Desde o surgimento da computação moderna, o software tem sido tão capaz quanto os programadores que o criaram. Suas intenções tornaram-se suas capacidades, e isso nos trouxe um mundo de aplicações maravilhosas e poderosas em uma ampla variedade de plataformas e mídias. Ao longo do caminho, também levou à criação de software incrivelmente malicioso e, em alguns casos, totalmente perigoso. Estamos, é claro, falando de malware.
Conteúdo
- Um nascimento inocente
- 'Eu sou o Creeper: pegue-me se puder.'
- Picos e vales
- Os últimos dias do verão
- Não é mais um jogo
- Vulnerabilidades exploradas
- Guerra digital
- Seu dinheiro ou seus arquivos
- Qual é o próximo?
Todos nós já encontramos malware em algum momento. Você pode ter recebido spam durante o apogeu dos adwares e pop-ups, enfrentando um trojan desagradável que tentou roubar sua identidade ou até mesmo lidou com uma chantagem que paralisou o sistema ransomware. Hoje, milhões e milhões de programas exclusivos são projetados para atingir seu sistema, seus arquivos e sua carteira. Embora todos tenham pegadas e trajetórias diferentes, todos têm raízes em origens humildes.
Para entender o malware, é preciso retornar à sopa digital primordial que um dia evoluiria para os milhões de programas nefastos que enfrentamos hoje. Esta é a história do malware e das técnicas utilizadas ao longo de décadas para combatê-lo.
Relacionado
- O grupo destrutivo de hackers REvil pode estar de volta dos mortos
- Hackers exigem US$ 6 milhões do maior negociante de moeda de varejo em ataque de ransomware
Um nascimento inocente
O mundo moderno enfrenta ataques cibernéticos criminosos e de governos nacionais que podem ameaçar o modo de vida de todos. No entanto, os primeiros dias do malware estavam livres de malícia. Naquela época, a intenção era ver o que era realmente possível com a computação, e não prejudicar, roubar ou manipular.
A ideia de um vírus, ou uma sequência de código auto-replicável, foi cunhada pela primeira vez por um visionário da computação John Von Neuman. Em 1949, ele postulou o potencial de um “autômato auto-reprodutor” que seria capaz de transmitir sua programação para uma nova versão de si mesmo.
'Eu sou o rastejante:
Apanha-me Se Puderes.'
O primeiro caso registrado de vírus de computador foi o Creeper Worm, desenvolvido por Robert H. Tomás em 1971. A primeira iteração do Creeper não conseguiu se clonar, mas foi capaz de passar de um sistema para outro. Em seguida, exibiria a mensagem: ‘Eu sou o Creeper: pegue-me se puder’.
Embora pareça provável que o primeiro código auto-replicável e seu criador tenham sido perdidos, a primeira instância registrada de tal software é o Creeper Worm, desenvolvido por Robert H. Tomás em 1971 na BBN Tecnologias. O Creeper rodava no sistema operacional TENEX e era impressionantemente sofisticado para a época. Ao contrário de muitos de seus sucessores, que exigiriam meios físicos para distribuir suas cargas úteis, o Creeper foi capaz de se mover entre o PDP-10 da DEC computadores mainframe na primeira iteração da ARPANET, uma rede progenitora da Internet que o mundo viria a adotar mais tarde anos. A primeira iteração do Creeper não conseguiu se clonar, mas foi capaz de passar de um sistema para outro. Em seguida, exibiria a mensagem “Eu sou o Creeper: pegue-me se puder”.
Uma nova versão do Creeper foi criada posteriormente pelo colega de Thomas na BBN Technologies, Ray Thomlinson – mais conhecido como o inventor do e-mail. Ele se duplicou, levando a uma compreensão precoce do problema que tais vírus, ou worms, poderiam causar. Como você os controla depois de enviá-los? No final, Thomlinson criou outro programa chamado Reaper, que circulava pela rede e apagava todas as cópias do Creeper que encontrava. Thomlinson não sabia, mas criou a primeira peça de software antivírus, iniciando uma corrida armamentista entre hackers e profissionais de segurança que continua até hoje.
