Listamos alguns dos principais como se proteger deles
Saber contra qual tipo de aplicação maliciosa devemos nos proteger é uma etapa importante para definir um plano de ação e escolher os controles de proteção corretos.
Então, você sabe o que é um malware?
Segundo a cartilha do Cert.br:
malware são programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um dispositivo ou rede.
Vale ressaltar que as funções de cada código malicioso podem ser muito diferentes. Enquanto o ransomware sequestra dados e dispositivos, adware atrapalham a produtividade com anúncios persistentes. Portanto, cada tipo de malware pede um tipo de ação corretiva. Em outras palavras, sabendo que tipo de malware representa maior risco, é possível escolher os melhores controles para proteger seu ambiente e dispositivos.
Então, vejamos a seguir quais são os tipos mais comuns de malware:
Vírus
Todo mundo já se perguntou o que é um vírus ou qual é a diferença entre um vírus e um malware. Essa pergunta está entre as mais populares do universo de cibersegurança.
Todo vírus é um malware. Mas nem todos malware são vírus.
Os vírus modificam outros arquivos legítimos do sistema operacional, de modo que o código malicioso seja executado junto com o host.
Como o vírus biológico, o vírus cibernético não tem ação quando isolado. Por isso, esse tipo de aplicação precisa criar uma cópia do seu código no arquivo hospedeiro. Só assim ele poderá infectar outros arquivos e recursos de seu sistema.
Worms
Worms têm uma tática muito peculiar e relevante para o cibercrime: eles entregam os códigos maliciosos e são capazes de se replicar em sistemas. Existem há tanto tempo quanto os vírus, porém não precisam estar hospedados em um arquivo de sistema para ser executado. Como consequência, os worms não precisam de ação do usuário (clicar em link, por exemplo) para funcionar.
Portanto, caso identifique uma aplicação que se espalha por diferentes dispositivos ou recursos de rede, pode ter funções de worm.
Cavalo de Troia
Já percebeu que cada tipo de malware acima tem um nome peculiar. O mesmo acontece com o trojan, um tipo de aplicação maliciosa inspirada na mitologia grega.
Que sofisticado, não?!
Um pouco de mitologia: após vários anos de batalha contra Troia, sem conseguir entrar na cidade fortificada para recuperar Helena, os soldados gregos construíram um cavalo gigante de madeira oca, se esconderam dentro dele e o deixaram às portas da cidade. Os troianos confiaram que aquele era um presente e representava que os gregos desistiram da guerra. Então, deixaram o cavalo atravessar a muralha. Assim, os soldados gregos conseguiram entrar em Troia e continuar a guerra.
O que é um cavalo de troia? É um arquivo com código malicioso embarcado, porém disfarçado de aplicação legítima com o objetivo de enganar o usuário. Esse tipo de aplicação utiliza a estratégia grega para atacar dispositivos e ambientes de rede.
No caso de cavalos de troia, é importante estar atento a táticas frequentes de engenharia social, afinal este tipo de aplicação precisa de ação do usuário para infectar um sistema.
Ransomware
Entre os malware mais “populares” atualmente, este tipo de aplicação se apropria de um dispositivo, impedindo o acesso do usuário aos dados ou a todo o sistema operacional. Para restabelecer o acesso, o cibercriminoso exige resgate (ransom).
O nível de dificuldade para identificar uma aplicação de ransomware é grande. Quando a maioria dos usuários percebe a infecção é tarde demais: seu sistema ou dados já estão bloqueados.
Como o ransomware é uma ameaça cuja incidência cresceu bastante recentemente, sugerimos a leitura completa do Whitepaper: Tudo o que você precisa saber sobre: Ransomware onde você vai encontrar as informações mais importantes sobre esse tipo de malware, incluindo as táticas de prevenção.
Bots
Como falamos com detalhes no blog Como identificar o tráfego de bots, existem aplicações criadas para executar ações recorrentes de forma automatizada. É claro esta tática pode ser usada para realizar ações repetitivas não maliciosas. Contudo, os bots são largamente conhecidos por sua aplicação em táticas mal-intencionadas.
Exploit
O exploit pode ser um software, uma sequência de dados ou comandos usados para explorar potenciais vulnerabilidades de um sistema. Da mesma forma que os bots, os exploits podem ser utilizados como uma ferramenta aliada da equipe de TI (com a função de estressar possíveis brechas em um dado sistema ou aplicação), mas são frequentemente utilizados por cibercriminosos para causar algum comportamento inesperado na execução de um software ou hardware.
Usado com objetivo malicioso, o exploit pode ser especialmente perigoso, pois uma aplicação deste tipo vai aliar diferentes táticas de malware para explorar o recurso ou sistema alvo.
Adware e Spyware
Sabe aquela publicidade insistente ou as barras de ferramentas que aparecem no navegador web sem aparente solicitação do usuário? Também são malware. Não estão entre as mais perigosas, mas ainda assim é importante evitá-las. Adware e Spyware são as mais frequentes.
