VxWorks da Wind River e URGENT/11: Aplique patch agora

Aviso:os firewalls físicos da SonicWall que executam algumas versões do SonicOS utilizam um código TCP/IP de terceiros para gerenciamento remoto que contém um conjunto de vulnerabilidades chamado URGENT/11. No momento, não existe nenhuma indicação de que as vulnerabilidades descobertas estejam sendo exploradas no mundo real, porém:

A SonicWall aconselha FORTEMENTE que o patch do SonicOS seja aplicado imediatamente. Os patches estão disponíveis para todas as versões recentes do SonicOS. A O Security Advisory contém instruções detalhadas.

A SonicWall distribui as versões corrigidas do SonicOS sem nenhum custo, inclusive para clientes que no momento não tenham um contrato de suporte ativo. A SonicWall também recomenda a atualização para a versão mais recente do SonicOS (6.5.4.4), que conta com recursos de firewall para ajudar a proteger outros dispositivos vulneráveis ao URGENT/11.


VxWorks da Wind River e vulnerabilidades URGENT/11

Os pesquisadores de segurança da Armis descobriram e divulgaram de modo responsável 11 vulnerabilidades na stack de TCP/IP do sistema operacional em tempo real VxWorks da Wind River, que é utilizado por milhões de dispositivos em todo o mundo, bem como no espaço, em Marte e em algumas versões do SonicOS. A pilha TCP/IP do VxWorks da Wind River, denominada IPNET, contém vulnerabilidades que receberam o nome “URGENT/11”. As versões de patch corrigem o tipo de vulnerabilidade mais importante que afeta o SonicOS.

Incontrolável e incorrigível: o Oeste Selvagem da IoT

O VxWorks da Wind River é um sistema operacional em tempo real amplamente utilizado na IoT e em aplicações incorporadas, por exemplo, networking, telecomunicações, automotivo, médico, industrial, produtos eletrônicos, aeroespacial e muitos outros.

Embora os firewalls tenham o papel de proteger o perímetro das organizações, eles são dispositivos ativamente gerenciados e monitorados, muitas vezes em um local central. Para cada firewall, existe um ser humano que acorda todos os dias se perguntando “Meu firewall está funcionando? Está atualizado?” Poucos dias após a disponibilização de uma atualização, essas pessoas programam um período de manutenção e fecham a lacuna de segurança.

No entanto, essa pessoa não existe para a maioria esmagadora dos outros dispositivos conectados ou expostos à Internet, e o número de dispositivos da “IoT” supera em muitas ordens de grandeza o número de firewalls. É essa infinidade de dispositivos conectados sem gerenciamento ou correção ativa que representa um risco do tamanho de um iceberg para a Internet. Vulnerabilidades acabam sendo descobertas até mesmo no melhor software, e a segurança da Internet e do ecossistema on-line depende da capacidade de lançamento e implantação das correções.

Atualização Semestral do Relatório de Ameaças Cibernéticas da SonicWall 2019 mostra que os pesquisadores de ameaças do SonicWall Capture Labs já registraram 13,5 milhões de ataques na IoT, superando em 54,6% os dois primeiros trimestres de 2018.

Essa realidade está tomando conta da mente não só dos profissionais de segurança, mas também dos órgãos de regulamentação do governo, à medida que se descobrem vulnerabilidades em centenas de milhões de dispositivos da IoT que permanecem sem aplicação de patch.

Esse é um dos pontos de risco da Internet, gerados pela explosão de dispositivos da IoT, incluindo dispositivos de consumidor que são frequentemente implantados na borda da Internet e passam uma década esquecidos. O amplo alcance da IoT deve reverberar em vários setores como um alerta.

“Nunca deixe de aplicar patches”

O armamento das vulnerabilidades publicadas contra software antigo serve como um lembrete importante de que os clientes nunca devem adiar as atualizações de software, que estão entre os passos mais importantes para proteger a infraestrutura contra a rápida evolução do panorama de ameaças atual.

Não ignore nem adie. Aplique o patch agora. E nunca deixe de aplicar patches.

