Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais
Blog Segurança de Dados

Botnets são ainda um grande problema na América Latina

Um relatório divulgado pela Fortinet sobre as principais ameaças detectadas no último trimestre de 2020 apontou que dois dos botnets mais antigos que circulam – Gh0st e Andromeda – ou Gamaru e Wauchos – ainda circulam e estão ativos na América Latina – embora teoricamente a solução para esses ataques tenha aparecido a primeira vez em 2017.   É claro que esse problema é um reflexo…
Emilia Bertolli
5 minuto de leitura
Ultima atualização 27 de Outubro de 2021

Conteúdo

    Um relatório divulgado pela Fortinet sobre as principais ameaças detectadas no último trimestre de 2020 apontou que dois dos botnets mais antigos que circulam – Gh0st e Andromeda – ou Gamaru e Wauchos – ainda circulam e estão ativos na América Latina – embora teoricamente a solução para esses ataques tenha aparecido a primeira vez em 2017.  

    É claro que esse problema é um reflexo da falta de atualização e da aplicação dos patches dos fabricantes – o que é uma solução convencional – e o calcanhar de Aquiles de muitos departamentos de Segurança. Qual é a solução para controlar esse tipo de ataque e mais: como deixar de depender somente da atualização manual para o controle efetivo desses tipos de ameaças? 

    Um caso recente: Emotet 

    No terceiro trimestre de 2020, o Emotet – um bot criado primeiramente para atacar o setor bancário, e que apareceu pela primeira vez em 2014 – se espalhou rapidamente, com um aumento de até 1200% de incidência. Basicamente, o Emotet se espalhou a partir de e-mails com anexo malicioso – geralmente se assemelhando a uma fatura, ou a um pedido de compras. O objetivo final era abrir caminho para um ataque de ransomware.  

    O problema é que o Emotet tem IOCs (indicadores de compromisso, ou Indicators of Compromise, no termo em inglês), que mudavam constantemente – tais como URLs do carregafor, combinações de IP/ porta C2 e modelos de mensagem de spam. Esse padrão de comportamento, além de dificultar a realização dos patches das ferramentas tradicionais de segurança, também torna difícil a atualização – que precisa ser constante, e ocorrer praticamente no mesmo tempo que a atualização do fabricante. 

    Uma vez dentro da rede, o Emotet tem vários métodos para mover lateralmente, escalar privilégios, estabelecer persistência e exfiltrar dados. Meses podem se passar até que o ataque seja detectado.  

    Técnicas de thread-jacking e senhas de Word 

    Outras duas técnicas agravaram o problema do Emotet e dificultaram muito a detecção do problema por vias tradicionais: a primeira é que o botnet respondia a threads de e-mails existentes – dando a impressão de que o arquivo vinha de uma fonte confiável.  

    Para que isso acontecesse, o Emotet roubava mensagens de e-mail e listas de contato das vítimas por meio de solicitações HTTP POST de volta ao servidor C2. Os dados roubados eram usados para personificar o remetente e “responder” às conversas existente – e isso pode acontecer com a falsificação do rementente, ou com o controle total da máquina da vítima. 

    Outra maneira usada para inserir o trojan dentro da rede corporativa sem que houvesse detecção foi a utilização do recurso “Criptografar com senha” do Microsoft Word – o que fazia com que as ferramentas antivírus tradicionais não conseguissem detectar o conteúdo de maneira apropriada. 

    A tecnologia tradicional X novas abordagens 

    Como é possível ver, as ferramentas tradicionais de antivírus ou de detecção padrão não são mais suficientes – ou os ataques se modernizam, ou as variáveis são mais rápidas que os patches, ou simplesmente os administradores não conseguem gerenciar atualizações frequentes.  

    A Varonis tem uma série de soluções que podem auxiliar na detecção rápida dessas informações, sem a necessidade, por exemplo, de atualizações constantes de patches de segurança. O Varonis DatAlert, por exemplo, analisa todas as ações da caixa de correio (enviar / receber / abrir / excluir, etc.) para identificar rapidamente as contas que estão comprometidas e começaram a enviar campanhas de spam (interna ou externamente). O perfil de comportamento de um usuário é construído em várias plataformas – desvios sutis no comportamento de e-mail combinados com eventos de logon suspeitos, conexões de rede e acesso a dados produzem alertas de alta fidelidade com poucos falsos positivos. 

    Já o Varonis Edge pode detectar ações como exfiltração de mensagens de e-mail e contatos do Outlook. A coleta de e-mail e contato podem ser observados principalmente por meio do monitoramento de proxy – e o Emotet usa comandos HTTP POST para exfiltração. Porém, se um canal DNS mais secreto for estabelecido no futuro, o Edge também terá modelos de exfiltração baseados em DNS cobertos. 