O Creeper, embora zombeteiro em sua mensagem, não foi projetado para causar problemas ao sistema. Na verdade, como o próprio Thomlinson explicou ao historiador da computação, Georgei Dalakob, “O aplicativo Creeper não explorava uma deficiência do sistema operacional. O esforço de pesquisa teve como objetivo desenvolver mecanismos para levar aplicações a outras máquinas com a intenção de mover a aplicação para o computador mais eficiente para sua tarefa.”
Picos e vales
Nos anos que se seguiram à proliferação e subsequente eliminação do vírus Creeper desses antigos sistemas de mainframe, alguns outros malwares apareceram e repetiram a ideia. O vírus auto-replicante do Coelho foi criado por um desconhecido – mas supostamente, muito demitido – programador em 1974, e foi seguido pouco depois pelo Vírus animal, que assumiu a forma de um jogo de perguntas e respostas.
A criação de malware passou então por uma de suas secas periódicas de desenvolvimento. Mas tudo mudou em 1982, quando Elk Cloner apareceu e uma nova onda de vírus começou a surgir.
“Com a invenção do PC, as pessoas começaram a escrever vírus no setor de inicialização que se espalhavam em disquetes”, Alarmes de zona Skyler King disse ao Digital Trends. “Pessoas que pirateavam jogos ou os partilhavam em disquetes [estavam a ser infectadas].”
Elk Cloner foi o primeiro a usar esse vetor de ataque, embora fosse completamente benigno e não se acreditasse que tivesse se espalhado muito. Seu manto foi adquirido quatro anos depois pelo vírus Brain. Esse software era tecnicamente uma medida antipirataria criado por dois irmãos paquistaneses, embora tenha tido o efeito de inutilizar alguns discos infectados devido a erros de tempo limite.
“Esses foram os primeiros vírus como os consideraríamos”, disse King. “E eles estavam se propagando para que, se você colocasse um disquete, eles pudessem copiar para ele e se espalhar dessa forma.” A mudança no vetor de ataque foi digno de nota, porque atingir um sistema de um ângulo diferente se tornaria a marca registrada de novos malwares nos anos que se seguiram. seguido.
“As coisas meio que mudaram para o lado Unix com o uso generalizado da Internet e das universidades, como o verme Morris em novembro de 1988”, continuou King. “Isso foi interessante, porque o worm Morris foi [escrito pelo] filho do chefe da NSA […] Ele encontrou uma falha em dois protocolos usados no Unix. A falha no SMTP, o protocolo de correio que permitia o envio de e-mails, [foi usada para] propagá-lo e, em um dia, derrubou a Internet tal como existia em 1988.”
Dizia-se que o worm Morris foi originalmente projetado para mapear a Internet, mas bombardeava computadores com tráfego e múltiplas infecções poderiam retardá-los. Em última análise, é creditado por derrubar cerca de 6.000 sistemas. Robert Morris, o criador do worm, tornou-se a primeira pessoa julgada sob a Lei de Fraude e Abuso de Computadores de 1986. Ele foi condenado a três anos de liberdade condicional e multado em US$ 10.050. Hoje, Morris é um pesquisador ativo de arquiteturas de redes de computadores e professor titular do MIT.
O Morris Worm tornou-se a prova de conceito para uma variedade de outros malwares do mesmo período, todos direcionados a setores de inicialização. Começou a próxima onda no desenvolvimento de vírus. Muitas variantes dessa ideia foram coletadas sob o rótulo “Stoned”, com entradas notáveis como Whale, Tequila e o infame Michelangelo, que anualmente criava pânico em organizações com sistemas infectados.
Os últimos dias do verão
Durante as primeiras décadas da sua existência, mesmo os vírus prolíficos e prejudiciais tinham uma concepção relativamente benigna. “Eles eram apenas pessoas se divertindo tentando obter credibilidade na cena underground para mostrar o que podiam fazer”, disse King ao Digital Trends.
Contudo, os métodos defensivos ainda estavam muito atrás dos criadores do vírus. Mesmo malware simples como o worm ILoveYou — que apareceu no ano 2000 — pode causar danos sem precedentes aos sistemas em todo o mundo.
O verme da carta de amor
Malwarebytes‘O vice-presidente de tecnologia, Pedro Bustamante, lembra bem disso. “Era um script visual básico que era um mailer em massa que anexava automaticamente um script, e as [empresas de antivírus] não estavam prontas para fazer muitas detecções baseadas em scripts naquela época”, disse ele.
O programador filipino Onel de Guzman é frequentemente creditado pela criação do worm, embora ele tenha sempre negou ter desenvolvido seu vetor de ataque e sugere que ele pode ter liberado o worm ao acidente. Alguns rumores sugerem o verdadeiro culpado por sua criação foi um amigo dele, Michael Buen, que enganou Guzman para lançá-lo por causa de uma rivalidade amorosa. O worm ILoveYou causou mais de US$ 15 bilhões em danos em todo o mundo.
“Ficamos presos nos laboratórios Panda por uns três dias para isso. As pessoas não dormiram.
“Ficamos bloqueados nos laboratórios Panda por cerca de três dias para isso”, continuou Bustamante. “As pessoas não dormiam. Esse foi o epicentro daquele movimento script kiddie onde qualquer um poderia criar um roteiro e fazer uma mala direta e isso teria uma propagação enorme. Grande número de infecções. Antigamente, isso normalmente só era possível com um worm de rede avançado.”
O Rei do Zone Alarm enfrentou noites sem dormir semelhantes com alguns outros malwares se espalhando pelo mundo. crescimento da Internet durante esse período, citando nomes como Code Red e SQL Slammer como particularmente problemático.
Enquanto worms e vírus deixavam especialistas em segurança arrancando os cabelos e executivos de empresas com medo dos milhões ou bilhões de dólares em danos que estavam causando, ninguém sabia que a guerra do malware estava apenas começando. Eles estavam prestes a tomar um rumo sombrio e perigoso.
Não é mais um jogo
À medida que o uso da Internet cresceu, as redes de publicidade começaram a ganhar dinheiro online e as pontocom arrecadaram dinheiro dos investidores. A Internet deixou de ser uma pequena comunidade conhecida por poucos para se tornar uma via de comunicação generalizada e convencional e uma forma legítima de ganhar milhões de dólares. Seguiu-se o motivo do malware, passando da curiosidade à ganância.
O mapa em tempo real do Kaspersky Cyberthreat mostra os ataques cibernéticos que estão ocorrendo agora em todo o mundo.
“Quando mais pessoas começaram a usar a Internet e olhavam anúncios online e as empresas estavam fora ganhando dinheiro com cliques em anúncios, foi quando você começou a ver o aumento de adware e spyware”, King contínuo. “Você começou a ver vírus executados em computadores individuais que enviavam spam para tentar comprar produtos ou adware que usava clickfraud que exibia anúncios de coisas para simular que você clicava no link, para que eles fizessem dinheiro."
O crime organizado logo percebeu que programadores inteligentes poderiam gerar muito dinheiro para empresas clandestinas estabelecidas. Com isso, o cenário do malware ficou vários tons mais sombrio. Kits de malware pré-empacotados criados por organizações criminosas começaram a aparecer online. Alguns famosos como o MPack foram usados para infectar tudo, desde sistemas domésticos individuais até mainframes bancários. Seu nível de sofisticação e sua ligação com criminosos do mundo real aumentam o risco para os pesquisadores de segurança.
“Foi quando começamos a ver algumas das gangues que estavam por trás de alguns desses ataques e malwares mais modernos. Foi assustador."
"Nós descobrimos Pacote M na Panda Security, e fizemos uma investigação e um grande artigo que foi notícia”, explicou Bustamante da Malwarebytes. “Foi quando começamos a ver algumas das gangues que estavam por trás de alguns desses ataques e malwares mais modernos. Foi assustador. A maioria dos pesquisadores do Panda disse que não queria que seu nome aparecesse no relatório.”
Mas o relatório foi divulgado e destacou o quão profundamente o malware e as gangues do crime organizado se tornaram.
“Eram muitas gangues russas. Tínhamos fotos de suas reuniões. Era como uma empresa”, disse Bustamante. “Eles tinham gente fazendo marketing, executivos, reuniões de empresas, competições para programadores que escreveram os melhores malwares, rastreando afiliados, eles tinham de tudo. Foi fantástico. Eles estavam ganhando mais dinheiro do que nós.”
Esse dinheiro foi compartilhado com programadores talentosos, garantindo que as organizações atraíssem os melhores talentos possíveis. “Começamos a ver fotos de mafiosos da Europa Oriental dando carros luxuosos aos programadores e malas cheias de dinheiro”, disse ele.