Apocalipse do cryptojacking: como derrotar os quatro cavaleiros da mineração de criptomoedas

Apesar das flutuações de preços do bitcoin e de outras criptomoedas, o cryptojacking continua sendo uma ameaça grave — e muitas vezes oculta — para negócios, empresas de pequeno e médio porte e consumidores em geral.

E a mais discreta dessas ameaças é a mineração de criptomoedas pelo navegador, na qual formas populares de malware tentam transformar seu dispositivo em um robô de mineração de criptomoedas em tempo integral, chamado cryptojacker.

Para ajudá-lo a entender essa tendência de forma criativa, vou recorrer a meu treinamento clássico e exagerar um pouco. Se você olhar para a onda do cryptojacking como um apocalipse, assim como algumas de suas vítimas, os Quatro Cavaleiros seriam as quatro ameaças ao endpoint ou aos negócios:

  • Cavalo Branco: a energia que ele consome ou desperdiça
  • Cavalo Vermelho: a perda de produtividade pela limitação de recursos
  • Cavalo Preto: os danos que ele pode causar a um sistema
  • Cavalo Amarelo: as implicações de segurança decorrentes das vulnerabilidades criadas

Ao contrário do ransomware, que quer ser encontrado (para pedir pagamento), o cryptojacker é executado em segundo plano de forma invisível (mesmo que o gráfico de desempenho da CPU ou a ventoinha do dispositivo indique que algo esteja estranho).

Os criadores de ransomware mudaram de rumo ao longo dos últimos dois anos e passaram a usar mais o cryptojacking, pois a eficácia e o ROI de um determinado tipo de ransomware diminuem assim que ele é exposto em feeds públicos como o VirusTotal.

Como qualquer outra pessoa que administra um negócio altamente lucrativo, os cibercriminosos precisam sempre buscar novas maneiras de atender as suas metas financeiras. O cryptojacking está sendo usado para lidar com esse desafio.

Em abril de 2018, a SonicWall começou a acompanhar as tendências do cryptojacking, mais precisamente a utilização do Coinhive no malware. Ao longo do ano, observamos o recuo e o avanço do cryptojacking. Durante esse tempo, a SonicWall registrou quase 60 milhões de ataques de cryptojacking, com até 13,1 milhões em setembro de 2018. Conforme publicado no Relatório de Ameaças Cibernéticas da SonicWall 2019, o volume caiu durante o último trimestre de 2018.

Ataques globais de cryptojacking | De abril a setembro de 2018

A sedução da mineração de criptomoedas

As operações de mineração de criptomoedas tornaram-se cada vez mais populares, atualmente representando quase 0,5% do consumo de eletricidade no mundo. Apesar das fortes oscilações no preço, cerca de 60% do custo da mineração legítima de bitcoin é resultado de consumo de energia. Na verdade, enquanto eu escrevia este texto, o preço de um bitcoin era inferior ao custo da mineração legítima.

Com esses custos e risco zero em relação à compra e à manutenção de equipamentos, os cibercriminosos têm fortes incentivos para gerar criptomoedas com os recursos de outra pessoa. Dez máquinas infectadas com um cryptominer podem render até US$ 100 por dia; assim, o desafio para os cryptojackers é triplo:

  1. Encontrar alvos, ou seja, organizações com muitos dispositivos na mesma rede, especialmente escolas ou universidades.
  2. Infectar o maior número de máquinas possível.
  3. Manter seu caráter oculto durante o máximo de tempo possível (ao contrário do ransomware e mais semelhante ao malware tradicional).

Os cryptojackers utilizam técnicas semelhantes àquelas do malware para entrar sorrateiramente em um endpoint: downloads por direcionamento, campanhas de phishing, vulnerabilidades no navegador e plugins do navegador, entre outras. E, claro, eles miram no elo mais fraco — as pessoas — por meio de técnicas de engenharia social.

Estou infectado por cryptominers?

Os cryptominers estão interessados em seu poder de processamento, e o lucro dos cryptojackers depende do que eles roubam. A quantidade de recursos que eles obtêm de sua CPU depende dos objetivos.

