Verizon 2019 DBIR mostra ataques financeiros motivados aumentando enquanto os criminosos mudam para alvos mais fáceis. Texto traduzido e adaptado de “Verizon Publishes 2019 Data Breach Investigations Report (DBIR)” escrito por Kevin Townsend
Foi publicado no mês de maio o Relatório de Investigações de Violações de Dados da Verizon 2019 (Data Breach Investigations Report – DBIR). Esta é a 12ª edição desde o seu lançamento em 2008 e o mais extenso até hoje, com 73 colaboradores e uma análise de 41.686 incidentes de segurança, incluindo 2.013 violações confirmadas. Uma violação é definida como um incidente que resulta na divulgação confirmada ou exposição de dados.
Puramente a partir de seus detalhes e amplitude de cobertura, a DBIR se tornou a “bíblia” da violação para o setor de segurança. A Verizon não especula sobre o significado dos dados que fornece, deixando isso para analistas de segurança independentes. Como todas as pesquisas, só pode analisar e catalogar os dados que recebe, não se sabe nada sobre aquilo que não tem conhecimento. Como resultado, o DBIR fornece evidências de tendências de segurança na maior parte da indústria, mas pouco em termos de causas específicas para as tendências específicas.
Um exemplo disso pode ser visto nas tendências relativas de espionagem cibernética e ataques motivados financeiramente (dos quais o ransomware é provavelmente o exemplo mais visível e interessante). A tendência destacada pelo DBIR 2019 é que os ataques cibernéticos com motivação financeira estão aumentando em todos os níveis.
No setor manufatureiro, a percepção comum é que a maioria dos ataques cibernéticos são para espionagem cibernética. “O relatório do ano passado mostrou pela primeira vez que a espionagem financeira é maior do que a da indústria de manufatura”, disse Alex Pinto, chefe de pesquisa de segurança da Verizon, à SecurityWeek. “Nós honestamente achamos que foi um acaso, e descrevemos isso como tal.” Mas a distância entre as duas motivações aumentou ao longo do último ano, com ataques motivados financeiramente contra a produção, agora em 68%. O DBIR nos mostra que isso está acontecendo, mas não nos diz por quê.
“Não vou especular”, disse Alex. “Essa não é a função do DBIR.” Pode ser simplesmente que os ataques motivados financeiramente aumentaram em todo o espectro da indústria – o que aconteceu – enquanto a espionagem cibernética permaneceu mais estática, “Mas teremos muito cuidado ao sugerir à indústria que o ataque de espionagem está em declínio. “
Em uma base pessoal, ele continuou, “pode haver um viés no que é relatado. A espionagem é muito mais interessante do que os ataques motivados financeiramente, então você pode ver mais daqueles relatados nas notícias. Isso não significa que ataques motivados financeiramente não estão acontecendo, mas há muito mais do meio financeiro, que não é necessariamente reportado.”
Mas o viés nos relatórios pode ir mais além. Em julho de 2018, a Sophos informou que o verdadeiro número de infecções por “SamSam”(ransomware) era provavelmente muito maior do que se pensava. Embora tenha havido um conjunto de infecções de alto perfil, Sophos e Neutrino seguiram a trilha da carteira de bitcoin e concluíram que cerca de 233 vítimas, em sua maior parte, pagaram o resgate e não relataram o incidente.
Aqui, Alex apontou para os números de saúde no ransomware, que é rastreado pela Verizon como o tipo de malware #2, que afeta todas as indústrias. “A assistência médica é obrigada a relatar qualquer violação que ocorra devido aos regulamentos da Health Insurance Portability and Accountability Act (HIPAA)”, disse ele. “O ransomware tem que ser reportado como uma violação. Assim, todas as infecções de saúde são relatadas. Em nosso conjunto de dados como um todo, o ransomware é responsável por 24% – na área de saúde ele é responsável por 70%.” Novamente, Alex se recusou a especular sobre as causas por trás dos números – mas é certamente possível que outras indústrias estejam sucumbindo a ataques de ransomware a uma taxa mais alta do que relatam simplesmente porque não precisam relatar; e isso certamente se encaixaria na tendência de aumentar os ataques motivados financeiramente, destacados pelo DBIR.
É possível, então, que a ameaça do ransomware à indústria seja ainda maior do que sugerem os números do DBIR.
Solicitado a destacar duas tendências específicas expostas pelo DBIR de 2019, Alex sugeriu uma “fuga para facilitar” pelos atacantes, e um foco crescente de phishing na gerência sênior (que pode ser dois aspectos da mesma tendência). Para o primeiro, ele disse que não é um fenômeno novo, mas que tem sido difundido em 2018. “Nós fazemos algo mais difícil, então os criminosos mudam para a próxima coisa mais fácil que manterá seu dinheiro fluindo”.
A fraude bancária pode ser um exemplo. A introdução de cartões bancários EMV (chip & pin) tornou a fraude com cartão físico muito mais difícil. Os criminosos responderam mudando para uma fraude com cartão virtual. “A partir de nossos dados agregados parece que as fraudes com cartões de pagamento baseados em aplicativos da Web vão superar a fraude de aplicativos não relacionados à Web muito em breve. Essas duas linhas estão prestes a se cruzar”.
Desde 2015, as violações de ponto de venda diminuíram dez vezes, enquanto as violações de aplicativos da Web agora são 13 vezes mais prováveis. Alex acrescentou que: “Temos um parceiro, a National Cyber-Forensics and Training Alliance (NCFTA), com base nos EUA, que já sugere, a partir de seus próprios dados, que o cartão não presente é agora mais extenso do que o cartão presente Acreditamos que o motivo dessa mudança – e é apenas especulação – é que o chip e o pin estão simplesmente levando os criminosos para algo que é mais fácil”.
O foco do phishing na gerência sênior é outro exemplo de cibercriminosos que se concentram na rota mais fácil para o máximo retorno. Falando sobre a ameaça do compromisso de e-mail comercial (Business E-mail Compromise – BEC), Alex comentou: “por que incomodar as empresas de hackers quando podemos simplesmente enviar um e-mail ao CFO e fazer com que ele nos envie dinheiro?”
Os números do BEC vieram de um novo parceiro da DBIR este ano – o FBI, que destacou dados do seu Internet Crime Complaint Center (FBI IC3) com algumas novas reviravoltas. Uma boa notícia, diz a Verizon, “é que a perda média de um compromisso de e-mail comercial é aproximadamente o mesmo que o custo médio de um carro usado. A má notícia é que o eixo do dólar não é linear. Muitas violações resultam na perda entre zero e a média, como entre a média e US$ 100 milhões.”
É claro que o papel do FBI não é simplesmente mapear as perdas de BEC, mas recuperá-las sempre que possível. No ano passado, introduziu sua equipe de ativos de recuperação (RAT). “Quando o Time de Recuperação de Ativos do IC3 atua nos BECs e trabalha com o banco de destino metade dos compromissos de e-mail corporativo dos EUA tinha 99% do dinheiro recuperado ou congelado e apenas 9% não tinham nada recuperado.” diz a Verizon
Alex sugere que a narrativa real do DBIR deste ano é que “tudo muda, mas nada muda”. “Essa é a minha opinião sobre a narrativa do relatório”, disse ele à SecurityWeek ; “quanto mais as coisas mudam, mais elas permanecem as mesmas”. Os hackers ainda atacam servidores e ainda entregam e-mails de phishing; mas eles se movem para os alvos mais fáceis com maiores retornos. “Apesar de vermos alvos específicos e locais de ataque mudarem”, acrescenta Bryan Sartin, diretor executivo de serviços profissionais de segurança da Verizon, “em última análise, as táticas usadas pelos criminosos continuam as mesmas”.
Confira o documento clicando aqui.