A pandemia da COVID-19 leva a ataques
cibernéticos e políticos em redes, nuvem e dispositivos móveis
O relatório "Tendências dos
Ciberataques: Primeiro Semestre de 2020" revela como os criminosos têm
como alvo todos os setores da economia com ataques sob o tema da pandemia e
destaca o aumento da atividade cibernética do Estado-nação
A Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora global líder em soluções
de cibersegurança, divulga hoje seu relatório global sobre "Tendências dos Ciberataques: Primeiro
Semestre de 2020", o qual aponta como
cibercriminosos e grupos de ciberameaças políticas e de Estado-nação exploraram
a pandemia da COVID-19, bem como temas relacionados, para atingir organizações
em todos os setores da economia, incluindo governos, indústria, assistência
médica, provedores de serviços, infraestruturas críticas e consumidores.
Os ataques de phishing e malware relacionados à
COVID-19 no mundo cresceram drasticamente de menos de 5 mil por semana em
fevereiro para mais de 200 mil por semana no final de abril. Além disso, em
maio e junho, quando alguns países começaram a diminuir os bloqueios, os
atacantes também aumentaram suas explorações não relacionadas à COVID-19,
resultando em um aumento de 34% em todos os tipos de ciberataques globais no
final de junho em comparação a março e abril.
As principais tendências apontadas pelos
pesquisadores da Check Point no relatório referem-se a:
• Cresce a ciberguerra: os ciberataques de
Estado-nação aumentaram em intensidade e severidade no primeiro semestre, uma
vez que procuravam reunir informações ou interromper o controle da situação da
pandemia por seus rivais. Isso se estendeu a organizações de saúde e
humanitárias, como a OMS que relatou um aumento de 500% em número de ataques sofridos.
• Ataques de dupla extorsão: em 2020, uma
nova forma de ataque de ransomware tornou-se amplamente utilizada, na qual os
atacantes extraem grandes quantidades de dados antes de criptografá-los. Em
seguida, os cibercriminosos ameaçaram suas vítimas com o vazamento dos dados
caso elas se recusassem a pagar o valor do resgate para recuperação dessas
informações, pressionando-as a atenderem às suas demandas.
• Explorações (exploits) de vulnerabilidades
em dispositivos móveis: os cibercriminosos buscaram por novos vetores de
infecção de dispositivos móveis, aprimoraram suas técnicas para contornar as
medidas de segurança e colocaram aplicativos maliciosos nas lojas oficiais de
aplicativos. Em outro ataque inovador no primeiro semestre, os cibercriminosos usaram o
sistema MDM (Mobile Device Management) de uma corporação internacional para
distribuir malware a mais de 75% de seus dispositivos móveis gerenciados.
• Exposição a riscos na nuvem: a rápida
migração para nuvens públicas, ocorrida durante a pandemia, levou a um aumento
de ataques direcionados a cargas de trabalho (workloads) e a dados
críticos armazenados na nuvem. Os cibercriminosos também estão usando a
infraestrutura de nuvem das empresas para armazenar payloads maliciosos que usam em seus ataques de malware. Em janeiro, os
pesquisadores da Check Point encontraram uma primeira vulnerabilidade crítica do setor no ambiente Microsoft Azure que permitiria
aos cibercriminosos comprometer os dados e aplicativos de outros usuários do
Azure, mostrando que as nuvens públicas não estão totalmente seguras.
"A resposta global à pandemia transformou
e acelerou os padrões de ciberataques criminosos durante o primeiro semestre
deste ano, explorando os temores em torno da COVID-19 como gancho para suas
campanhas de ataques. Também vimos novos e emergentes vetores de ataque e
vulnerabilidades que ameaçam a segurança das organizações em todos os
setores", afirma Maya Horowitz, diretora do Grupo de Inteligência e
Pesquisa de Ameaças e Produtos da Check Point. "Os especialistas em segurança precisam
estar cientes dessas ameaças em rápida evolução para garantir que suas
organizações tenham o mais alto nível de proteção possível durante os próximos
meses de 2020."
As variantes de malware mais comuns durante o
primeiro semestre de 2020 foram:
Principais malwares
• Emotet (impactando 9% das organizações em todo
o mundo) - O Emotet é um trojan avançado, que se
autopropaga e modular. Era originalmente um trojan bancário, mas, recentemente
foi usado para distribuir outros malwares ou campanhas maliciosas. Ele adota
vários métodos para evitar a detecção. Além disso, também pode se espalhar por
meio de e-mails de spam contendo anexos ou links maliciosos com phishing.
• XMRig (8%) - O
XMRig é um software de mineração de CPU de código aberto usado para o processo
de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017.