Vulnerabilidades exploradas
A busca pelo lucro leva a malwares mais sofisticados e a novos vetores de ataque. O Malware Zeus, que apareceu em 2006, usava engenharia social básica para induzir as pessoas a clicar em links de e-mail, em última análise, permitindo que o criador roube informações de login, detalhes financeiros, códigos PIN e mais. Facilitou até os chamados ataques “man in the browser”, em que o malware pode solicitar informações de segurança no momento do login, colhendo ainda mais informações das vítimas.
Clipes de notícias mostrando vários malwares ao longo dos anos.
Aqueles que criaram malware também aprenderam que não precisavam usar o software e poderiam simplesmente vendê-lo a terceiros. O kit MPack que Bustamante encontrou na Panda Security em meados dos anos 2000 foi um exemplo perfeito. Ele foi atualizado mês a mês desde a sua criação e revendido regularmente. Até mesmo o suposto autor do Zeus, Evgeniy Mikhailovich Bogachev, nascido na Rússia, começou a vender seu malware, antes de entregar o controle da plataforma de malware Zeus a outro programador. Ele ainda está foragido hoje. O FBI tem uma recompensa por informações que levem à prisão de Bogachev, oferecendo até US$ 3 milhões para quem puder ajudar a pegá-lo.
Em 2007, todos os anos eram criados mais malware do que existia em toda a história do malware, e cada novo ataque em massa alimentava o fogo.
A venda de malware pré-empacotado da maneira que Bogachev fez marcou outra mudança na criação de malware. Agora que o malware poderia ser usado para ganhar dinheiro e os criadores de vírus poderiam ganhar dinheiro vendendo-o como uma ferramenta, ele se tornou mais profissional. O malware foi criado em um produto, comumente denominado kit de exploração.
“Foi realmente vendido como um negócio”, disse King da Zone Alarm à Digital Trends. “Eles [ofereceram] suporte e atualizações de software para as explorações mais recentes, foi incrível.”
Em 2007, todos os anos eram criados mais malware do que existia em toda a história do malware, e os ataques em massa ao número cada vez maior de computadores impulsionaram os negócios. Isso estimulou o surgimento botnets em grande escala que foram oferecidos para alugar para aqueles que desejavam realizar ataques de negação de serviço. Mas os usuários finais só poderiam ser induzidos a clicar em links por um certo tempo. À medida que se tornaram mais instruídos, os kits de exploração e seus autores precisaram evoluir novamente.
“[Os criadores de malware] tiveram que encontrar uma maneira de instalar a ameaça automaticamente”, disse o CEO da MalwareBytes, Marcin Kleczynski, à Digital Trends. “Foi aí que as técnicas de exploração, a engenharia social e as macros no Powerpoint e no Excel começaram a ficar muito mais [sofisticadas].”
Felizmente para os autores de malware, sites e softwares off-line começaram a adotar os princípios da Web 2.0. A interação do usuário e a criação de conteúdo complexo estavam se tornando muito mais predominantes. Para adaptar os criadores de malware começaram a mirar Internet Explorer, aplicativos do Office e Adobe Reader, entre muitos outros.
“Quanto mais complexo o software se torna, mais ele pode fazer, mais engenheiros trabalham nele [...] mais sujeito a erros o software é e mais vulnerabilidades você encontrará ao longo do tempo”, disse Kleczynski. “À medida que o software se torna mais complexo e a Web 2.0 acontece, e o Windows continua evoluindo, ele se torna mais complexo e mais vulnerável ao mundo exterior.”
Em 2010, parecia que o malware sem fins lucrativos havia praticamente desaparecido, sendo o malware com fins lucrativos a motivação quase exclusiva para criá-lo. Acontece que isso estava errado. O mundo aprendeu abruptamente que o crime organizado não era nada comparado ao malware mais perigoso, criado em segredo pelas nações.
Guerra digital
O primeiro exemplo de uma nação que flexibilizou o seu poderio militar online foi o Ataque Aurora no Google. O gigante das pesquisas, que há muito tempo é uma das entidades digitais mais proeminentes do mundo, viu-se sob ataques contínuos no final de 2009 por hackers ligados ao Exército de Libertação Chinês. Quando o resto do mundo soube disso em janeiro de 2010, marcou um ponto de viragem naquilo que os especialistas perceberam que o malware e os seus autores eram capazes de fazer.
O ataque teve como alvo dezenas de empresas de tecnologia de alto nível como Adobe, Rackspace e Symantec, e foram considerados uma tentativa de modificar o código-fonte de vários pacotes de software. Relatórios posteriores sugeriram que era um Operação de contrainteligência chinesa para descobrir alvos de escuta telefônica nos EUA. No entanto, por mais ambicioso e impressionante que tenha sido esse ataque, ele foi superado poucos meses depois.
“O gato realmente saiu da bolsa com o Stuxnet,” Bustamante disse à Digital Trends. “Antes disso […] você podia ver isso em certos ataques e em coisas como Paquistão, Índia, internet sendo derrubado no fundo do mar, [mas] foi no Stuxnet que a merda bateu no ventilador e todo mundo começou a enlouquecer fora."
“Encadeando várias vulnerabilidades de dia zero [no Stuxnet], o direcionamento realmente avançado de instalações nucleares específicas. É incrível. É o tipo de coisa que você só veria em um romance.”
O Stuxnet foi construído para sabotar o programa nuclear do Irão e funcionou. Mesmo agora, oito anos após o seu aparecimento, os profissionais de segurança falam do Stuxnet com um tom de admiração. “Encadeando várias vulnerabilidades de dia zero, o direcionamento realmente avançado de instalações nucleares específicas. É incrível”, disse Bustamante. “É o tipo de coisa que você só veria em um romance.”
Kleczynski ficou igualmente impressionado. “[…] se você observar as explorações sendo usadas para uma capacidade ofensiva de segurança cibernética, verá que foi muito boa. Como foi depois dos computadores lógicos programáveis da Siemens? Foi lindamente arquitetado para destruir as centrífugas.”
Embora ninguém tenha assumido a responsabilidade pelo Stuxnet nos anos que se seguiram, a maioria dos pesquisadores de segurança pensa que foi o trabalho de uma força-tarefa combinada entre EUA e Israel. Isso só parecia mais provável quando outras revelações, como Hacking de firmware de disco rígido da NSA, mostrou o verdadeiro potencial dos hackers dos estados-nação.
O estilo de ataque Stuxnet logo se tornaria comum. Os kits de exploração continuaram a ser um importante vetor de ataque nos anos que se seguiram, mas como Bustamante nos disse em nosso entrevista, vulnerabilidades de dia zero encadeadas agora são algo que Malwarebytes e seus contemporâneos veem diariamente.
Isso não é tudo que eles veem. Há um novo fenômeno cujas origens remontam quase ao início da nossa história. Ultimamente, tem causado problemas sem fim e pode muito bem causar o mesmo no futuro.
Seu dinheiro ou seus arquivos
O primeiro ataque de ransomware aconteceu tecnicamente já em 1989, com o Trojan da AIDS. Enviado aos pesquisadores da AIDS em um disquete infectado, o malware aguardava a inicialização do sistema 90 vezes antes de criptografar arquivos e exigir o pagamento de US$ 189 em dinheiro, enviado para um endereço de caixa postal em Panamá.
Embora esse malware fosse chamado de trojan na época, a ideia de ofuscar arquivos à força, negando a um usuário acesso ao seu próprio sistema e exigir alguma forma de pagamento para voltar ao normal tornaram-se os principais componentes do ransomware. Começou a ressurgir novamente em meados da década de 2000, mas foi o crescimento da criptomoeda anônima Bitcoin que tornou o ransomware comum.
“Se você infectar alguém com ransomware e pedir que ele deposite em uma conta bancária, essa conta será encerrada muito rapidamente”, explicou King da Zone Alarm. “Mas se você pedir a alguém para depositar bitcoin em uma carteira, os consumidores pagam. Realmente não há como impedir isso.”
Os desenvolvedores de ransomware facilitam para as vítimas comprar criptomoedas e enviá-las a elas.
Considerando o quão difícil é regular o bitcoin nas funções cotidianas com usos legítimos, faz sentido que impedir que ele seja aproveitado por criminosos seja ainda mais difícil. Especialmente porque as pessoas pagam os resgates. Assim como acontece com os kits de exploração e a estrutura corporativa que os apoia, os desenvolvedores de ransomware facilitam ao máximo para as vítimas comprar criptomoedas e enviá-las a elas.
