X-Labs
Abril 21, 2020

Análise de tendências de três meses: tráfego temático da Web e de e-mail para COVID e Coronavírus

Carl Leonard Principal Security Analyst
Stuart Taylor Sr. Director, Security Labs

O Forcepoint X-Labs é o guardião de ameaças e de inteligência comportamental da Forcepoint. Ao analisar o tráfego recente anonimizado da Web e de e-mail, observamos tendências interessantes geradas por nossa base de clientes global. Essa análise se concentrou no tráfego relacionado às palavras-chave "Corona" e "COVID". Compartilhamos nossas observações abaixo para mostrar como o comportamento dos cibercriminosos e seu próprio pessoal mudou em resposta à situação em que todos nós agora nos encontramos.

Metodologia

  • O tráfego da Web e de email processado por nossos produtos Cloud Web Security e Cloud Email Security foi analisado para mostrar tendências dos últimos 3 meses (19 de janeiro de 2020 a 18 de abril de 2020).
  • Buscamos palavras-chave de COVID e Corona em URLs acessados diretamente pela Web ou incorporados a um email.
  • A análise foi aplicada a um conjunto de dados global de clientes da Forcepoint.
  • Os dados foram anonimizados (conta apenas, sem atribuição) para proteger a privacidade de nossos clientes de acordo com a nossa abordagem de "Privacidade por design".

Destaques

  • A análise mostra que os cibercriminosos são oportunistas que procuram pegar carona no interesse do público no COVID-19 e no Coronavírus, conforme descrito em nosso blog.
  • Novos sites com temas COVID e Coronavírus foram registrados e ativados por meios legítimos e ilegítimos.
  • O interesse dos funcionários nos sites com temas COVID e Coronavírus atingiu o pico em meados de março, correlacionando-se com a promulgação de medidas de "lockdown" pelos governos em todo o mundo.
  • Observamos um aumento nos e-mails indesejados (maliciosos, spam ou phishing) contendo URLs incorporadas usando as palavras-chave COVID ou Corona de valores desprezíveis em janeiro de 2020 para mais de meio milhão bloqueados por dia no final de março.
  • Observamos a queda na atividade nos fins de semana, como é habitual nas campanhas de spam ativas.
  • Uma solução de segurança de email é uma "primeira linha de defesa" eficaz contra as chamadas ameaças combinadas (e-mails que contêm um URL incorporado).

Tráfego do site

A categorização do tráfego da Web foi obtida por nossa solução Cloud Web Security.

Observação 1 - Tráfego legítimo da web

Desde meados de janeiro (o início deste período do relatório) até o final de fevereiro, houve uma constante subcorrente de solicitações de navegação para legítimas URLs com temas COVID ou Coronavirus. Essas solicitações estão relacionadas aos chamados sites de rastreamento COVID-19 (sites criados especificamente para compartilhar pontos de dados relacionados à pandemia) e sites de notícias. Durante as primeiras duas semanas de março de 2020, foi observado um aumento significativo (5 milhões + categorizações) que pode se correlacionar com o início dos procedimentos de quarentena adotados pelos governos globais e uma mudança para o trabalho remoto. Um declínio constante da atividade foi observado nas três semanas seguintes, possivelmente relacionadas à chamada "fadiga das notícias" e à compreensão gradual do "novo normal". O interesse atingiu o pico novamente na semana passada.

Veja a Figura 1 abaixo:

Figura 1: Tráfego da Web para legítimas URLs com temas COVID ou Coronavirus (período de 3 meses).

Observação 2 - Tráfego da Web malicioso

O gráfico abaixo mostra um aumento constante no número de URLs com temas COVID ou Coronavírus categorizados pela Forcepoint como maliciosos, de 9 de março até a presente data, com dois picos. Conforme explicado nos Destaques acima, os cibercriminosos têm valorizado na geração de domínios com aparência relevante, embora nefastos, para incentivar as pessoas a clicar em links em e-mails ou gerados por pesquisa.

Veja a Figura 2 abaixo:

 

Figura 2: Tráfego da Web para URLs maliciosas com temas COVID ou Coronavirus (período de 3 meses).

Observação 3 - Domínios recém-registrados

Os funcionários navegaram para domínios com temas COVID ou Coronavirus que foram registrados recentemente várias centenas de vezes por dia durante o período de três meses. Esses domínios incluíam os chamados rastreadores COVID e sites de notícias recém-registrados.

Os picos na atividade de navegação para esses domínios ocorreram várias vezes em março. Um exemplo desse aumento pode ser explicado pelo interesse em um site legítimo de rastreamento do Covid-19 na Índia que se correlacionou com uma ordem de quarentena no país.

Nota: Na figura abaixo, não determinamos se o domínio em questão era malicioso ou legítimo.

Veja a Figura 3 abaixo:

 

Figura 3: Tráfego da Web para sites categorizados como Sites recém-registrados (período de 3 meses).

Tráfego de email

Os e-mails identificados como "limpos", "vírus" ou "spam" foram identificados como tal pela nossa solução Cloud Email Security. Durante os picos de volume, identificamos 1,5 milhão de emails relacionados ao COVID por dia. Essa é a disposição que nossos clientes verão no painel do produto.

Observação 4 - tráfego legítimo de e-mail

Os funcionários de organizações em todo o mundo compartilham e recebem e-mails legítimos contendo URLs incorporadas com o COVID ou com o Coronavirus. O interesse por esse conteúdo começou a aumentar visivelmente em meados de março, atingindo um milhão de e-mails legítimos por dia em nossos sistemas. O interesse permanece fenomenalmente alto desde aquele momento. Veja a Figura 4 abaixo:

 

Figura 4: E-mails legítimos contendo URLs incorporadas com o tema COVID ou Coronavirus.

Observação 5 - e-mails de spam

Os emails de spam contendo URLs incorporadas com o tema COVID ou Coronavirus durante janeiro e fevereiro de 2020 foram observados na casa das dezenas de milhares por dia. Os golpistas aumentaram a atividade em meados de março, quando fizeram ajustes nos spambots existentes. Mais de meio milhão de golpes por dia foram bloqueados pelo Forcepoint X-Labs a partir de meados de março. Observe o declínio de tais envios durante o período da Páscoa. Veja a Figura 5 abaixo:

 

Figura 5: E-mails de spam que incluíam URLs incorporadas com temas COVID ou Coronavirus.

Observação 6 - tráfego de email malicioso

Tradicionalmente, o número de e-mails maliciosos vistos por dia através das soluções Forcepoint Cloud Email Security é de magnitude inferior ao número de e-mails de spam observados. O mesmo pode ser dito dos e-mails maliciosos com temas COVID e Coronavírus. Até a semana de 16 de março, o número de e-mails maliciosos contendo URLs incorporados com o COVID e o Coronavírus não havia aumentado nas oito semanas anteriores. A semana de 23 de março registrou o maior aumento (358%) desses e-mails em comparação com o dia útil final da semana anterior. A primeira semana de abril sofreu um declínio significativo, mas o número de e-mails maliciosos aumentou desde então.

Veja a Figura 6 abaixo:

 

Figura 6: tendência de três meses de e-mails maliciosos com a palavra-chave COVID ou Coronavírus em URLs incorporadas.

Quais outros métodos de mitigação ativos estão sendo implementados pelo Forcepoint X-Labs?

  • O Forcepoint X-Labs consome feeds de terceiros que cobrem novos malwares. Estamos adotando nossas abordagens usuais para validar e ingerir esses feeds, pois vemos um aumento no malware específico do COVID.
  • Estamos inscritos na COVID19 Cyber Threat Coalition. Esse feed foi recentemente configurado pela indústria de segurança para compartilhar a telemetria de ameaças em toda a comunidade. Leia mais sobre essa iniciativa no link acima.
  • Estamos trabalhando em estreita colaboração com nossos clientes para aumentar a cobertura e entender as novas maneiras pelas quais os autores de malware estão operando com os ataques com temas COVID e Coronavírus.
  • O Forcepoint X-Labs opera uma equipe 24/7 que monitora nossa detecção e adiciona novas regras de detecção, conforme apropriado.
  • Os indicadores e as tendências adquiridas em um produto são usados para aprimorar a proteção em toda a gama de produtos Forcepoint, incluindo análises comportamentais.

Conclusão

Os cibercriminosos se adaptaram para explorar o interesse do público no COVID-19 e no Coronavírus. Isso não deve surpreender os defensores das organizações globais, pois vemos esse modus operandi diariamente. Os vetores de e-mail e ataque na Web continuam sendo componentes-chave no arsenal de um cibercriminoso.

Em resposta a eventos globais, também vimos mudanças no comportamento dos funcionários das organizações em todo o mundo, à medida que respondem aos mandatos estabelecidos pelo governo ou por seus próprios empregadores.

Sobre a Forcepoint

A Forcepoint é líder em cibersegurança para proteção de usuários e dados, com a missão de proteger as organizações ao impulsionar o crescimento e a transformação digital. Nossas soluções adaptam-se em tempo real à forma como as pessoas interagem com dados, fornecendo acesso seguro e habilitando os funcionários a criar valor.

Carl Leonard

Principal Security Analyst

Carl Leonard is a Principal Security Analyst within Forcepoint X-Labs. He is responsible for enhancing threat protection and threat monitoring technologies at Forcepoint, in collaboration with the company’s global Labs teams. Focusing on protecting companies against the latest cyberattacks that...

Read more articles by Carl Leonard

Stuart Taylor

Sr. Director, Security Labs

Stuart Taylor is the Senior Director of Forcepoint X-Labs and is based in the UK.  Stuart has over 20 years of experience in the cybersecurity industry.  Prior to joining Forcepoint he spent several years running the Global Engineering Operations and UK Threat Lab of...

Read more articles by Stuart Taylor