O que é o malware?

O malware funciona através de métodos enganosos para dificultar a utilização normal de um dispositivo. Depois de um cibercriminoso ter obtido acesso ao seu dispositivo através de uma ou mais técnicas diferentes - como um e-mail de phishing, ficheiro infetado, vulnerabilidade do sistema ou software, unidade flash USB infetada ou site malicioso - capitaliza a situação lançar ataques adicionais, obter credenciais de conta, recolher informações pessoais para vender, vender acesso a recursos informáticos ou extorquir pagamentos às vítimas.

Qualquer pessoa pode ser vítima de um ataque de malware. Embora possa saber identificar algumas das formas como os atacantes atacam as vítimas com malware, os cibercriminosos são sofisticados e evoluem constantemente os seus métodos para acompanhar a tecnologia e as melhorias de segurança. Além disso, os ataques de malware têm uma aparência e funcionamento diferentes consoante o tipo de malware. Se for vítima de um ataque de rootkit, por exemplo, pode nem se aperceber disso, porque este tipo de malware foi concebido para permanecer oculto e passar despercebido durante o máximo de tempo possível.

Existem muitos tipos de malware a circular - seguem-se alguns dos mais comuns.


Adware

O adware instala-se num dispositivo sem o consentimento do proprietário para exibir ou transferir anúncios, muitas vezes em forma de pop-up para ganhar dinheiro com os cliques. Estes anúncios tornam frequentemente o desempenho do dispositivo mais lento. Alguns tipos de adware mais perigosos também podem instalar software adicional, alterar definições do browser e tornar um dispositivo vulnerável a outros ataques de malware.


Botnets

Botnets são redes de dispositivos infetados controlados remotamente por atacantes. Estas redes são frequentemente utilizadas para ataques dimensionados como ataques denial-of-service distribuído (DDoS), spam ou roubo de dados.


Cryptojacking

Com o aumento da popularidade das criptomoedas, os mineiros de criptomoedas tornaram-se uma prática lucrativa. O cryptojacking envolve o sequestro do poder de computação de um dispositivo para extrair criptomoedas sem o conhecimento do proprietário, tornando o sistema infetado significativamente mais lento. As infeções por este tipo de malware começam normalmente com o anexo de um e-mail que tenta instalar malware ou um site que utiliza as vulnerabilidades de browsers ou tira partido do poder de processamento dos computadores para adicionar malware a dispositivos.

Utilizando cálculos matemáticos complexos, os cryptojackers maliciosos mantêm o livro razão da blockchain, ou sistema descentralizado de manutenção de registos digitais, para roubar recursos de computação que lhes permitem criar novas moedas. Contudo, a mineração de criptomoedas requer um poder significativo de processamento de computadores para roubar quantidades relativamente pequenas de criptomoedas. Por este motivo, os cibercriminosos normalmente trabalham em equipa para maximizar e dividir os lucros.

No entanto, nem todos os mineiros de moedas são criminosos - por vezes, indivíduos e organizações compram hardware e energia eletrónica para extração legítima de moedas. O ato torna-se criminoso quando um cibercriminoso infiltra uma rede empresarial sem o conhecimento desta para utilizar o respetivo poder de computação para a mineração.


Exploits e kits de exploit

Os exploits tiram partido de vulnerabilidades no software para contornar as proteções de segurança de um computador e instalar malware. Os hackers maliciosos procuram sistemas desatualizados que contenham vulnerabilidades críticas e, em seguida, exploram-nos através da implementação de malware. Ao incluir código de shell num exploit, os cibercriminosos podem transferir mais malware capaz de infetar dispositivos e se infiltrar em organizações.

Os kits de exploração são ferramentas automatizadas utilizadas pelos cibercriminosos para encontrar e explorar vulnerabilidades de software conhecidas, permitindo-lhes lançar ataques de forma rápida e eficiente. O software que pode ser infetado inclui o Adobe Flash Player, Adobe Reader, browsers, Oracle Java e Sun Java. Angler/Axpergle, Neutrino e Nuclear são alguns tipos de kits de exploit comuns.

As explorações e os kits de exploração dependem normalmente de sites maliciosos ou anexos de e-mail para falhar uma rede ou dispositivo, mas por vezes também se ocultam em anúncios de sites legítimos.


Malware sem ficheiros

Este tipo de ciberataque refere-se, de modo geral, ao malware que não depende de ficheiros, como um anexo de e-mail infetado, para entrar numa rede. Por exemplo, podem chegar através de pacotes de rede maliciosos, ou pequenos segmentos de um conjunto de dados maior transferido através de uma rede informática, que exploram uma vulnerabilidade e, em seguida, instalam malware que vive apenas na memória do kernel. As ameaças sem ficheiros são especialmente difíceis de encontrar e remover porque a maioria dos programas antivírus não é concebida para analisar firmware.


