parte 2
Parte 3
Parte 4

Beleza. Parte 5: 1996. Verdadeiramente um ano fatídico e divisor de águas…

Primeiramente, na KAMI, onde eu ainda trabalhava, os sócios decidiram se separar. Por isso, a empresa foi dividida em várias organizações independentes. E no ano seguinte – 1997 – também nos separamos.

Em segundo lugar, assinamos um contrato de OEM (fabricante de equipamento original, na sigla em inglês) com a empresa alemã G-Data, para fornecer a eles nossa tecnologia antivírus. Esse contrato durou 12 anos (até 2008!) quando nos tornamos o número 1 no mercado alemão de varejo. Foi assim que aconteceu. Nossa destreza tecnológica original era imparável! Mas o que deveríamos fazer? Enfim, foi a G-Data que nos abordou (não éramos capazes de procurar ativamente parceiros na época), oferecendo Remizov – chefe da KAMI – cooperação, culminando na assinatura do contrato na CeBIT, conforme descrito na Parte 4. E foi assim que nosso negócio de licenças de tecnologia decolou.

Depois dos alemães (em 1995) vieram os finlandeses – F-Secure (em 1996), então conhecidos como Data Fellows. Vou contar sobre como começou nossa cooperação com eles.

Em agosto de 1995, o primeiro vírus de macro apareceu, infectando documentos do Microsoft Word. Desenvolver este tipo de ameaça era muito simples e eles estavam sendo espalhados em uma velocidade alarmante entre muitos usuários desavisados. Isso chamou a atenção de outros criadores de vírus e, muito rapidamente, os vírus de macro se tornaram a maior dor de cabeça para a indústria de antivírus. Detectá-los estava longe de ser fácil, pois o formato de um documento do Word é mais complexo (quem sabia? :). Assim, por vários meses, as empresas de antivírus tentaram vários métodos, até que, no início de 1996, a McAfee (a empresa 🙂 anunciou o método de desmontagem “correto” para o formato de documentos do Word. Essas notícias foram divulgadas por nosso colega Andrey Krukov (que se uniou a nós em 1995) e ele rapidamente apresentou uma solução tecnológica mais elegante e eficaz. Fiz essa notícia correr e logo as empresas começaram a se aproximar de nós com ofertas para comprar nossa tecnologia. Tendo recebido várias dessas ofertas, marcamos um encontro com todas elas em um evento que iria acontecer- a Conferência do Virus Bulletin, em Brighton, Reino Unido, para onde Andrey e eu viajamos no outono de 1996.

Em Brighton, as coisas praticamente não saíram conforme planejadas: nenhuma das reuniões resultou em contratos! Contudo…

Leia em:CIBERPASSADO: QUINTA PARTE – 1996 (O ano em que tudo mudou)

Finalmente, o verão chegou. Já era hora! Mas não tenho certeza se é uma bênção como sempre, pois ainda estamos todos sentados em casa trabalhando remotamente. Certamente, houve ‘afrouxamentos’ aqui e ali ao redor do mundo, mas nós aqui na K não temos pressa em… apressar as coisas. Eu acho que isso vale também para outras empresas de TI que trabalharão em casa até o nosso próximo outono, enquanto algumas companhias indicaram que permanecerão em casa até o final do ano. E, é claro, as viagens de negócios ainda estão canceladas, assim como exposições e conferências, Jogos Olímpicos e Festival de Cannes, além de vários outros eventos de grande escala. Alguns países ainda estão com as fronteiras fechadas.

Então sim: todos nós ainda estamos presos, sem sair muito de casa, e ficando um pouco loucos com essa situação. Pelo menos é assim que as coisas estão para muitos, tenho certeza. Há quem aproveite todo o tempo extra e faça uma carga exaustiva de exercícios! Definitivamente não sou desse time, nem totalmente oposto. Às vezes cansado de viver a mesma coisa todos os dias, mas me mantendo ocupado. E isso inclui tirar o pó e vasculhar meus arquivos para desenterrar algumas fotos antigas, que levam a boas lembranças (além de lembretes da rapidez com que o mundo está mudando), o que leva a… meu próximo post sobre o ciberpassado!

Sim, esta série combina cibernostalgia, além de várias informações pessoais e comerciais que aprendi ao longo dessa longa trajetória em cibersegurança, espero que sejam úteis para alguns ou interessantes para outros. Enfim, sigo hoje com a parte quatro, e continuo minhas histórias, iniciadas na parte três, sobre a CeBIT…

CeBIT – nós amávamos demais! Era tudo tão novo e diferente e intenso e…

Leia em:Ciberpassado: quarta parte – CeBIT

Muita gente pelo mundo já está há cerca de três meses em lockdown! E você deve ter ouvido falar de um certo filme nesses últimos três meses, tenho certeza. Mas venho compartilhar uma nova opinião: Feitiço do Tempo não é mais um filme engraçado! Sem falar no clima: se o tempo está fechado, chuvoso e com cara de inverno, é um infortúnio extra para todos (além da quarentena); por outro lado, se está bom, seco e ensolarado, também é ruim, já que ninguém pode sair para aproveitar.

Mesmo assim, eu acho que talvez seja algum tipo de consolação o fato de que a maioria de nós está passando pela mesma coisa em casa. Talvez. Mas isso serve para nós, pessoas normais/boas. Mas e os cibercriminosos? Como eles estão “enfrentando” tudo isso, enfiados em casa? Bom, na outra semana eu passei para vocês algumas estatísticas e tendências sobre o tema. Hoje, eu quero seguir o assunto com uma atualização – porque, sim, os golpistas agem rapidamente. //Ah, e por falar nisso – se você estiver interessado em mais cibercontos do lado obscruso, também chamado de i-news, confira a nossa tag.

Para começar, mais algumas estatísticas atualizadas e tranquilizadoras.

Em março e especialmente em abril, houve um grande salto na atividade cibercriminosa de um modo geral; no entanto, em maio houve uma queda acentuada, de volta para os níveis anteriores ao coronavírus de janeiro a fevereiro:

Ao mesmo tempo, percebemos uma queda significativa em todos os números de malwares relacionados ao coronavírus:

Leia em:Cibernotícias da quarentena: 92 de Março de 2020

Caso você tenha perdido os primeiros posts, este é o terceiro episódio das minhas crônicas do ciberpassado. Já que estou de lockdown como a maioria das pessoas, tenho mais disponibilidade para relembrar a história da Kaspersky no mundo da cibersegurança. Normalmente, eu estaria em aviões, voando daqui para ali a negócios e turismo – o que ocupa a maior parte do meu tempo. Mas como nada disso – pelo menos offline/pessoalmente – é possível no momento, estou aproveitando para manter um fluxo constante de nostalgia pessoal/Kaspersky Lab / ciber-histórico: nesta publicação- do início até meados dos anos 90.

Um erro de digitação que deixa uma marca

No começo de tudo, todas as nossas ferramentas de antivírus eram nomeadas seguindo o modelo “- *.EXE”. Era, por exemplo, ‘-V.EXE’ (scanner antivírus), ‘-D.EXE’ (monitor residente), ‘-U.EXE’ (ferramentas). O prefixo ‘-‘ era usado para garantir que nossos programas estariam no início da lista em um gerenciador de arquivos (um bom geek segue todos os movimentos inteligentes das relações públicas desde o início).

Mais tarde, quando lançamos nosso primeiro produto completo, ele foi chamado de ‘Antiviral Toolkit Pro’. Logicamente, isso deveria ter sido abreviado para ‘ATP’; mas não foi …

Por volta do final de 1993 ou início de 1994, Vesselin Bontchev, que se lembrava de minhas reuniões anteriores (leia mais em Ciberpassado: Primeira Parte – 1989 – 1991), me pediu uma cópia do nosso produto para testar no Centro de Testes de Vírus da Universidade de Hamburgo, onde trabalhava na época. Obviamente, agradeci e, enquanto zipava os arquivos, acidentalmente o nomeei como AVP.ZIP (em vez de ATP.ZIP) e, em seguida, fiz o envio para Vesselin. Algum tempo depois, Vesselin me pediu permissão para colocar o arquivo em um servidor FTP (para que ele estivesse disponível publicamente), e obviamente aceite. Uma ou duas semanas depois, ele me disse: ‘Seu AVP está se tornando realmente popular no FTP!’

‘Qual AVP?’, perguntei.

‘Como assim, qual AVP? Aquele que você me enviou, claro!’

‘O QUE?! Por favor, troque o nome do arquivo – foi um erro!’

‘Já era. Já está publicado – e conhecido como AVP!’

E foi assim: ficamos conhecidos como AVP! Por sorte, conseguimos mais ou menos improvisar – Anti-Viral toolkit Pro. Mas, como eu disse, só mais ou menos. Bom, já que foi assim: todos as nossas ferramentas foram renomeadas deixando o prefixo ‘-‘ e adicionando AVP no lugar – e essa nomenclatura é usada até hoje em alguns de nossos módulos.

