Internet Security Threat Report Volume XIV

Paulo Vendramini

Diretor de Engenharia de Sistemas da Symantec

América Latina

14/04/2009

2

Internet Security Threat Report XIV

O que é o ISTR:– Um relatório detalhado sobre tendências detectadas pela Symantec– Baseado em dados reais e empíricos coletados pela Rede de

Inteligência Global da Symantec. – Relatório público que traz um panorama completo do atual cenário

de segurança na Internet. – Identifica e analisa os métodos de ataque utilizados por criminosos

digitais: os chamados “Cibercriminosos”. – Caráter neutro e imparcial.

O que o ISTR NÃO é:– Uma pesquisa de opinião.– Um produto focado em marketing.– Cientificamente comprovado.

2ISTR XIV

Global Intelligence NetworkIdentifica ameaças + ações de combate mais rápidas + prevenção contra maiores impactos

3

Proteção da InformaçãoAlertas de Segurança Ações contra ameaças

Escala e Escopo GlobalCobertura mundial Monitoramento 24x7

Rápida Detecção

Ataques•240,000 sensores•Mais de 200 países

Malcode Intelligence•130M client, servidores, gateways• Cobertura global

Vulnerabilidades• + 32,000 vulnerabilidades•11,000 fabricantes•72,000 tecnologias

Spam/Phishing•2.5M contas “isca”•8B+ msgs de email /por dia•1B+ solicitações web/dia

ISTR XIV

Internet Security Threat Report - Volume XIVPrincipais Resultados

Os cibercriminosos estão migrando suas operações para regiões com infra-estrutura de Internet emergentes.

55ISTR XIV

1

6

Tendências Globais de Atividade Maliciosa Por país

• Em 2008 os Estados Unidos foi o líder do ranking mundial de atividade maliciosa com 23% do total. A China aparece em segundo com 9%.

• Em alguns países, a atividade maliciosa cresce na mesma proporção em que aumenta a penetração da Internet e da banda larga.

6ISTR XIV

7

• Em 2008, o Brasil aparece como líder do ranking de atividade maliciosa por país na América Latina com 34% do total (crescimento de 3% em relação a 2007)

7ISTR XIV

2008 Rank

2007 Rank

Country

2008 Overall

Percentage

LAM

2007 Overall

PercentageLAM

Malicious Code

Rank

Spam Zombie

sRank

Phishing

Website HostsRank

Bot Rank

Attack

Origin

Rank1 1 Brazil 34% 31% 2 1 1 1 12 2 Mexico 17% 22% 1 5 4 5 23 3 Argentina 15% 13% 6 2 2 2 34 4 Chile 8% 8% 5 4 3 4 55 5 Colombia 7% 6% 3 3 5 6 46 6 Peru 4% 5% 8 6 8 3 77 7 Venezuela 3% 3% 4 9 6 10 6

8 8Puerto Rico

2% 2% 7 10 10 8 8

9 9Dominican Republic

1% 1% 12 7 18 7 10

10 10 Ecuador 1% 1% 9 18 7 19 14

Tendências Globais de Atividade Maliciosa Por país – América Latina

8

Ranking dos países originários de ataques com alvo na América Latina

8ISTR XIV

Posição

País%

Regional% Global

1 United States 58% 25%2 China 8% 13%3 Chile 3% 1%4 Argentina 3% 1%5 Brazil 3% 3%6 Spain 2% 3%7 Canada 2% 3%8 Netherlands 1% 1%9 United Kingdom 1% 6%

10 Colombia 1% 1%Novo!

Novo!

Novo!

Novo = Não apareceu no ISTR XIII.

Cada vez mais, os criminosos digitais atacam usuários finais por meio de ameaças em websites legítimos e com grande tráfego.

99ISTR XIV

2

Como funciona o ataque a um usuário

10

1. O cibercriminoso compromete um servidor da Web

2. Os usuários visitam o website

legítimo4. Este servidor aproveita-se da

vulnerabilidade para instalar códigos

maliciosos.

3. O usuário é redirecionado

para um servidor malicioso

ISTR XIV

O “sistema” por trás da ameaça

11

Sites de Phishing

Botnets

ISTR XIV

Economia virtual clandestina

Computadores comprometidos

12

Comprometimento de Websites

• Os criminosos digitais localizam e comprometem websites com alto tráfego por meio de uma vulnerabilidade específica para aquele site ou por algum aplicativo de Web que o site eventualmente hospede.

• A partir do momento que o site está comprometido, os criminosos digitais modificam as páginas de forma que o conteúdo malicioso seja visitado pelos usuários.

Vulnerabilidades de aplicativos na Web

Vulnerabilidade específicas para o website

12ISTR XIV

O número de códigos maliciosos continua crescendo

1313ISTR XIV

3

14

Códigos Maliciosos em crescimento

• Mais de 60% de todos os códigos maliciosos detectados até hoje pela Symantec foram descobertos em 2008.

14ISTR XIV

15

Tipos de Código Malicioso

• Os Trojans representaram 68% do total dos 50 principais códigos detectados em 2008. Uma pequena redução frente aos 69% em 2007.

• Os Worms tiveram um pequeno aumento: de 26% em 2007 para 29% em 2008.

• O percentual dos chamados “back doors” também caiu de 21% para 15% em 2008.