Ransomware

O ransomware é um tipo de malware que ameaça a vítima destruindo ou bloqueando o acesso a dados críticos até que seja pago um resgate. Os ataques de ransomware operados por humanos são feitos a uma organização através de configurações comuns de segurança e de sistema incorretas que infiltram a organização, navegam na respetiva rede empresarial e se adaptam ao ambiente e a quaisquer fraquezas. Um método comum de ganhar acesso à rede de uma organização para fornecer ransomware é através do roubo de credenciais, em que um cibercriminoso poderia roubar as credenciais de um colaborador real para se fazer passar por ele e ganhar acesso às respetivas contas.

Os atacantes que utilizam ransomware operado por humanos têm como alvo organizações grandes porque estas podem pagar um resgate superior em comparação com os utilizadores individuais – normalmente muitos milhões de dólares. Devido aos elevados riscos envolvidos numa falha de segurança desta escala, muitas organizações optam por pagar o resgate em vez de verem os seus dados confidenciais divulgados ou arriscarem mais ataques. No entanto, o pagamento não garante a prevenção de nenhum dos desfechos.

À medida que os ataques de ransomware operados por humanos aumentam, os criminosos por detrás dos ataques estão a tornar-se mais organizados. De facto, muitas operações de ransomware utilizam agora um modelo de "ransomware como serviço", o que significa que um conjunto de programadores criminosos cria o ransomware e, em seguida, contrata outros afiliados cibercriminosos para invadir a rede de uma organização e instalar o ransomware, dividindo os lucros entre os dois grupos a uma taxa acordada.


Rootkits

Quando um cibercriminoso utiliza um rootkit, esconde malware num dispositivo enquanto for possível, por vezes durante anos, para poder roubar informações e recursos de forma contínua. Ao intercetar e alterar os processos padrão do sistema operativo, um rootkit pode alterar as informações que o seu dispositivo relata sobre si próprio. Por exemplo, um dispositivo infetado com um rootkit pode não mostrar uma lista exata dos programas que estão em execução. Os rootkits também podem dar permissões administrativas ou elevadas do dispositivo aos cibercriminosos, para que estes ganhem controlo total do dispositivo e possam fazer coisas como roubar dados, espiar a vítima e instalar malware adicional.


Spyware

O spyware recolhe informações pessoais ou confidenciais sem o conhecimento do utilizador, muitas vezes monitorizando hábitos de navegação, credenciais de iniciar sessão ou detalhes financeiros, que podem ser utilizados para roubo de identidade ou vendidos a terceiros.


Ataques à cadeia de fornecimento

Este tipo de malware tem como alvo fornecedores e programadores de software ao aceder aos códigos fonte, criar processos ou atualizar mecanismos em aplicações legítimas. Assim que um cibercriminoso encontra um protocolo de rede não seguro, uma infraestrutura de servidor desprotegida ou uma prática de programação pouco segura, este força a entrada, altera os códigos fonte e esconde malware nos processos de criação e atualização. Quando o software comprometido é enviado para os clientes, também infeta os sistemas dos clientes.


Fraudes de suporte técnico

Uma questão que afeta toda a indústria, as fraudes de suporte técnico utilizam táticas assustadoras para enganar as pessoas e levá-las a pagar por serviços de suporte técnico desnecessários que podem ser anunciados para corrigir um problema falso num dispositivo, plataforma ou software. Com este tipo de malware, um cibercriminoso liga diretamente a alguém e finge ser colaborador de uma empresa de software ou cria anúncios clicáveis concebidos para parecerem avisos do sistema. Assim que tiverem ganho a confiança de alguém, os atacantes normalmente instigam as potenciais vítimas a instalarem aplicações ou darem acesso remoto aos seus dispositivos.


Trojans

Os trojans disfarçam-se de software legítimo para enganar as pessoas e levá-las a transferir o software. Uma vez transferidos, podem:
 

• Transferir e instalar malware adicional, como vírus ou worms.
• Utilizar o dispositivo infetado para fraude de cliques, ampliando artificialmente os cliques num botão, anúncio ou ligação.
• Registar os batimentos de tecla e os sites que visita.
• Enviar informações (por exemplo, palavras-passe, detalhes de início de sessão e o histórico de navegação) sobre o dispositivo infetado a um hacker malicioso.
• Dar o controlo de um dispositivo infetado a um cibercriminoso.
   

Worms

Encontrados maioritariamente em anexos de e-mail, mensagens de texto, programas de partilha de ficheiros, sites de redes sociais, partilhas de rede e unidades amovíveis, os worms difundem-se numa rede ao explorarem vulnerabilidades de segurança e copiarem-se a si próprios. Consoante o tipo de worm, o mesmo pode roubar informações confidenciais, alterar as suas definições de segurança ou impedi-lo de aceder a ficheiros. Ao contrário dos vírus, os worms não necessitam de qualquer interação humana para se propagarem - replicam-se por si próprios.


Vírus

Os vírus são uma das formas mais antigas de malware, concebidos para perturbar ou destruir dados em dispositivos infetados. Normalmente, infetam um sistema e replicam-se quando uma vítima abre ficheiros maliciosos ou anexos de e-mail.

O malware pode causar danos significativos às empresas, com consequências que se expandem para além do ataque inicial e incluem:
 

• Perdas financeiras. Os custos financeiros, incluindo resgates, despesas de recuperação e perda de receitas durante o período de indisponibilidade, são um resultado comum dos ataques de malware.
• Falhas de segurança de dados e questões de privacidade. O malware pode levar ao roubo de dados, comprometendo dados confidenciais, tais como dados de clientes ou propriedade intelectual.
• Perturbações operacionais. Os ataques podem paralisar as operações da empresa quando os colaboradores são impedidos de aceder a sistemas ou dados críticos.
• Danos reputacionais. O conhecimento público de um ataque pode minar a confiança e prejudicar as relações com os clientes e as perspetivas de negócio a longo prazo.

A deteção precoce de malware é fundamental para minimizar os danos nos seus sistemas. Muitas vezes, o malware apresenta sinais subtis, como desempenho lento, falhas frequentes e pop-ups ou programas inesperados, que podem indicar um comprometimento.

As empresas utilizam uma variedade de ferramentas para detetar malware, incluindo software antivírus, firewalls, sistemas de deteção e resposta de pontos finais (DRP), serviços de deteção e resposta gerida (MDR), soluções de deteção e resposta alargada (XDR) e processos de investigação de ciberameaças. Enquanto a DRP se concentra na deteção e resposta a ameaças ao nível dos pontos finais, a XDR vai além dos pontos finais para correlacionar sinais em vários domínios, como e-mail, identidades e aplicações na cloud, fornecendo uma visão abrangente das ameaças. A MDR combina estas ferramentas com serviços de monitorização e resposta liderados por especialistas, oferecendo às empresas suporte adicional para gerir as ameaças.

Quando é detetada atividade invulgar, a execução de análises completas do sistema e a revisão dos registos podem ajudar a confirmar a presença de malware. A DRP desempenha uma função crítica neste processo, identificando e isolando pontos finais comprometidos, enquanto a XDR expande a deteção por toda a organização, oferecendo visibilidade de ponta a ponta dos ataques. Os serviços de MDR melhoram ainda mais este processo com monitorização contínua e análise de especialistas, permitindo respostas mais rápidas e eficientes. Em conjunto, estas ferramentas e serviços fornecem uma abordagem unificada para a deteção e mitigação de ameaças de malware, ajudando as empresas a limitar os danos e a manter a segurança.

A prevenção do malware requer uma abordagem proativa à segurança, e a sua remoção eficaz depende da deteção precoce e de uma ação rápida. As organizações podem bloquear ou detetar ataques de malware com uma combinação de programas antivírus e soluções avançadas para deteção e resposta a ameaças, que fornecem uma forma abrangente de identificar e mitigar ameaças rapidamente.

Eis algumas formas de evitar um ataque de malware:


Instale um programa antivírus

A melhor forma de proteção é a prevenção. As organizações podem bloquear ou detetar muitos ataques de malware com uma solução de segurança fidedigna que inclua antimalware, como o Microsoft Defender para Endpoint. Quando utiliza um programa como estes, o seu dispositivo primeiro analisa quaisquer ficheiros ou ligações que tenta abrir para ajudar a garantir que são seguros. Se um ficheiro ou site for malicioso, o programa irá alertá-lo e sugerir que não o abra. Estes programas também podem remover malware de um dispositivo que já esteja infetado.


Implemente proteções de e-mail e pontos finais

Ajude a evitar ataques de malware com soluções XDR como o Microsoft Defender para XDR. Estas soluções unificadas de incidentes de segurança fornecem uma forma holística e eficiente de proteger e responder a ciberataques avançados. Criado com base na MDR, que combina monitorização liderada por especialistas com ferramentas avançadas de deteção, a XDR leva a segurança para o próximo nível ao integrar sinais em pontos finais, e-mail, identidades e aplicações na cloud. Esta visibilidade alargada permite que as organizações identifiquem e interrompam ataques sofisticados mais rapidamente e com maior precisão.

