O Exploit Kit Blackhole apresentou um combo lucrativo e perigoso com o CryptoLocker, tornando-o um exploit-kit-ransomware, em 2013. Logo após isso, outros exploit kits começaram a fazer o mesmo, tais como Angler, Neutrino, Magnitude e Rig. Atualmente, pelo menos 18% das famílias de ransomware conhecidas são entregues através de exploit kits.
É importante ressaltar que os exploit kits são responsáveis por distribuir diversos tipos de ameaças desde de 2006. E, desde 2010, vimos pelo menos 100 exploits incorporados em mais de dez kits. O ransomware é apenas mais um dos muitos tipos de ameaças possíveis que usam os exploit kits para acessar os sistemas vulneráveis.
Os ransomwares já extorquiram cerca de US$209 milhões de empresas somente no primeiro trimestre de 2016. Apesar da perda de dados ser um dos riscos imediatos do ransomware, outros efeitos colaterais incluem danos à marca e à reputação, multas e até mesmo custos extras para recuperar os dados críticos.
Mas por que os exploit kits são tão eficazes na distribuição de inúmeros tipos de ameaças? Um dos motivos para isso se deve ao fato deles exigirem menos ações do usuário para se aproveitar das vulnerabilidades sem correção dos softwares mais populares. Apenas no primeiro semestre do ano, a Trend Micro (com a TippingPoint) e a Zero Day Initiative (ZDI) já detectaram 473 vulnerabilidades.
As redes sempre terão vulnerabilidades, a qualquer momento, especialmente se usam sistemas ou softwares herdados. Quando adicionamos vulnerabilidades de zero-day a essa mistura, a gestão do sistema se torna uma corrida constante contra o tempo. Os administradores de TI precisam proteger suas redes, mesmo que as correções de segurança para zero-day exploits que estão integrados em kits ainda não tenham sido disponibilizadas. Eles precisam enfrentar vários desafios, como manter os sistemas críticos online e, ao mesmo tempo, proteger os perímetros de sua rede. O fato das correções precisarem ser testadas antes de serem implantadas também gera uma complicação a mais. Em média, as empresas precisam de cerca de 30 dias para testar as correções. Estes e outros fatores podem gerar janelas de exposição às ameaças provocadas por exploit kits.
A aplicação de correções é fundamental para mitigar os riscos das exploits. Tendo em vista os desafios mencionados acima, a proteção de endpoint e de proteção da rede através de soluções com Intrusion Prevention System (IPS – Sistemas de Prevenção de Intrusos) é fundamental. Estas tecnologias protegem os sistemas contra zero-days e outras vulnerabilidade, até mesmo contra aquelas para as quais não há mais correções disponíveis.