Quanto menos energia é consumida, mais difícil é para os usuários desprevenidos perceberem. Roubos maiores aumentam os lucros. Em ambos os casos, o desempenho será afetado; mas, se o limiar for baixo o suficiente, poderá ser difícil distinguir um minerador de um software legítimo.

Os administradores de empresas podem procurar processos desconhecidos no ambiente, e os usuários finais do Windows devem abrir o Sysinternals Process Explorer para ver o que estão executando. Pelo mesmo motivo, os usuários do Linux e do MacOS devem investigar usando o Monitor do Sistema e o Monitor de Atividade, respectivamente.

Como defender-se contra cryptominers

O primeiro passo na defesa contra cryptominers é deter esse tipo de malware no gateway, seja com firewalls, seja com segurança de e-mail (segurança do perímetro), que é uma das melhores maneiras de remover ameaças de arquivos conhecidas.

Como as pessoas gostam de reutilizar códigos antigos, capturar cryptojackers como o Coinhive também seria um primeiro passo simples. No entanto, o Coinhive anunciou publicamente, em fevereiro de 2019, que encerraria as operações no dia 8 de março. O serviço declarou que já não era “economicamente viável” e que a “quebra” havia afetado gravemente o negócio.

Apesar da notícia, a SonicWall prevê que ainda haverá uma onda de novas variantes e técnicas de cryptojacking para preencher essa lacuna. O cryptojacking ainda pode se tornar o método favorito de agentes mal-intencionados em razão de seu caráter oculto; danos pequenos e indiretos às vítimas reduzem a possibilidade de exposição e prolongam o valioso tempo de vida de um ataque bem-sucedido.

Se o tipo de malware for desconhecido (novo ou atualizado), ele contornará os filtros estáticos na segurança do perímetro. Se um arquivo for desconhecido, ele será encaminhado a uma área restrita para que seja feita a inspeção da natureza do arquivo.

O sandbox multimotor Capture Advanced Threat Protection (ATP) da SonicWall é projetado para identificar e deter o malware evasivo que pode escapar de um motor, mas não dos outros.

Se você não tem um endpoint nesse cenário comum (por exemplo, em roaming no aeroporto ou no hotel), precisará implantar um produto de segurança de endpoint que inclua detecção de comportamento.

Os cryptominers podem operar no navegador ou ser distribuídos por meio de um ataque sem arquivo, de modo que as soluções legadas que você recebe gratuitamente com um computador não consigam detectá-los.

Um antivírus baseado em comportamento, como o SonicWall Capture Client, detectaria que o sistema quer fazer mineração de moedas e, em seguida, encerraria a operação. Um administrador pode facilmente colocar o malware em quarentena e excluí-lo ou, no caso de algo realmente causar danos aos arquivos do sistema, retornar o sistema para o último estado seguro detectado antes da execução do malware.

Com uma combinação de defesas de perímetro e análise comportamental, as organizações podem combater as mais recentes formas de malware, independentemente de qual seja a tendência ou a intenção.

Relatório de Ameaças Cibernéticas da SonicWall 2019: Identificando Ameaças Direcionadas a Corporações, Governos e Empresas de Pequeno e Médio Porte

A divulgação do Relatório Anual de Ameaças Cibernéticas da SonicWall sempre nos lembra do porquê de estarmos nesta atividade.

Nossos engenheiros e pesquisadores de ameaças dedicam meses ao projeto, para esclarecer como pessoas, empresas e organizações on-line são afetadas pelo crime cibernético.

O que eles descobriram é revelador. Os ciberataques estão em alta em todos os setores. Os criminosos são incansáveis. Hackers e grupos nefastos estão levando os ataques a um nível maior de volume e sofisticação. E o Relatório de Ameaças Cibernéticas da SonicWall 2019 descreve como fazem isso e em que dimensão.
Faça o download do Relatório gratuito de Ameaças Cibernéticas da SonicWall 2019 para entender a rápida mudança na corrida armamentista cibernética. Com unificação, análise e visualização das ameaças cibernéticas, você e sua organização poderão contra-atacar com mais poder, determinação e veracidade do que nunca. Vamos ver o que o relatório nos traz.