Integrando também o Microsoft Defender XDR, o Microsoft Defender para Endpoint utiliza sensores comportamentais de pontos finais, análise de segurança da cloud e informações sobre ameaças para ajudar as organizações a prevenir, detetar, investigar e responder a ameaças avançadas.


Realize formações constantes

Mantenha os colaboradores informados sobre como detetar os sinais de phishing e outros ciberataques com sessões de formação regularmente atualizadas para cobrir os novos desenvolvimentos nas táticas dos atacantes. Aprenderá não só práticas mais seguras para o trabalho, mas também como melhorar a segurança quando utiliza os seus dispositivos pessoais. As ferramentas de simulação e formação ajudam a simular ameaças reais no seu ambiente e a atribuir formação aos utilizadores finais com base nos resultados.


Tire partido das cópias de segurança na cloud

Quando move os seus dados para um serviço baseado na nuvem, poderá fazer a cópia de segurança dos dados facilmente para uma manutenção mais segura. Se os seus dados alguma vez forem comprometidos por malware, estes serviços ajudam a garantir que a recuperação é imediata e abrangente.


Adote um modelo Confiança Zero

Um modelo de Confiança Zero avalia o risco de todos os dispositivos e utilizadores antes de lhes permitir o acesso a aplicações, ficheiros, bases de dados e outros dispositivos, diminuindo a probabilidade de uma identidade ou dispositivo malicioso poder aceder a recursos e instalar malware. Como exemplo, a implementação de autenticação multifator, um componente de um modelo Confiança Zero, demonstrou reduzir a eficácia dos ataques de identidade em mais de 99%. Para avaliar a fase de maturidade do modelo Confiança Zero da sua organização, faça a nossa Avaliação da maturidade do modelo Confiança Zero.


Adira a um grupo de partilha de informações

Os grupos de partilha de informações, normalmente organizados por indústria ou localização geográfica, recomendam que organizações com estruturas semelhantes trabalhem em conjunto para encontrar soluções industriais de cibersegurança. Os grupos também oferecem às organizações vantagens adicionais, como resposta a incidentes e serviços forenses digitais, notícias sobre as ameaças mais recentes e monitorização de gamas e domínios IP públicos.


Mantenha cópias de segurança offline

Uma vez que algum malware tentará procurar e eliminar quaisquer cópias de segurança online que tenha, é uma boa ideia manter uma cópia de segurança offline atualizada dos dados confidenciais que testa regularmente para se certificar de que são restauros se alguma vez for atingido por um ataque de malware.


Mantenha o software atualizado

Além de manter todas as soluções antivírus atualizadas (considere escolher atualizações automáticas para simplificar isso), certifique-se de transferir e instalar quaisquer outras atualizações do sistema e aplicações de patches de software assim que estiverem disponíveis. Isto ajuda a minimizar quaisquer vulnerabilidades de segurança de que um cibercriminoso se possa aproveitar para ganhar acesso à sua rede ou dispositivos.


Crie um plano de resposta a incidentes

Um plano de resposta a incidentes fornecer-lhe-á os passos a dar em diferentes cenários de ataque, para que possa voltar a funcionar normalmente e em segurança o mais rapidamente possível.

O malware nem sempre é facilmente detetável, especialmente no caso de malware sem ficheiros. Recomenda-se que as organizações e pessoas vigiem o aumento de anúncios de pop-up, redirecionamentos de browser, publicações suspeitas em contas de redes sociais e mensagens sobre contas comprometidas ou segurança do dispositivo. Alterações no desempenho de um dispositivo, como um funcionamento muito mais lento, também podem ser um sinal de infeção por malware.

Para ataques mais sofisticados contra as organizações que os programas antivírus não conseguem detetar e bloquear, as ferramentas de Gestão de Informações e Eventos de Segurança (SIEM) e de Deteção e Resposta Alargada (XDR) fornecem aos profissionais de segurança métodos de segurança de ponto final sustentados na cloud que ajudam a detetar e responder a ataques em dispositivos de ponto final. Uma vez que estes tipos de ataques são multifacetados, com os cibercriminosos a visarem mais do que apenas o controlo de dispositivos, o SIEM e a XDR ajudam as organizações a ver o panorama geral de um ataque em todos os domínios, incluindo dispositivos, e-mails e aplicações.