    Conexões incomuns de volta aos servidores C2 podem ser detectadas de várias maneiras. Primeiro, se a conexão for para um domínio com má reputação, a Varonis alertará e marcará essas conexões. Em segundo lugar, a Varonis detecta quando os invasores escondem seu tráfego em muitas conexões, usando um algoritmo de geração de domínio (DGA). Terceiro, os modelos comportamentais da Varonis também detectam quando os invasores usam o DNS como um canal secreto para ocultar seus comandos ou transferências de dados como consultas.  

    Por último, a Varonis alertará sobre atividades incomuns na web, como o uso de agentes de usuário novos ou incomuns, acesso incomum ou pela primeira vez à Internet por uma conta ou atividade de upload incomum. 

    Movimentação lateral e força bruta 

    O Emotet também podia atacar lateralmente, enumerando as redes wi-fi próximas, e se espalhando entre os clientes conectados. Nessa modalidade, o bot usava a força bruta em redes wireless protegidas por senha usando uma lista de senhas internas. Ao entrar, o bot encaminhava o SSID da rede e a combinação da senha de volta ao servidor C2, realizando outro ataque de força bruta, dessa vez nos clientes.  

    Como a Varonis rastreia as associações entre os usuários e os dispositivos e recursos que eles acessam, os modelos de ameaça detectam um número incomum de conexões feitas por uma conta, conexões feitas a sistemas normalmente não acessados, como o password spray (spraying de senhas), ou Credential Stuffing. 

    O malware – assim como vários outros—também poderia obter escalonamento de privilégios usando ferramentas de código aberto, procurando senhas armazenadas em texto simples, e obtendo credenciais do AD. Depois que as credenciais administrativas são obtidas, o invasor pode adicionar um ou mais usuários a um grupo de administradores de domínio e fazer upload de credenciais para serviços de armazenamento em nuvem. 

    Ao observar a atividade do sistema de arquivos, as ferramentas da Varonis podem detectar quando o malware é salvo no disco ou quando um usuário procura arquivos com senhas ou outros dados confidenciais em compartilhamentos de arquivos. Qualquer conta de usuário normalmente tem acesso a muito mais dados do que deveria, então essas pesquisas geralmente trazem resultados práticos aos invasores.  

    Como a Varonis atua para proteção contra botnets 

    No caso do Emotet em particular, e também de outros botnets, mesmo que todos esses sinais sejam perdidos, a Varonis fornece uma camada crítica de defesa em torno de seus maiores armazenamentos de dados, protegendo servidores Windows e UNIX, dispositivos NAS, SharePoint e Exchange (tanto no local quanto no Microsoft 365). 

    A Varonis captura mais informações sobre como os usuários interagem com os dados do que qualquer outra tecnologia – analisando a atividade do sistema de arquivos em plataformas que fornecem auditoria adequada por meio de suas APIs, como Microsoft 365 e dispositivos NAS da NetApp e EMC. Onde a auditoria nativa está faltando, como Windows, UNIX, Exchange e SharePoint, a Varonis usa filtros de sistema de arquivos testados em batalha para capturar operações de arquivo. 

    Se um usuário começar a acessar uma quantidade incomum de dados em comparação com seu comportamento normal, o Varonis detectará isso com um ou mais de seus muitos modelos comportamentais (bem como detectará uploads incomuns, como mencionado acima). Se um usuário começar a criptografar arquivos, isso também será detectado – muitos clientes automatizam respostas a esse tipo de comportamento, desativando a conta e eliminando as conexões ativas. 

    A Varonis também revela onde os dados estão excessivamente acessíveis e onde usuários ou grupos têm acesso de que não precisam e automatiza processos para bloqueá-los. Restringir o acesso a dados importantes reduzirá a área de superfície de risco geral e tornará o trabalho de qualquer invasor mais difícil. 

    Com um registro detalhado e pesquisável de todos os acessos ao sistema de arquivos, é muito mais rápido avaliar e se recuperar de danos. Em vez de pesquisar em diretórios por notas de resgate, você pode executar uma consulta para todos os acessos e modificações de arquivos feitas por qualquer usuário em qualquer período de tempo para localizar os arquivos afetados e, em seguida, restaurar as versões corretas. 

    Para saber como a Varonis pode mitigar a ameaça dos botnets na sua empresa, entre em contato conosco e agende uma demonstração.  

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Emilia Bertolli
    Emilia Bertolli
    Try Varonis free.
    Get a detailed data risk report based on your company’s data.
    Deploys in minutes.
    Get started View sample
    Keep reading
    por-trás-do-rebranding-da-varonis
    Por trás do rebranding da Varonis
    por-trás-do-rebranding-da-varonis
    Courtney Bernard
    20 de Fevereiro de 2024
    Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    O que é uma avaliação de risco de dados e por que você deve fazer
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    Lexi Croisdale
    12 de Janeiro de 2024
    A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
    ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
    Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
    ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
    Shane Waterford
    19 de Dezembro de 2023
    Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados 
    guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
    Guia de migração de dados: sucesso estratégico e práticas recomendadas
    guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
    Michael Buckbee
    15 de Dezembro de 2023
    A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento