Imagem ilustrativa - Divulgação Check Point Software
Avalanche de e-mails de phishing é
parte de campanha de ransomware LockBit Black
Pesquisadores da Check Point Research identificaram uma campanha com o botnet Phorpiex sendo usado para espalhar ransomware através de milhões de e-mails de phishing; enquanto isso, o malware FakeUpdates manteve-se na liderança do ranking do Brasil com impacto de 12%
A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, publicou o Índice Global de Ameaças referente a maio de 2024. No mês passado, pesquisadores descobriram uma campanha de malspam orquestrada pelo botnet Phorpiex. Os milhões de e-mails de phishing enviados continham LockBit Black – baseado no LockBit3, mas não afiliado ao grupo de ransomware.
Os operadores originais do botnet Phorpiex encerraram suas atividades e venderam o código-fonte em agosto de 2021. No entanto, em dezembro de 2021, a Check Point Research (CPR) descobriu que este malware havia ressurgido como uma nova variante chamada "Twizt", operando em um modelo descentralizado peer-to-peer.
Em abril deste ano, a célula de integração de segurança cibernética e comunicações (New Jersey Cybersecurity and Communications Integration Cell - NJCCIC) de Nova Jersey, nos Estados Unidos, encontrou evidências de que o botnet Phorpiex, que aparece em sexto lugar no índice de Top Malware do mês passado, estava sendo usado para enviar milhões de e-mails de phishing como parte de uma campanha de ransomware LockBit3. Esses e-mails continham anexos ZIP que, quando os arquivos [.]doc[.]scr falsos eram executados, desencadeavam o processo de criptografia do ransomware. A campanha usou mais de 1.500 endereços IP únicos, principalmente do Cazaquistão, Uzbequistão, Irã, Rússia e China.
Com relação ao outro destaque de maio apontado pela equipe da CPR, os pesquisadores destacaram por meio do Check Point Index os insights de “sites de vergonha” administrados por grupos de ransomware de dupla extorsão que publicam informações de vítimas para pressionar alvos não pagantes.
Em maio passado, o grupo de ransomware como serviço (RaaS), o LockBit3, reafirmou seu domínio, sendo responsável por 33% dos ataques publicados, após uma breve pausa depois de uma operação global de autoridades policiais. O LockBit3 foi seguido pelos grupo de ransomware Inc. Ransom com 7% e pelo Play com uma taxa de detecção de 5%.
O Inc. Ransom recentemente reivindicou a responsabilidade por um grande incidente cibernético que interrompeu serviços públicos no Conselho da Cidade de Leicester, no Reino Unido, supostamente roubando mais de 3 terabytes de dados e causando uma paralisação generalizada do sistema.
“Embora as autoridades policiais tenham conseguido temporariamente interromper o grupo cibernético LockBit3 ao expor um de seus líderes e afiliados, além de liberar mais de 7.000 chaves de descriptografia LockBit, isso ainda não é suficiente para uma eliminação completa da ameaça. Não é surpreendente vê-los se reorganizar e implantar novas táticas para continuar suas atividades”, comenta Maya Horowitz, vice-presidente de pesquisa da Check Point Software.
“O ransomware é um dos métodos de ataque mais disruptivos
empregados por cibercriminosos. Uma vez que eles infiltram a rede e extraem
informações, as opções são limitadas para o alvo, especialmente se não puderem
pagar as demandas de resgate. É por isso que as organizações devem estar
atentas aos riscos e priorizar medidas preventivas.”
Principais
famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.
O
FakeUpdates foi o malware mais prevalente na lista global em maio de 2024 com
um impacto de 7% nas organizações mundiais, seguido pelo Androxgh0st com um
impacto global de 5% e do Qbot com um impacto global de 3%.