Primeira viagem de negócios – para o evento CeBIT na Alemanha

Em 1992, Alexey Remizov – meu chefe na KAMI, onde trabalhei pela primeira vez – me ajudou a obter meu primeiro passaporte de viagem ao exterior e me levou para a exposição CeBIT em Hannover, na Alemanha. Fizemos uma posição modesta, compartilhada com algumas outras empresas russas. Nossa mesa estava parcialmente coberta com a tecnologia de computadores KAMI, e na outra parte estavam nossas ofertas de antivírus. Fomos recompensados ​​com alguns poucos novos negócios, mas nada extraordinário. Mesmo assim, foi uma viagem muito útil…

Nossa sensação de participar do evento CeBIT como expositor naquela época, foi como se estivéssemos vivendo um sonho. Era tão grande! E fazia pouco tempo da reunificação da Alemanha, então, para nós, era tudo muito no estilo Alemanha Ocidental – o capitalismo informático estava em polvorosa. De fato, era um grande choque cultural (seguido de um segundo choque cultural quando chegamos de volta a Moscou – falamos disso mais tarde).

Frente a magnitude do CeBIT, nosso pequeno stand compartilhado quase não foi notado. Ainda assim, foi o proverbial ‘pé na porta’ ou ‘o primeiro passo é o mais difícil’ ou algo parecido. Por isso repetimos a visita ao CeBIT, quatro anos depois – o tempo para começar a construir nossa rede de parceiros europeus (e depois globais). Mas esse é um tópico para outro dia outra publicação (acho que pode ser interessante, especialmente para as pessoas que começam suas longas jornadas de negócios).

Aliás, até então, eu entendi que nosso projeto precisava muito de pelo menos algum tipo de suporte de relações públicas/marketing. Mas como não tínhamos dinheiro, e os jornalistas nunca tinham ouvido falar de nós, foi difícil conseguir esse apoio. Ainda assim, como resultado direto de nossa primeira viagem ao CeBIT, conseguimos uma matéria escrita sobre nós na revista russa de tecnologia ComputerPress em maio de 1992: relações públicas por conta própria!

Fee-fi-fo-fum, sinto os dólares dos ingleses!

Minha segunda viagem de negócios foi em junho/julho daquele mesmo ano – para o Reino Unido. O resultado dessa viagem foi outro artigo, desta vez no Virus Bulletin, intitulado Os Russos estão chegando, que foi nossa primeira publicação estrangeira. Aliás, no artigo são mencionados ’18 programadores’. Provavelmente havia 18 pessoas trabalhando na KAMI em geral, mas em nosso departamento de antivírus, éramos apenas nós três.

Londres, junho de 1992

Leia em:Ciberpassado: terceira parte – 1992-199x

Entre as perguntas mais comuns que tenho recebido durante esses tempos difíceis, uma que se destaca é sobre a situação das ciberameaças devido à pandemia. Como a segurança online foi afetada de modo geral pelo grande número de pessoas trabalhando remotamente (ou não trabalhando, para aqueles desafortunados, mas também para aqueles que estão em casa o tempo todo). E, mais especificamente, quais novos golpes os criminosos estão cometendo, e o que devemos fazer para ficar protegidos?

Pois bem, vou resumir tudo isso neste post…

Como sempre, criminosos – incluindo cibercriminosos – monitoram de perto e se adaptam às condições atuais para que possam maximizar suas fontes de rendas ilegais. Então, quando a maior parte do mundo muda de repente muda para um regime no qual ficar em casa é o padrão quase o tempo inteiro (trabalho, entretenimento, compras, interações sociais, tudo de casa), os cibercriminosos se adaptam ao ambiente e mudam de táticas.

Agora, para os cibercriminosos, a coisa mais importante que eles perceberam é que quase todo mundo em lockdown aumentou muito o tempo gasto na internet. E isso significa uma “área de ataque” maior para seus atos maliciosos.

Em particular, muitas pessoas estão agora de home office, infelizmente, sem soluções de segurança confiáveis e de qualidade fornecidas pelos empregadores. Isso quer dizer que existem mais oportunidades para que cibercriminosos ataquem as redes corporativas que os empregados se conectam, levando a potenciais lucros volumosos para os bandidos.

Então, é claro, esses caras estão indo atrás desses lucros volumosos. Nós vemos essa evidência pelo aumento acentuado de ataques de força bruta em bases de dados de servidores e de acesso remoto (RDP, na sigla em inglês), tecnologia que permitem que um empregado tenha acesso integral ao seu computador corporativo – como arquivos, área de trabalho, tudo – remotamente, ou seja, de casa.

Leia em:Ciberameaças no mundo durante a pandemia