O Volume de Malware Continua Crescendo

Em 2016, o setor testemunhou a queda do volume de malware. Desde então, os ataques de malware aumentaram 33,4%. Globalmente, a SonicWall registrou 10,52 bilhões de ataques de malware em 2018 — o número mais alto já registrado pela empresa.

Reino Unido e Índia Combatem duramente o Ransomware

Pesquisadores de ameaças do SonicWall Capture Lab descobriram que o número de ataques de ransomware aumentou em praticamente todas as regiões geográficas, com exceção de duas: Reino Unido e Índia. O relatório mostra onde houve mudança no volume de ransomware e quais regiões e cidades foram mais afetadas pela mudança.

Ameaças Perigosas à Memória e Ataques de Temporização Identificados Antecipadamente

O relatório explora como Real-Time Deep Memory InspectionTM (RTDMI, Inspeção Profunda de Memória em Tempo Real) da SonicWall reduz ataques laterais perigosos utilizando essa tecnologia com patente pendente. Os ataques laterais são o principal veículo usado para explorar e extrair dados de vulnerabilidades em processadores, como Foreshadow, PortSmash, Meltdown, Spectre e Spoiler.

Arquivos Mal-intencionados do Office e PDFs Driblam Controles de Segurança Antigos

Os cibercriminosos estão transformando documentos do Office e PDFs em armas para ajudar o malware a driblar os firewalls tradicionais e até mesmo algumas defesas de rede modernas. A SonicWall revela como essa mudança está afetando a disseminação do malware tradicional.

Ataques Contra Portas não Padrão

As portas 80 e 443 são portas padrão de tráfego na Web, por isso recebem o foco da proteção de muitos firewalls. Em resposta, os cibercriminosos estão tendo como alvo diversas portas não padrão para garantir que códigos maliciosos sejam implantadossemser detectados em um ambiente-alvo. O problema? As organizações não estão protegendo esse vetor, deixando os ataques sem supervisão.

Aumento dos Ataques na IoT

Existe uma enxurrada de lançamentos de dispositivos da Internet das Coisas (IoT) no mercado sem os devidos controles de segurança. Na verdade, a SonicWall observou um aumento anual de 217,5% no número de ataques na IoT.

Crescimento Constante dos Ataques Criptografados

O crescimento do tráfego criptografado coincide com o aumento dos ataques camuflados pela criptografia TLS/SSL. Mais de 2,8 milhões de ataques foram criptografados em 2018, um aumento de 27% em relação a 2017.

Ascensão e Queda do Cryptojacking

Em 2018, o cryptojacking desapareceu quase tão rapidamente quanto seu surgimento. A SonicWall registrou dezenas de milhões de ataques de cryptojacking no mundo todo entre abril e dezembro. O volume atingiu seu ápice em setembro, mas desde então vem diminuindo constantemente. O cryptojacking foi apenas uma moda ou vem mais por aí?

Redução do Volume de Phishing Global; Ataques mais Segmentados

Os invasores estão mudando de tática, enquanto as empresas se tornam melhores em bloquear ataques de e-mail e garantir que os funcionários possam detectar e excluir e-mails suspeitos. Eles estão reduzindo o volume de ataque geral e disparando campanhas de phishing mais direcionadas. Em 2018, a SonicWall registrou 26 milhões de ataques de phishing no mundo todo, uma queda de 4,1% em relação a 2017.

Slide Anything shortcode error: A valid ID has not been provided

Detecção e Resposta Avançadas de Endpoints (Endpoint Detection & Response, EDR) chega ao Capture Client 2.0

A proteção de endpoints evoluiu e agora é muito mais do que o simples monitoramento antivírus (AV). Os endpoints atuais exigem investigação constante e proativa e a mitigação de arquivos ou comportamentos suspeitos detectados em endpoints.

Com o lançamento do SonicWall Capture Client 2.0, as organizações podem controlar ativamente o estado dos endpoints com os recursos avançados de Detecção e Resposta de Endpoints (EDR).