15ISTR XIV

16

Código Malicioso – Ameaças aparentes

16ISTR XIV

• Mais de 90% das ameaças visam atacar informações confidenciais.

• Aumento das ameaças para informações confidenciais que exportam os dados do usuário e keyloggers (informações digitadas no teclado)

17

Tendências – Código Malicioso Mecanismos de Propagação

• 66% das potenciais infecções por código malicioso se propagaram por meio de arquivos executáveis compartilhados, um aumento expressivo se comparado aos 44% registrados em 2007.

• Códigos maliciosos utilizando protocolos compartilhados de arquivos P2P caíram de 17% em 2007 para 10% em 2008.

17ISTR XIV

18

Ranking das amostras de código malicioso na América Latina

18ISTR XIV

Rank

Amostra Tipo Vetor(es) de

Infecção)País

1País

2Impacto

1Gammima.AG

Worm, virus

Removable drives

Mexico BrazilSteals online game account credentials

2 SillyFDC WormMapped, removable drives

Mexico BrazilDownloads and installs additional threats

3 Rontokbro Worm SMTP Mexico Chile Performs DoS attacks

4 Gampass Trojan N/A Mexico BrazilSteals online game account credentials

5 SillyDC WormRemovable drives

MexicoColombi

aDownloads and installs additional threats

6 Wimad Trojan N/A Mexico BrazilExploits DRM technology to download additional threats

7 VundoTrojan, back door

N/A Mexico BrazilDisplays advertisements, and downloads and installs additional threats

8 GammimaWorm, virus

Removable drives

Mexico BrazilSteals online game account credentials

9Rontokbro.K

Worm SMTP MexicoColombi

aPerforms DoS attacks

10 Runauto WormMapped, removable drives

Mexico BrazilModifies registries to display offensive text in browser windows

Os cibercriminosos são bastante organizados. Por isso, os ataques de spam e phishing continuam sendo lucrativos e obtendo sucesso. A cooperação entre as empresas da indústria de segurança faz-se cada vez mais necessária.

1919ISTR XIV

4

Tendências globais de Phishing Setores mais afetados (por volume)

• Os serviços financeiros acumularam 76% das ameaças de phishing comparado com 52% em 2007

• As contas ISP (Internet Service Provider) podem ser alvos valiosos para os phishers já que normalmente os usuários utilizam as mesmas credenciais de identificação para diferentes contas, inclusive de e-mail.

ISTR XIV 20

21

Categorias de Spam

• Spams relacionados a Internet foram a categoria nº 1 com 24% do total, seguidos por spams comerciais (produtos) com 19%

• O spam financeiro caiu de 21% para 13% principalmente em razão do vaivém da bolsa de valores.

21ISTR XIV

22

Spam - GlobalPaíses de origem

• No decorrer de 2008, a Symantec observou um aumento de 192% na detecção de spams por toda rede mundial. De 119.6 bilhões de mensagens em 2007, o número foi para 349.6 bi no último ano.

• Em 2008, os bots foram responsáveis pela distribuição de aproximadamente 90% do total de spams.

• A Rússia, Turquia e Brasil tiveram aumentos consideráveis no número de spams em 2008.

22ISTR XIV

2323ISTR XIV

Posição

País%

Regional% Global

1 Brazil 29% 4%2 Argentina 15% 2%3 Colombia 12% 1%4 Chile 9% 1%5 Peru 9% 1%6 Mexico 6% 1%7 Bolivia 3% <1%8 Dominica 3% <1%9 Venezuela 2% <1%10 Dominican Republic 2% <1%

Spam – América LatinaPaís de origem

Novo!

Novo!

Os criminosos digitais estão mais do que nunca concentrando seus esforços em utilizar as informações de usuários finais para obtenção de ganhos financeiros.

2424ISTR XIV

5

25

Comercialização das infos roubadas

• Dados de cartão de crédito (32%) e credenciais de conta bancária (19%) continuam sendo as informações mais comercializadas.

• A média de preços de dados de cartão de crédito continuam iguais em 2008, variando entre $0.06 to $30 por número de cartão.

• Contas de e-mail comprometidas possibilitam o acesso a outras informações confidenciais.

25ISTR XIV

2626ISTR XIV

Resumo

Resumo – Principais Resultados

ISTR XIV 27

O número de códigos maliciosos continua crescendo

12345

Os Cibercriminosos estão migrando suas operações para regiões com

Infra-estrutura de Internet emergente.

Cada vez mais os criminosos digitais atacam usuários finais por meio de ameaças em websites legítimos e com grande tráfego.

Os cibercriminosos são bastante organizados. Por isso, os ataques de spam e phishing continuam sendo lucrativos e obtendo sucesso. A cooperação entre as empresas da indústria de segurança faz-se cada vez mais necessária.

Os criminosos digitais estão mais do que nunca concentrando seus esforços em utilizar as informações de usuários finais para obtenção de ganhos financeiros.

Copyright © 2008 Symantec Corporation. All rights reserved.  Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries.  Other names may be trademarks of their respective owners.This document is provided for informational purposes only and is not intended as advertising.  All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law.  The information in this document is subject to change without notice.

Obrigado!

Paulo Vendramini

Diretor de Engenharia de Sistemas da Symantec

América Latina

14/04/2009

28Report on the Underground Economy