A Sophos publicou hoje uma pesquisa mostrando que há um aumento do número de cibercriminosos usando TLS (o protocolo Transport Layer Security) em seus ataques para ocultar o conteúdo do tráfego. O relatório, com o título “Quase metade dos malwares agora usam TLS para ocultar comunicações”, revela que o uso de malwares que usa comunicações criptografadas pelo protocolo aumentou significativamente: quase 46% dos malwares detectados pela Sophos de janeiro a março de 2021 usaram TLS, contra 23% reportados pela Sophos no relatório do primeiro trimestre de 2020.
“O Transport Layer Security tem sido um dos maiores contribuintes para a privacidade e segurança das comunicações na Internet na última década. É usado para criptografar e encapsular conteúdo, para não ser visto ou modificado no caminho. Não é surpresa que os operadores de malware tenham se apoderado do TLS pelos mesmos motivos: para evitar que os defensores detectem e parem a implantação de malware e roubo de dados”, afirma Sean Gallagher, pesquisador sênior de ameaças da Sophos.
A pesquisa da Sophos mostra de que modo o abuso de serviços legítimos como Google, Pastebin e Discord é um dos principais contribuintes para o aumento do uso de TLS por malware. O uso desses serviços permite que os autores de malware ocultem suas atividades no tráfego para sites “confiáveis”. Na verdade, o Google Cloud foi a única e maior fonte de comunicações TLS de malware detectadas, em parte devido ao uso de Formulários do Google e outros documentos da empresa, bem como o armazenamento em nuvem e sites hospedados pelo Google.
“Como resultado, vimos um crescimento impressionante no ano passado em malwares usando TLS para ocultar comunicações. A tendência mais preocupante que observamos é o uso de nuvem comercial protegida por TLS e serviços da web, como Google, Pastebin e Discord, como parte da implantação de malware e para comando e controle. No entanto, o aumento acentuado no uso de TLS por invasores também é influenciado por novos serviços e tecnologias projetados para tornar a implementação de TLS muito mais fácil para empresas menores e por sua integração em segurança padrão e outras ferramentas prontas, bem como interfaces de programação de aplicativos. Os profissionais precisam urgentemente de melhor visibilidade do tráfego criptografado para que possam interromper um ataque em seus estágios iniciais, ao invés de quando a devastação se tornar visível, como quando a carga útil do ransomware é liberada”, reforça o pesquisador.
Por causa desse cenário, a Sophos está lançando novos dispositivos de firewall da série XGS com proteção avançada. Os novos dispositivos apresentam a melhor inspeção de Segurança da Camada de Transporte (TLS) do setor, incluindo suporte nativo para TLS 1.3, que é até cinco vezes mais rápido do que outros modelos disponíveis no mercado hoje.
Com agências de notícias internacionais