Mas na segunda metade da adolescência do século 21st século, começamos a ver uma maior evolução dessas táticas, pois mais uma vez aqueles que escrevem o software malicioso seguiram o dinheiro.
“O que me surpreendeu com o ransomware foi a rapidez com que ele passou de você e eu para nossas empresas”, disse Kleczynski. “Há um ou dois anos éramos nós que estávamos sendo infectados, não o Malwarebytes, nem o SAP, nem o Oracle e assim por diante. Eles viram claramente o dinheiro e as empresas estão dispostas a pagá-lo.”
Qual é o próximo?
Para a maioria dos especialistas com quem conversamos, ransomware continua a ser a grande ameaça eles estão preocupados. King da Zone Alarm fez questão de falar sobre as novas proteções anti-ransomware de sua empresa e como as empresas precisavam estar cientes de quão perigosa era a tática.
Kleczynski vê isso como um modelo extremamente lucrativo para criadores de malware, especialmente quando você traz o aumento de dispositivos infectados da Internet das Coisas, que constituíram alguns dos maiores botnets que o mundo já viu.
Timelapse de um ataque DDoS ocorrido em 2015, no dia de Natal.
Usando o website da British Airways como exemplo, ele fez a pergunta retórica de quanto valeria a pena para aquela empresa manter o seu sistema de bilhetes online se fosse ameaçada. Essa empresa estaria disposta a pagar US$ 50 mil a um extorsionário se seu site ficasse fora do ar por apenas algumas horas? Pagaria US$ 10 mil pela mera ameaça de tal ação?
Com potencial para perder milhões em vendas, ou mesmo milhares de milhões em valor de mercado, caso os preços das ações reajam a um ataque deste tipo, não é difícil imaginar um mundo onde isso seja uma ocorrência regular. Para Kleczynski, isto é apenas o velho mundo finalmente alcançando o novo. São as táticas do crime organizado de antigamente sendo aplicadas ao mundo moderno.
“Hoje, é ‘você gostaria de adquirir algum seguro contra ransomware? Seria uma pena se o seu site ficasse fora do ar por 24 horas.'”
“Isso costumava ser apenas extorsão. ‘Você gostaria de adquirir algum seguro contra incêndio? Seria uma pena se algo acontecesse com o seu prédio'”, disse ele. “Hoje, é ‘você gostaria de adquirir algum seguro contra ransomware? Seria uma pena se o seu site ficasse fora do ar por 24 horas.'”
Esse envolvimento criminoso ainda assusta Bustamante da MalwareBytes, que nos conta que a empresa vê regularmente ameaças aos seus desenvolvedores escondidas em códigos de malware.
Por mais preocupados que ele e a empresa estejam com sua segurança pessoal, ele vê a próxima onda como algo mais do que apenas ransomware. Ele vê isso como um ataque à nossa capacidade de perceber o mundo ao nosso redor.
“Se você me perguntar qual será a próxima onda, são notícias falsas”, disse ele. “A malvertising avançou […] agora é clickbait e notícias falsas. Divulgar esse tipo de notícia é o nome do jogo e será a grande próxima onda.” Considerando como os estados-nação envolvidos parecem ter sido nessa prática nos últimos anos, é difícil imaginar que ele esteja errado.
Por mais ameaçadores que sejam os ataques de malware do crime organizado, de vigilantes patrocinados pelo governo e de hackers militarizados, os mais A garantia que você pode ter em tempos de incerteza é que o elo mais fraco da cadeia de segurança é quase sempre o fim do utilizador. É você..
É assustador, mas fortalecedor também. Isso significa que embora as pessoas que escrevem o malware, os vetores de ataque e a própria razão para a criação Em primeiro lugar, os vírus e os trojans podem ter mudado, as melhores formas de se manter seguro online são as antigas caminhos. Mantenha senhas fortes. Corrija seu software. E tenha cuidado com os links em que você clica.
Como Malwarebytes Klecyzinski nos disse após nossa entrevista: “Se você não for paranóico, não sobreviverá”.
Recomendações dos Editores
- A Microsoft acaba de oferecer uma nova maneira de se proteger contra vírus
- Hackers estão usando certificados Nvidia roubados para esconder malware
