Vídeo: COMO REMOVER MALWARE DO WORDPRESS (Outubro 2024)
Adoramos a nuvem porque é mais fácil ativar um servidor para hospedar um site ou executar um aplicativo da Web se outra pessoa cuidar de todas as tarefas de hardware. Bem, parece que os criminosos também adoram provedores de hospedagem, especialmente Amazon e GoDaddy.
Os criminosos cibernéticos estão usando a computação em nuvem pelos mesmos motivos pelos quais empresas e indivíduos são legítimos, segundo Solutionary, no Relatório de Ameaças do Quarto Trimestre de 2013 (PDF). Os criminosos também estão escondendo suas atividades maliciosas por trás da reputação de grandes provedores de hospedagem, como Amazon, GoDaddy e Google. De fato, dos principais provedores de hospedagem na Web, o Solutionary descobriu que o Amazon e o GoDaddy eram os mais populares para hospedar malware.
"Agora temos que manter nosso foco não apenas nas partes mais perigosas da Web, mas também nas partes que esperamos serem mais confiáveis", disse Rob Kraus, diretor de pesquisa da equipe de pesquisa de engenharia de segurança da Solutionary.
Por que nuvem?
Mudar para a nuvem faz muito sentido, pois é mais rápido desenvolver um site malicioso e colocá-lo online, além de ser mais barato alterar repetidamente endereços IP e nomes de domínio para evitar a detecção. Os criminosos podem usar vários provedores e expandir suas operações substancialmente, em vez de tentar configurar servidores físicos da Web em vários locais. Por exemplo, o relatório encontrou um único domínio malicioso, espalhado por 20 países, 67 provedores e 199 endereços IP exclusivos, para evitar serem detectados ou bloqueados.
Os distribuidores de malware estão "utilizando as tecnologias e serviços que facilitam processos, implantação de aplicativos e criação de sites", disse Kraus.
Os criminosos também cobrem melhor suas trilhas e têm maior grau de sucesso se confiarem nos principais provedores de hospedagem. Considerando que as organizações frequentemente filtram o tráfego usando listas negras geográficas e listas de endereços IP ruins conhecidos, os criminosos precisam de um lugar "seguro" que não acione automaticamente um alerta. É aí que entram os principais provedores de hospedagem, pois permitem que os distribuidores de malware se instalem em um espaço de endereço confiável. As organizações que podem bloquear o tráfego da Ucrânia têm menos probabilidade de bloquear o tráfego proveniente da Amazon e do GoDaddy, por exemplo.
Solutionary também apontou que a lista negra geográfica e as estratégias de bloqueio não são métodos eficazes para detectar e bloquear ataques de malware, uma vez que 44% do malware mundial está hospedado nos Estados Unidos, para começar.
Pegando carona em marcas confiáveis
Esconder-se atrás de domínios e nomes confiáveis não é algo novo. Os spammers gostam de usar provedores populares de Webmail porque as pessoas confiam automaticamente em uma mensagem de @ outlook.com ou @ gmail.com em mais de uma mensagem de @ 50orcdn.com, por exemplo. Os invasores também usam o Google Docs e o Google Sites para criar formulários que podem induzir os usuários a enviar informações confidenciais ou baixar malware. Fornecedores de armazenamento em nuvem como o Dropbox foram atormentados no passado, com criminosos aproveitando os serviços gratuitos para hospedar malware.
Devido ao imenso tamanho da Amazon, faz sentido que ele esteja hospedando mais sites maliciosos do que seus concorrentes. Independentemente disso, está claro que os invasores estão cada vez mais tratando os provedores de hospedagem como "pontos de distribuição significativos", disse Kraus.
No relatório da Solutionary, os pesquisadores descobriram que os invasores estão comprando serviços diretamente dos principais provedores de hospedagem ou comprometendo sites já hospedados nessas plataformas. Os usuários geralmente não sabem como tomar medidas para proteger seus aplicativos, tornando-os vulneráveis a ataques. Alguns provedores, como a Amazon, com o serviço Elastic Cloud Compute (EC2), cobram pela largura de banda real que está sendo consumida. Isso significa que os criminosos podem configurar a campanha em pequena escala primeiro e depois expandir conforme necessário.
"Quanto mais lucrativa a atividade criminosa, mais fundos estarão disponíveis para pagar pelo aumento da capacidade necessária", observou Solutionary.
A maioria dos provedores de nuvem - especialmente a Amazon - possui políticas de segurança para desligar sites e contas mal-intencionados assim que são detectados. No entanto, quando o provedor é enorme, com centenas de milhares de servidores e milhares de usuários ativando novos aplicativos a cada mês, essa é uma tarefa desafiadora. Como resultado, você não deve apenas assumir que o tráfego proveniente de determinados sites é automaticamente seguro ou contar com os provedores para policiar as atividades. Cabe a você praticar a computação segura, mantendo seu computador seguro e examinando cada site para descobrir se é legítimo ou não.