Os cibercriminosos geralmente usam esse software de código aberto para
integrá-lo ao malware, a fim de realizar atividades de mineração ilegais nos dispositivos
das vítimas.
• Agent Tesla (7%) - O AgentTesla é um RAT (Remote Access Trojan)
avançado que funciona como um keylogger e ladrão de informações, capaz
de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema,
tirar capturas de tela e filtrar credenciais para uma variedade de software
instalado na máquina da vítima (incluindo o Google Chrome, Mozilla Firefox e o
cliente de e-mail do Microsoft Outlook). O AgentTesla é vendido em vários
mercados online e fóruns de hackers.
Principais criptomineradores
• XMRig (responsável por
46% de todas as atividades globais de criptomineração) - O XMRig é um
software de mineração de CPU de código aberto usado para o processo de
mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017. Os
cibercriminosos geralmente usam esse software de código aberto para integrá-lo
ao malware, a fim de realizar atividades de mineração ilegais nos dispositivos
das vítimas.
• JSEcoin (28%) -
Minerador de criptografia, baseado na web, projetado para o processo de
mineração on-line da criptomoeda Monero quando um usuário visita uma
determinada página web. O JavaScript implementado utiliza uma grande quantidade
de recursos computacionais das máquinas dos usuários finais para extrair
moedas, o que afeta o desempenho do sistema. O JSEcoin teve sua atividade
interrompida em abril de 2020.
• Wannamine (6%) - O WannaMine é um sofisticado worm de
criptomineração Monero que distribui a exploração (exploit) EternalBlue. O
WannaMine implementa um mecanismo de distribuição e técnicas de persistência,
aproveitando as assinaturas de eventos permanentes da WMI (Windows Management
Instrumentation).
Principais famílias de malwares - Dispositivos
móveis
• xHelper (responsável
por 24% de todos os ataques de malware móvel) - xHelper é um aplicativo Android
malicioso, observado desde março de 2019, usado para baixar outros aplicativos
maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e
se reinstalar caso seja desinstalado. O xHelper infectou mais de 45 mil
dispositivos.
• PreAMo (19%) - O
PreAMo é um malware do tipo clicker para dispositivos Android, relatado
pela primeira vez em abril de 2019, que imita o usuário (sem o seu
conhecimento) clicando em banners recuperados de três agências de publicidade:
Presage, Admob e Mopub. Descoberto na Google Play, o malware foi baixado mais
de 90 milhões de vezes em seis aplicativos móveis diferentes.
• Necro (14%) - é um
aplicativo malicioso Android Trojan.Dropper que pode baixar outros malwares,
mostrar anúncios intrusivos e cobrar de forma fraudulenta pelas assinaturas
pagas.
Principais malwares bancários
• Dridex (responsável por 27% de todos os ataques
de malware bancário) - O Dridex é um
Trojan bancário direcionado à plataforma Windows e é distribuído via campanhas
de spam e kits de exploração, os quais contam com o WebInjects para interceptar
e redirecionar credenciais bancárias para um servidor controlado por atacante.
O Dridex entra em contato com um servidor remoto, envia informações sobre o
sistema infectado e pode baixar e executar módulos adicionais para controle
remoto.
• Trickbot (20%) - O Trickbot é um Trojan bancário modular que
tem como alvo a plataforma Windows e é entregue principalmente por meio de
campanhas de spam ou outras famílias de malware, como o Emotet.
• Ramnit (15%) - O Ramnit é um Trojan bancário modular
descoberto pela primeira vez em 2010. O Ramnit rouba informações de sessões da
Web, oferecendo aos seus operadores a capacidade de roubar credenciais da conta
para todos os serviços utilizados pela vítima, incluindo contas bancárias,
contas corporativas e de redes sociais.
O relatório "Tendências dos Ciberataques:
Primeiro Semestre de 2020" fornece uma visão detalhada do cenário de
ciberameaças. Essas descobertas são baseadas em dados extraídos do centro de
inteligência ThreatCloud da Check Point entre janeiro e junho de 2020,
destacando as principais táticas cibercriminosas adotadas para atacar empresas.
A versão completa do relatório (em inglês) pode ser baixado em: https://pages.checkpoint.com/cyber-attack-2020-trends.html .
Maya Horowitz - diretora do Grupo de
Inteligência e Pesquisa de Ameaças e Produtos da Check Point
Check Point Software Technologies Ltd.
https://blog.checkpoint.com/
https://www.twitter.com/checkpointsw
https://www.facebook.com/checkpointsoftware
https://www.youtube.com/user/CPGlobal
https://www.linkedin.com/company/check-point-software-technologies
Nenhum comentário:
Postar um comentário