O que é Adware? É uma categoria de malware cuja função é expor o usuário a publicidade indesejada ou potencialmente maliciosa. Uma aplicação pode contaminar o dispositivo e, por exemplo, exibir anúncios repetitivos ou redirecionar a pesquisa de um usuário páginas clonadas com oferta de produtos.
O que é Spyware? É um programa espião, ou seja, um malware desenvolvido para acompanhar as atividades de um usuário no dispositivo. Em geral, esse tipo de malware busca recolher informações para promover algum tipo de golpe de engenharia social. Porém, em casos mais direcionados, podem estar relacionados ao roubo de informações confidenciais, como propriedade intelectual.
Malware Híbrido
Sabendo como se comporta cada tipo de malware fica mais fácil estabelecer uma estratégia, certo?
Sim.
Porém, os cibercriminosos também sabem disso e desenvolvem malware com funções híbridas, visando dificultar o processo de identificação e combate. O episódio com o WannaCry é um bom exemplo: um programa que bloqueia o acesso ao sistema (ransomware) com capacidade de se replicar por outros dispositivos na rede (worm).
Um parentese: o que é o Backdoor
Criar portas de entrada não documentadas para retorno ao sistema, mesmo depois de correção de um incidente prévio, é uma tática frequente de um malware, chamada de backdoor.
Mas, então, o que é um backdoor? É uma ameaça (o malware) ou uma vulnerabilidade (a brecha do sistema)? Essa é uma pergunta é espinhosa. Podemos dizer que os dois cenários são verdadeiros.
- O backdoor pode ser a tática de um ataque de malware – ou seja, uma das etapas do ataque é abrir uma porta de retorno para próximas ações do cibercriminoso (o backdoor é apenas a vulnerabilidade criada pelo malware, que tem outros objetivos); ou
- O backdoor pode ser o objetivo da ação cibercriminosa – ou seja, o malware tem a finalidade de criar a “porta dos fundos” (o backdoor é o próprio malware e também a vulnerabilidade criada no sistema).
Conheça recomendações importantes para evitar Backdoors.
Qual é a melhor proteção contra malware?
A maioria dos malware é distribuída por canais de uso frequente da maioria dos usuários, como arquivos enviados por e-mail, URLs com arquivos executáveis ou websites e publicidade maliciosos.
Considere também grande parte dos malware precisa da ação de um usuário para ativar a sua carga maliciosa e contaminar ambientes privados.
Portanto, uma das primeiras medidas de prevenção é educar os usuários corporativos, para que sejam cuidadosos ao acionar recursos online.
Outra recomendação igualmente relevante é a adoção de controles de cibersegurança. Grande parte dos produtos dispõe de assinaturas de malware e vírus, o que ajuda a identificar com mais agilidade as ameaças conhecidas. Mas reunimos algumas dicas de controles que podem elevar ainda mais a proteção de seu ambiente:
- A Proteção Avançada Contra Ameaças (ATP) tem a capacidade de identificar ameaças desconhecidas, reunindo tecnologias para detectar tráfego malicioso e ataques direcionados causados por um malware (Antivírus, Análise estática e heurística de arquivos e Análise de Rede etc.);
- A Filtragem de Conteúdo web (Secure Web Gateway) permite gerenciar os tipos de páginas que o usuário corporativo pode acessar, controlando por categorias que potencialmente apresentem mais riscos de segurança. Além disso, associa a capacidade de inspeção SSL, que avalia em profundidade conteúdo criptografado.
- Por fim, o Sandbox permite separar amostras de aplicações suspeitas para estudar seu comportamento e determinar se são ou não aplicações maliciosas. Este tipo de solução implementa tecnologias capazes de detectar e identificar malware desconhecido (Zero Day) baseado em análise do malware em ambiente controlado.
Por fim, é importante defender o seu ambiente de rede contra todos tipos de malware, mas isso pode ser feito de forma mais eficiente.
Como?
Entendendo quais são os riscos mais factíveis contra o ambiente, a gestão de TI consegue decidir pela adoção dos controles direcionados. Mas para isso, é importante mapear o ambiente em busca de vulnerabilidades ou brechas de política de segurança. Uma dica final é adotar uma solução de gerenciamento de vulnerabilidades para auxiliar na prevenção contra malware, ou seja, identificando as brechas que podem ser exploradas, com base em uma biblioteca de inteligência de cibersegurança.
Quer saber como a BLOCKBIT pode ajudar a sua empresa detectar e bloquear malware? Consulte nossos especialistas.
Com mais de 3.000 clientes, a Blockbit é a maior fabricante de soluções de cibersegurança do Brasil e pode auxiliar você a proteger o seu negócio das mais diversas ameaças, vulnerabilidades e ataques cibernéticos, sejam internos ou externos, genéricos ou direcionados.
Quer saber mais? Entre em contato com a gente pelo e-mail contato@blockbit.com, pelo telefone (11) 2165-8888 ou pelo WhatsApp (11) 5039-2127 e conheça nossas soluções.