Os invasores estão adotando a criptografia TLS para evitar que os defensores detectem e interrompam a implantação de malware e roubo de dados.
Os cibercriminosos são conhecidos por usar ferramentas aparentemente úteis e inofensivas contra organizações desavisadas, e eles fizeram isso de novo.
De acordo com um novo relatório da Sophos, 46% dos malwares que se comunicam com um sistema remoto pela Internet usam criptografia TLS para ocultar as comunicações e evitar a detecção.
É um percentual impressionante, considerando que só no ano passado esse número era de apenas 23%.
Na esteira das revelações sobre a vigilância em massa da Internet, o uso de TLS (Transport Layer Security) cresceu devido à privacidade e segurança que oferece para uma ampla variedade de comunicações na Internet.
Na verdade, de acordo com dados do navegador do Google, o uso de HTTPS cresceu de pouco mais de 40% de todas as visitas à página da web em 2014 para 98% em março de 2021
Como resultado, os cibercriminosos aproveitaram esses benefícios e agora os operadores de malware também estão adotando o TLS para evitar que os defensores detectem e interrompam a implantação de malware e roubo de dados.
Por trás do aumento do malware criptografado por TLS
Uma grande parte do crescimento do uso geral da criptografia TLS por malware pode estar ligada em parte ao aumento do uso de serviços legítimos da web e na nuvem protegidos por TLS – como Discord, Pastebin, Github e serviços em nuvem do Google – como repositórios para componentes de malware, como destinos para dados roubados e até mesmo para enviar comandos para botnets e outros malwares.
Também está vinculado ao aumento do uso de Tor e outros proxies de rede baseados em TLS para encapsular comunicações maliciosas entre malware e os agentes que os implantam.
Os pesquisadores da Sophos também documentaram um aumento no uso de TLS em ataques de ransomware no ano passado, especialmente em ransomware implantado manualmente – em parte devido ao uso de invasores de ferramentas ofensivas modulares que alavancam HTTPS. Mas a grande maioria do que os pesquisadores detectam no dia-a-dia no tráfego TLS malicioso é de malware de comprometimento inicial: carregadores, droppers e instaladores baseados em documentos acessando páginas seguras da web para recuperar seus pacotes de instalação.
Tudo isso representa um aumento de mais de 100% nas comunicações de malware com base em TLS desde 2020. E essa é uma estimativa conservadora, pois se baseia exclusivamente no que os pesquisadores da Sophos identificaram por meio de análises de telemetria e dados de host.
Como resultado, a defesa contra ataques de malware tornou-se ainda mais difícil. Sem uma abordagem de defesa em profundidade, as organizações têm cada vez menos probabilidade de detectar ameaças em potencial antes de serem implantadas pelos invasores.
Com os ataques cibernéticos acontecendo constantemente, empresas de todos os tipos e tamanhos devem ser capazes de detectar e interromper ataques. No entanto, eles precisam ser capazes de se concentrar em fazer o que fazem melhor – e ter um parceiro em quem possam confiar para fornecer proteção avançada de última geração.
O Sophos Firewall e os novos dispositivos da série XGS oferecem a velocidade e a proteção de que os parceiros de canal precisam para proteger seus clientes.
Para administradores de rede, esta plataforma de hardware completamente reprojetada finalmente tira um dilema comum da mesa: como aumentar a proteção para as redes altamente diversificadas, distribuídas e criptografadas de hoje sem limitar o desempenho da rede.
Com tantas organizações ainda não entendendo quais tecnologias são necessárias para proteger contra exploits, ransomware e tráfego criptografado, os parceiros de canal agora precisam se tornar consultores de segurança essenciais e provedores de serviços para seus clientes.
Escrito por Sophos Guest Blogger em 25 de maio de 2021.
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.
“Site Seguro” da GoDaddy ajuda pequenas empresas e empreendedores a proteger sua presença on-line
GlobalSign anuncia mudanças no comprimento da chave de assinatura de código
Automação do gerenciamento de identidade digital – Por que é necessário. Por Sectigo
