Os documentos do Office ainda são um problema para a cibersegurança

By

O Emotet está de volta. Arquivos do Word, do Excel e de outros aplicativos do Office 365 ainda são um vetor crítico de ameaças cibernéticas. Como podemos parar isso?

Embora com quase uma semana de atraso, Tom finalmente recebeu a proposta de preços da Tetome Supply.

Ele estava entusiasmado para iniciar a análise dos documentos. Entretanto, ele sabia, graças aos cursos trimestrais de segurança cibernética, que deveria ser cauteloso. Portanto, ele estudou cuidadosamente os endereços de e-mail e os nomes dos remetentes, e se certificou de que o anexo era um arquivo do Word e não um arquivo .exe. Ele teve uma garantia adicional uma vez que, no texto do e-mail, o remetente agradecia pela sua paciência e perguntava sobre seu novo cachorrinho.

Tom estava saboreando seu cafezinho matinal enquanto lia as manchetes do dia no seu smartphone. Uma mensagem foi exibida no seu monitor, informando que o arquivo .doc havia sido criado no iOS e que ele teria de habilitar a edição e o conteúdo. Então finalmente ele pôde ver o conteúdo de seu documento, mas também desencadeou uma reação em cadeia.

Até onde Tom sabia, o documento continha apenas informações sobre preços. Nada indicava que o Emotet havia sido baixado de um site comprometido por um comando do Powershell. Ou que um Trickbot havia sido utilizado para fazer um backup do Emotet.

Tarde demais. Quando Tom abriu seu notebook alguns dias mais tarde, uma nota informava que todos os seus arquivos haviam sido criptografados e que os hackers não os desbloqueariam a menos que tom pagasse a eles US$ 150.000,00 em Bitcoins. A nota estava assinada por Ryuk.

Não há tempo para ficar aliviado.

No primeiro semestre de 2019, PDFs mal-intencionados superaram os arquivos mal-intencionados de Office 365, com 36.488 ocorrências, contra 25.461 destes últimos. Em 2020, o número de PDFs reduziu em 8% no mesmo período que em 2019, embora o número de arquivos mal-intencionados do Microsoft Office tenha deslanchado para 70.184 – um aumento de 176%.

A revista Wire Magazine certa vez intitulou o Emotet como o mais perigoso malware do mundo. Portanto, não foi surpresa que em janeiro de 2021, agências de segurança pública dos maiores países lançaram uma iniciativa expressiva para romper a infraestrutura do Emotet encontrada instalada em servidores e computadores em mais de 90 países. A iniciativa resultou na prisão de criminosos e no confisco de equipamentos, dinheiro e até pilhas de barras de ouro acumuladas pelas gangues.

De fato, o uso de arquivos do Microsoft Office em ataques caiu. De acordo com o Relatório de Ameaças Cibernéticas da SonicWall de 2022, os PDFs voltaram a ser o vetor de ataque preferido, com um aumento de 52% no uso de arquivos mal-intencionados, enquanto os arquivos maliciosos de Microsoft Office diminuíram em 64%. Essa tendência foi uma clara inversão, mas ainda assim não houve tempo para sequer um suspiro de alívio.

A graph showing the rise of never-seen-before malware variants.

Os ataques do Emotet estão de volta.

Conforme relatórios recentes da Bleeping Computer, do Threatpost e do Sans Technology Institute, dentro de 10 meses, desde a grande caça e queda de janeiro de 2021, o Emotet está de volta com a vingança programada. Os autores das ameaças estão distribuindo ativamente documentos do Microsoft Office e arquivos ZIP infectados com o código Emotet.

Embora ainda seja muito cedo para constatar uma tendência nos dados, em uma breve análise, percebem-se mudanças significativas, como a criptografia de malware e novas estratégias que incluem ataques de phishing com alvos predefinidos, que incluem e-mails respondidos em cadeia, avisos de remessas, documentos fiscais, relatórios contáveis e até convites para festas.

Em menos de 10 meses, os esforços anteriores para erradicar o Emotet foram praticamente eliminados, e agora estamos de volta à estaca zero.

Como se proteger de arquivos maliciosos do Office 365.

Mesmo com sérias ameaças acontecendo, há várias medidas simples que você pode adotar para proteger a si mesmo e a outras pessoas na sua rede. Para começar, você pode alterar as configurações do Office 365 para desabilitar scripts e macros, e manter seus endpoints e seu sistema operacional atualizados com as versões mais recentes do Windows.

Você pode definir uma política comercial que impeça a transferência de documentos e outros arquivos por e-mail. Você também pode acompanhar o ritmo regular de distribuição de alterações e atualizações da Microsoft. Todos nós somos ocupados, mas quando deixamos de fazer atualizações, estamos literalmente permitindo ataques que visam justamente as vulnerabilidades que são corrigidas pelas últimas atualizações.

Também podemos tomar providências mais eficientes para fortalecermos nossa resistência aos ataques. 2021 foi outro ano marcante para a tecnologia patenteada de inspeção profunda de memória em tempo real da SonicWall (Real-Time Deep Memory Inspection™ – RTDMI), que detectou um total de 442.151 variantes de malware nunca vistas em 2021, um aumento de 65% em relação a 2020, e uma média de 1.211 detecções por dia.

A graph showing the rise of never-seen-before malware variants.

Capture ATP: 100% de capturas e 0% de falsos positivos.

A melhor parte do RTDMI é que ele se integra à proteção avançada contra ameaças da SonicWall (Capture Advanced Threat Protection – ATP). Em um teste trimestral realizado por terceiros, o ICSA Labs, o RTDMI identificou 100% das ameaças, sem emitir um único falso positivo em cinco trimestres consecutivos.

O Capture ATP com RTDMI potencializa a inspeção de memória proprietária, o monitoramento de instruções da CPU e os recursos de aprendizagem de máquina, para reconhecer e mitigar ataques cibernéticos nunca vistos antes, incluindo ameaças que não apresentam qualquer tipo de comportamento mal-intencionado e ocultam seus recursos utilizando criptografia – ataques que as sandboxes tradicionais provavelmente não detectariam.

Isto é particularmente importante em casos como o de Tom, visto que o Trickbot e o Emotet utilizam criptografia para ocultar seus delitos. O Emotet também pode determinar se está sendo executado em uma máquina virtual (MV) e permanece inativo se detectar um ambiente de sandbox.

This post is also available in: Inglês Francês Alemão Spanish Italiano

SonicWall Staff