Com os recursos de EDR, o SonicWall Capture Client permite que os administradores descubram as origens e os destinos pretendidos das ameaças, as eliminem ou as coloquem em quarentena conforme necessário, e “restituam” os endpoints ao seu último bom estado conhecido em casos de infecção ou comprometimento.

Agora, o Capture Client também permite que as organizações eliminem malware e limpem endpoints sem desconectá-los manualmente para fazer análise forense e/ou recriar a imagem do dispositivo, como normalmente é necessário com soluções de antivírus antigas.

Proteger Endpoints Contra Percalços de Funcionários com Proteção contra Ameaças na Web

As opções de Filtragem de Conteúdo da SonicWall têm sido usadas por escolas, empresas de pequeno e médio porte e corporações para proteger as pessoas de conteúdo mal-intencionado da Web (por exemplo, sites de phishing) ou de sites que prejudicam a produtividade (por exemplo, mídias sociais), bem como para gerenciar a largura de banda recebida por um aplicativo.

O Capture Client 2.0 agora conta com uma parte dessa tecnologia, chamada Proteção contra Ameaças na Web. Esse recurso utiliza a Filtragem de Conteúdo para bloquear o acesso a milhões de URLs, domínios e endereços IP mal-intencionados conhecidos. Ele ajuda a evitar ataques de e-mail de phishing, downloads mal-intencionados (por exemplo, ransomware) ou outras ameaças online.

A Proteção contra Ameaças na Web dá aos administradores mais uma camada de segurança e ajuda a evitar a limpeza de infecções e/ou a necessidade de “restituir” o computador ao seu último estado saudável conhecido.

Diminuir a Área da Superfície de Ataque com Controle de Dispositivos de Endpoint

Você sabia que, segundo um experimento social recente da Google, 45% das unidades USB “perdidas” foram conectadas a dispositivos pelas pessoas que as encontraram?

O ato de largar unidades USB infectadas em uma área de trabalho (por exemplo, em uma cafeteria, estacionamento de uma empresa ou lobby) sempre foi considerado um ataque muito eficaz contra as empresas. Na verdade, muitas lojas de varejo têm sistemas de ponto de venda (PDV) com portas USB expostas que facilitam a infecção de redes de muitos locais.

Para impedir que dispositivos infectados como USBs se conectem a endpoints, o Controle de Dispositivos do Capture Client é capaz de bloquear dispositivos desconhecidos ou suspeitos. Os administradores podem bloquear o acesso dos endpoints a dispositivos desconhecidos até que sejam aprovados ou marcar dispositivos limpos como confiáveis, por exemplo, impressoras e unidades de armazenamento removíveis, a fim de restringir a superfície de ameaças.

Licenciamento de Proteção de Endpoints Ideal para Parceiros e Clientes

A SonicWall fez mais do que apenas melhorar a estabilidade e a funcionalidade do cliente. Também passamos o ano passado trabalhando com uma rede global de parceiros e clientes para criar melhores práticas de negócios que respaldem o cliente.

Em decorrência do aumento da demanda, temos o orgulho de anunciar que nossas SKUs de migração da concorrência passarão a ser um programa indefinido que os Parceiros certificados da SonicWall poderão usar. Assim, os clientes terão três anos de cobertura pelo preço de dois ao migrarem de um produto concorrente.

A SonicWall também está encerrando as SKUs de pacote que as pessoas solicitavam anteriormente (e ainda eram compatíveis) e passará a trabalhar com SKUs associadas em março de 2019. Essas associações de pedidos possibilitarão que um parceiro solicite o número exato de licenças necessárias para seu volume, com o desconto correspondente. Essas associações começam com cinco lugares e oferecem oito conjuntos de descontos por volume que vão até 10.000 lugares ou mais.

Resumo Técnico: reverter o impacto do ransomware

O Capture Client Advanced possibilita a recuperação rápida e automatizada, sem necessidade de restaurar manualmente com backups ou de criar novas imagens do sistema. Faça o download do resumo técnico completo para saber como a reversão do Capture Client ajuda a otimizar a continuidade do negócio, reduzir o impacto financeiro e diminuir o tempo médio de reparo.