Utilizando ferramentas SIEM e XDR, como Microsoft Sentinel, Microsoft Defender XDR, e Microsoft Defender para a Cloud, fornece capacidades de antivírus. Os profissionais de segurança devem garantir que as definições do dispositivo estão sempre atualizadas para corresponder às recomendações mais recentes, de forma a ajudar a impedir ameaças de malware. Um dos passos mais importantes a tomar para se preparar para um ataque de malware é desenvolver um plano de resposta a incidentes - uma abordagem detalhada e estruturada que as organizações utilizam para gerir e mitigar o impacto de ciberataques, incluindo infeções por malware. Descreve os passos específicos para identificar, conter e erradicar as ameaças, bem como para recuperar dos danos causados. Ter um plano de resposta a incidentes bem definido ajuda as empresas a minimizar o período de indisponibilidade, a reduzir as perdas financeiras e a proteger os dados confidenciais, garantindo que todos os membros da equipa conhecem as suas funções e responsabilidades durante uma crise cibernética. Esta preparação proativa é fundamental para manter a continuidade do negócio.

Felizmente, tem opções de deteção e remoção se estiver preocupado com a possibilidade de se ter tornado uma vítima de um ataque de malware. Os passos imediatos a dar incluem:
 

• Executar produtos antivírus, como o oferecido nativamente no Windows, para analisar quaisquer programas ou códigos maliciosos. Se o programa detetar malware, irá listar o tipo e fornecer sugestões para remoção. Após a remoção, certifique-se de que mantém o software atualizado e em execução para impedir ataques futuros.
• Isolar os sistemas afetados. Evite que o malware se espalhe desligando o sistema afetado ou desativando a conectividade de rede do sistema. Uma vez que os atacantes maliciosos podem estar a monitorizar as comunicações organizacionais em busca de provas de que o seu ataque foi detetado, utilize dispositivos e métodos atípicos - como chamadas telefónicas ou reuniões pessoais - para debater os próximos passos.
• Notificar os intervenientes. Siga as orientações de notificação no seu plano de resposta a incidentes para iniciar procedimentos de contenção, mitigação e recuperação. Deve também relatar o incidente à Cybersecurity and Infrastructure Security Agency, à delegação local do Federal Bureau of Investigations (FBI), ao Internet Crime Complaint Center do FBI ou à delegação local dos Serviços Secretos dos EUA. Certifique-se de que cumpre as leis de segurança de dados e as normas da indústria para evitar mais responsabilidades.

À medida que a tecnologia evolui, o malware continua a adaptar-se, tornando-se mais sofisticado e mais difícil de detetar. Compreender as tendências futuras ajuda as empresas a ficarem um passo à frente das ameaças.

Os novos tipos de malware estão a tornar-se cada vez mais sofisticados, muitas vezes concebidos para contornar as medidas de segurança tradicionais através de técnicas de ocultação. Estas técnicas incluem o malware polimórfico, que altera a estrutura do seu código em cada infeção, tornando-o mais difícil de detetar. Outro exemplo é o malware que se oculta em processos legítimos ou utiliza a encriptação para disfarçar o seu payload malicioso. O malware sem ficheiros, que opera diretamente na memória sem deixar uma quantidade de memória, também evita a deteção por programas antivírus tradicionais. Para combater estas ameaças em evolução, as organizações precisam de soluções avançadas como Ferramentas com tecnologia de IA para cibersegurança que não só melhoram os esforços de deteção e prevenção, mas também permitem a interrupção automática de ataques. Estas ferramentas podem isolar dispositivos infetados e suspender contas comprometidas em tempo real, travando as ameaças em curso e limitando os danos.

Estas ferramentas melhoram as taxas de deteção, ao identificar anomalias ou comportamentos invulgares que podem indicar um ataque, mesmo antes de os métodos tradicionais os detetarem. Os modelos de IA também podem fazer predições de potenciais ameaças, aprendendo com ataques anteriores, o que possibilita a adoção de medidas preventivas. Além disso, os algoritmos de aprendizagem automática refinam continuamente as capacidades de deteção, ajudando as equipas de segurança a ficarem um passo à frente das ameaças em evolução, prevendo e evitando ataques antes que estes aconteçam.

Para se proteger contra ameaças de malware agora e no futuro, as organizações podem contar com uma plataforma de SecOps unificada com tecnologia de IA da Microsoft. Esta solução integra a deteção avançada de ameaças assistida por IA e respostas automatizadas para combater tipos emergentes de malware. Reúne a deteção de pontos finais, informações sobre ameaças e segurança da cloud, oferecendo uma plataforma unificada para detetar, responder e prevenir ataques de malware em tempo real. Ao fornecer visibilidade abrangente e proteção automatizada em todas as redes, esta plataforma ajuda as empresas a reforçar as suas defesas contra ameaças em evolução.