Relatório revela aumento de 700% em malware específico de IoT

Por: Redação CIMM 19/07/2021  

Zscaler, empresa de segurança na nuvem, lançou na última quinta-feira (15) um novo estudo que examinou o estado dos dispositivos de IoT deixados nas redes corporativas durante uma época em que as empresas eram forçadas a mudar para um ambiente de trabalho remoto. O novo relatório, "IoT in the Enterprise: Empty Office Edition", analisou mais de 575 milhões de transações de dispositivos e 300.000 ataques de malware específicos de IoT bloqueados pela Zscaler ao longo de duas semanas em dezembro de 2020 e identificou um aumento de 700% em comparação com descobertas antes da pandemia.

Segundo o estudo, esses ataques visaram 553 tipos de dispositivos diferentes, incluindo impressoras, sinalização digital e smart TVs, todos conectados e se comunicando com redes de TI corporativas, enquanto muitos funcionários trabalhavam remotamente durante a pandemia. A equipe de pesquisa da Zscaler, do ThreatLabz, identificou os dispositivos IoT mais vulneráveis, as origens e destinos de ataques mais comuns e as famílias de malware responsáveis ​​pela maioria do tráfego malicioso para ajudar as empresas a proteger seus dados valiosos.

“Por mais de um ano, a maioria dos escritórios corporativos ficou abandonada, pois os funcionários continuaram a trabalhar remotamente durante a pandemia de COVID-19. No entanto, nossas equipes de serviço observaram que, apesar da falta de funcionários, as redes corporativas ainda estavam agitadas com a atividade de IoT ”, disse Deepen Desai, CISO da Zscaler. “O volume e a variedade de dispositivos IoT conectados a redes corporativas são vastos e incluem tudo, desde lâmpadas musicais a câmeras IP. Nossa equipe viu 76% desses dispositivos ainda se comunicarem em canais de texto simples não criptografados, o que significa que a maioria das transações de IoT representam um grande risco para os negócios ”. 

Quais dispositivos correm mais risco?

De mais de meio bilhão de transações de dispositivos IoT, Zscaler identificou 553 dispositivos diferentes de 212 fabricantes, 65 por cento dos quais caíram em três categorias: decodificadores (29%), TVs inteligentes (20%) e smartwatches (15%) . A categoria de entretenimento doméstico e automação teve a maior variedade de dispositivos exclusivos, mas foi responsável pelo menor número de transações em comparação com dispositivos de manufatura, empresas e saúde. 


Continua depois da publicidade


A maior parte do tráfego veio de dispositivos nas indústrias de manufatura e varejo - 59% de todas as transações foram de dispositivos neste setor e incluíram impressoras 3D, rastreadores de geolocalização, sistemas automotivos multimídia, terminais de coleta de dados como leitores de código de barras e terminais de pagamento. Os dispositivos corporativos foram os segundos mais comuns, respondendo por 28% das transações, e os dispositivos de saúde seguiram em quase 8% do tráfego. 

O ThreatLabz também descobriu uma série de dispositivos inesperados conectando-se à nuvem, incluindo geladeiras inteligentes e lâmpadas musicais que ainda enviavam tráfego por meio de redes corporativas.

Quem é o responsável?

A equipe do ThreatLabz também analisou atentamente as atividades específicas do malware IoT rastreado na nuvem Zscaler. Em termos de volume, um total de 18.000 hosts exclusivos e cerca de 900 entregas de carga útil exclusivas foram observadas em um período de 15 dias. As famílias de malware Gafgyt e Mirai foram as duas famílias mais comuns encontradas pelo ThreatLabz, respondendo por 97% das 900 cargas úteis únicas. Essas duas famílias são conhecidas por sequestrar dispositivos para criar botnets - grandes redes de computadores privados que podem ser controlados como um grupo para espalhar malware, sobrecarregar a infraestrutura ou enviar spam.

Quem está sendo alvejado?

Os três principais países alvos de ataques de IoT foram Irlanda (48%), Estados Unidos (32%) e China (14%). A maioria dos dispositivos IoT comprometidos, quase 90 por cento, foram observados enviando dados de volta para servidores em um dos três países: China (56 por cento), Estados Unidos (19 por cento) ou Índia (14 por cento). 

Como as organizações podem se proteger?

À medida que a lista de dispositivos “inteligentes” no mundo cresce diariamente, é quase impossível impedi-los de entrar em sua organização. Em vez de tentar eliminar a sombra de TI, as equipes de TI devem aprovar políticas de acesso que impeçam esses dispositivos de servir como portas abertas para os dados e aplicativos de negócios mais confidenciais. Essas políticas e estratégias podem ser empregadas independentemente de as equipes de TI (ou outros funcionários) estarem no local.

O ThreatLabz recomenda as seguintes dicas para mitigar a ameaça de malware IoT, tanto em dispositivos gerenciados quanto BYOD:

  • Ganhe visibilidade em todos os seus dispositivos de rede. Implante soluções capazes de revisar e analisar logs de rede para entender todos os dispositivos que se comunicam em sua rede e o que eles fazem. 
  • Altere todas as senhas padrão. O controle de senha nem sempre é possível, mas uma primeira etapa básica para implantar dispositivos IoT de propriedade da empresa deve ser atualizar as senhas e implantar a autenticação de dois fatores. 
  • Atualizar e corrigir regularmente. Muitos setores - principalmente manufatura e saúde - contam com dispositivos IoT para seus fluxos de trabalho diários. Mantenha-se informado sobre quaisquer novas vulnerabilidades descobertas e mantenha a segurança do dispositivo atualizada com os patches mais recentes.
  • Implementar uma arquitetura de segurança de confiança zero. Imponha políticas rígidas para seus ativos corporativos para que os usuários e dispositivos possam acessar apenas o que precisam e somente após a autenticação. Restrinja a comunicação a IPs, ASNs e portas relevantes necessários para acesso externo. Dispositivos IoT não sancionados que requerem acesso à Internet devem passar por inspeção de tráfego e ser bloqueados de todos os dados corporativos, de preferência por meio de um proxy. A única maneira de impedir que os dispositivos shadow IoT representem uma ameaça às redes corporativas é eliminar as políticas de confiança implícita e controlar rigidamente o acesso a dados confidenciais usando autenticação dinâmica baseada em identidade - também conhecida como confiança zero.

Gostou? Então compartilhe: