Check Point® Software Technologies Ltd., fornecedor  de plataformas de cibersegurança baseadas em IA e fornecidas na cloud, publicou o seu Índice Global de Ameaças relativamente a janeiro de 2024. No mês passado, os investigadores identificaram um novo sistema de distribuição de tráfego generalizado (TDS) chamado VexTrio, que ajudou mais de 60 afiliados por meio de uma rede de mais de 70.000 sites comprometidos. Entretanto, o LockBit3 foi nomeado o grupo de ransomware mais prevalente numa classificação recentemente introduzida no Índice, e a Educação continuou a ser o setor mais afetado a nível mundial.

Ativo desde, pelo menos, 2017, o VexTrio colabora com dezenas de associados para espalhar conteúdos maliciosos através de um TDS sofisticado. Utilizando um sistema semelhante ao das redes de afiliados de marketing legítimo, as atividades da VexTrio são muitas vezes difíceis de detetar e, apesar de estar ativa há mais de seis anos, a escala das suas operações tem passado largamente despercebida. Isto deve-se ao facto de haver poucos indícios que o liguem a agentes de ameaça específicos ou a cadeias de ataque, o que o torna um risco considerável para a cibersegurança devido a uma rede extensa e a operações avançadas.

"Os cibercriminosos evoluíram de meros hackers para arquitetos do engano, e o VexTrio é mais um lembrete de como a indústria se tornou comercialmente orientada", disse Maya Horowitz, VP de Investigação da Check Point Software. "Para se manterem seguros, os indivíduos e as organizações devem dar prioridade às actualizações regulares de cibersegurança, empregar uma proteção robusta dos terminais e fomentar uma cultura de práticas online vigilantes. Ao mantermo-nos informados e proactivos, podemos fortificar coletivamente as nossas defesas contra os perigos em evolução colocados pelas ciberameaças emergentes".

Pela primeira vez, o Índice da Check Point inclui agora uma classificação dos grupos de ransomware mais prevalecentes, com base na atividade de mais de 200 sites fraudulentos. No mês passado, o LockBit3 foi o grupo de ransomware mais prevalente, responsável por 20% dos ataques publicados. Assumiu a responsabilidade por alguns incidentes notáveis em janeiro, incluindo um ataque à cadeia de sanduíches Subway e ao Hospital Saint Anthony em Chicago.

Além disso, a CPR revelou que a vulnerabilidade mais explorada a nível mundial é a "Injeção de comandos através de HTTP", que afeta 44% das organizações, seguida da "Passagem de diretório de URL malicioso de servidores Web", com um impacto de 41%, e da "Execução remota de código de cabeçalhos HTTP", com um impacto global de 40%.

Principais famílias de malware a nível mundial    

*As setas estão relacionadas com a variação na classificação em comparação com o mês anterior. 

FakeUpdates foi o malware mais prevalente no mês passado, com um impacto de 4% nas organizações mundiais, seguido do Qbot, com um impacto global de 3%, e do Formbook, com um impacto global de 2%.

↔ FakeUpdates – O FakeUpdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Grava os payloads no disco antes de os lançar. O FakeUpdates levou a um maior envolvimento através de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.

 Qbot - O Qbot AKA Qakbot é um malware multiuso que apareceu pela primeira vez em 2008. Foi concebido para roubar as credenciais de um utilizador, gravar as teclas premidas, roubar cookies dos navegadores, espiar as atividades bancárias e instalar malware adicional. Frequentemente distribuído por correio eletrónico de spam, o Qbot utiliza várias técnicas anti-VM, anti-depuração e anti-sandbox para dificultar a análise e evitar a deteção. Com início em 2022, surgiu como um dos cavalos de Troia mais prevalecentes.

 FormBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C. 

Principais Famílias Malware em Portugal 

Em Portugal, no mês de janeiro, volta a haver nova liderança. O FakeUpdates é agora o malware mais dominante, seguido do Qbot e do Nanocore.

↑ FakeUpdates – O FakeUpdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Grava os payloads no disco antes de os lançar. O FakeUpdates levou a um maior envolvimento através de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.

↑ Qbot - O Qbot AKA Qakbot é um malware multiuso que apareceu pela primeira vez em 2008. Foi concebido para roubar as credenciais de um utilizador, gravar as teclas premidas, roubar cookies dos navegadores, espiar as atividades bancárias e instalar malware adicional. Frequentemente distribuído por correio eletrónico de spam, o Qbot utiliza várias técnicas anti-VM, anti-depuração e anti-sandbox para dificultar a análise e evitar a deteção. Com início em 2022, surgiu como um dos cavalos de Troia mais prevalecentes. 

 Nanocore – O NanoCore é um Trojan de Acesso Remoto que tem como alvo os utilizadores do sistema operativo Windows e foi observado pela primeira vez em 2013. Todas as versões do RAT contêm plugins e funcionalidades básicas, como captura de ecrã, mineração de criptomoedas, controlo remoto do ambiente de trabalho e roubo de sessões de webcam.

Principais indústrias atacadas a nível global    

No mês passado, o pódio de indústrias voltou a ficar inalterado. O setor da Educação/Investigação continuou em primeiro lugar como a indústria mais atacada a nível global, seguido do setor das Telecomunicações e do setor Administração Pública/Defesa.  

  1. Educação/Investigação 
  2. Telecomunicações
  3. Administração Pública/Defesa 

Principais indústrias atacadas em Portugal      

Em Portugal, o setor mais atacado em janeiro de 2024 foi o setor da Saúde, seguido do setor dos Transportes, e do setor das Telecomunicações.

  1. Saúde
  2. Transportes 
  3. Telecomunicações

Principais vulnerabilidades exploradas 

No mês passado, a “Command Injection Over HTTP” foi a vulnerabilidade mais explorada, afetando 44% das organizações a nível mundial, seguida da “Web Servers Malicious URL Directory Traversal” com 41% e da “HTTP Headers Remote Code Execution” com um impacto global de 40%.

  1. ↑ Command Injection Over HTTP - Foi comunicada uma vulnerabilidade de injeção de comandos sobre HTTP. Um atacante remoto pode explorar este problema enviando um pedido especialmente criado para a vítima. Uma exploração bem-sucedida permitiria a um atacante executar código arbitrário na máquina alvo.
  2. ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - Existe uma vulnerabilidade de passagem de diretório em diferentes servidores Web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor Web que não limpa corretamente o URI para os padrões de passagem de diretórios. Uma exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acedam a ficheiros arbitrários no servidor vulnerável.
  3. ↑ HTTP Headers Remote Code Execution - Os cabeçalhos HTTP permitem que o cliente e o servidor passem informações adicionais com um pedido HTTP. Um atacante remoto pode usar um cabeçalho HTTP vulnerável para executar código arbitrário na máquina da vítima.

Top Mobile Malwares 

No mês passado, o Anubis manteve-se em primeiro lugar como o malware móvel mais prevalecente, seguido do AhMyth e do Hiddad.

  1. Anubis – O Anubis é um malware de Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, capacidades de gravação de áudio e várias funcionalidades de ransomware. Foi detetado em centenas de diferentes aplicações disponíveis na Loja Google.
  2. AhMyth – O AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicações Android que podem ser encontradas em lojas de aplicações e vários websites. Quando um utilizador instala uma destas aplicações infetadas, o malware pode recolher informação sensível do dispositivo e realizar ações como o keylogging, tirar screenshots, enviar mensagens SMS e ativar a câmara.
  3. Hiddad - O Hiddad é um malware para Android que reembala aplicações legítimas e depois lança-as numa loja de terceiros. A sua principal função é apresentar anúncios, mas também pode obter acesso a detalhes de segurança importantes incorporados no sistema operativo.

Principais grupos de ransomware

Esta secção apresenta informações provenientes de quase 200 "shame sites" de ransomware operados por grupos de ransomware de dupla extorsão, 68 dos quais publicaram os nomes e informações das vítimas este ano. Os cibercriminosos utilizam estes sites para exercer pressão sobre as vítimas que não pagam o resgate imediatamente. Os dados destes sítios de vergonha têm os seus próprios preconceitos, mas ainda assim fornecem informações valiosas sobre o ecossistema do ransomware, que é atualmente o risco número um para as empresas.

No mês passado, o LockBit3 foi o grupo de ransomware mais prevalente, responsável por 20% dos ataques publicados, seguido do 8Base com 10% e do Akira com 9%.

  1. LockBit3 - O LockBit3 é um ransomware, operando num modelo RaaS, relatado pela primeira vez em setembro de 2019. O LockBit3 visa grandes empresas e entidades governamentais de vários países e não visa indivíduos na Rússia ou na Comunidade de Estados Independentes.
  2. 8base - O grupo de ameaça 8Base é um grupo de ransomware que tem estado ativo desde, pelo menos, março de 2022. Ganhou notoriedade significativa em meados de 2023 devido a um aumento notável das suas actividades. Este grupo foi observado usando uma variedade de variantes de ransomware, sendo o Phobos um elemento comum. O 8Base opera com um nível de sofisticação, evidenciado pelo uso de técnicas avançadas no seu ransomware. Os métodos do grupo incluem tácticas de extorsão dupla.
  3. Akira - O ransomware Akira, relatado pela primeira vez no início de 2023, tem como alvo sistemas Windows e Linux. Utiliza encriptação simétrica com CryptGenRandom e Chacha 2008 para encriptação de ficheiros e é semelhante ao ransomware Conti v2 que vazou. O Akira é distribuído por vários meios, incluindo anexos de correio eletrónico infectados e exploits em terminais VPN. Após a infeção, encripta os dados e acrescenta uma extensão ". akira" aos nomes dos ficheiros, apresentando depois uma nota de resgate que exige o pagamento da desencriptação.

A lista completa das dez principais famílias de malware em janeiro pode ser consultada no blog da Check Point.

Classifique este item
(0 votos)
Ler 253 vezes
Tagged em
Top