Top 3 global
↔ FakeUpdates - FakeUpdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Ele grava as cargas no disco antes de iniciá-las. FakeUpdates levou a comprometimentos adicionais por meio de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
↔ Androxgh0st -
Androxgh0st é um botnet direcionado às plataformas Windows, Mac e Linux. Para a
infecção inicial, o Androxgh0st explora múltiplas vulnerabilidades, visando
especificamente o PHPUnit, o Laravel Framework e o Apache Web Server. O malware
rouba informações confidenciais, como dados da conta Twilio, credenciais SMTP,
chave AWS, entre outros. Ele usa arquivos Laravel para coletar as informações
necessárias. Possui diferentes variantes que procuram informações diferentes.
↔ Qbot – Qbot AKA Qakbot é um cavalo de Troia bancário que apareceu pela primeira vez em 2008, projetado para roubar as credenciais bancárias e as teclas digitadas do usuário. Geralmente é distribuído por e-mails de spam e emprega várias técnicas antiVM, antidepuração e antisandbox para dificultar a análise e evitar a detecção. A partir de 2022, emergiu como um dos Trojans mais prevalentes.
A
lista global completa das dez principais famílias de malware em maio de 2024
pode ser encontrada no
blog da Check Point Software.
Principais
vulnerabilidades exploradas
Quanto às vulnerabilidades, em maio de 2024, a "Command Injection Over HTTP” foi a vulnerabilidade mais explorada, impactando 50% das organizações globalmente, seguida por "Web Servers Malicious URL Directory Traversal" com 47% e “Apache Log4j Remote Code Execution” com 46%.
↔ Command Injection
Over HTTP (CVE-2021-43936, CVE-2022-24086) - Foi relatada uma vulnerabilidade de injeção de comando sobre HTTP. Um
atacante remoto pode explorar esse problema enviando uma solicitação
especialmente criada para a vítima. Uma exploração bem-sucedida permitiria que
um invasor executasse um código arbitrário no computador de destino.
↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) - Há uma vulnerabilidade de passagem de diretório em diferentes servidores da Web. A vulnerabilidade ocorre devido a um erro de validação de entrada em um servidor da Web que não higieniza adequadamente o URI para os padrões de passagem de diretório. Uma exploração bem-sucedida permite que invasores remotos não autenticados divulguem ou acessem arquivos arbitrários no servidor vulnerável.
↑ Apache Log4j Remote Code Execution
(CVE-2021-44228) - Existe uma
vulnerabilidade de execução remota de código no Apache Log4j. A exploração
bem-sucedida desta vulnerabilidade poderia permitir que um atacante remoto
executasse código arbitrário no sistema afetado.
Principais malwares móveis
No mês passado, o Anubis manteve-se em primeiro lugar como o malware móvel mais prevalente, seguido por AhMyth e Hydra.
↔ Anubis - O Anubis é um malware de Trojan bancário projetado para telefones celulares Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade de Trojan de Acesso Remoto (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Ele foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.
↔ AhMyth - AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicativos Android que podem ser encontradas em lojas de apps e vários sites. Quando um usuário instala um destes aplicativos infectados, o malware pode recolher informações sensíveis do dispositivo e realizar ações como o registo de teclas, tirar capturas de tela, enviar mensagens SMS e ativar a câmara, que é normalmente utilizada para roubar informações sensíveis.
↑ Hydra – Hydra é um trojan bancário projetado
para roubar credenciais bancárias solicitando que as vítimas habilitem
permissões perigosas e acessos cada vez que entrarem em qualquer aplicativo
bancário.
Principais setores atacados no mundo e no Brasil
Em maio de 2024, a Educação/Pesquisa prosseguiu como o setor mais atacado a nível mundial, seguido pelo Governo/Forças Armadas e pela Comunicação.
1.Educação/Pesquisa
2.Governo/Forças
Armadas
3.Comunicação
No Brasil, os três setores no ranking nacional mais visados por ciberataques durante o mês de maio foram:
1.
Comunicações
2.
Transportes
3.
Governo/Forças Armadas
Principais grupos de ransomware
Esta seção apresenta informações derivadas de quase 200 "sites de vergonha" de ransomware operados por grupos de ransomware de dupla extorsão. Os cibercriminosos utilizam estes sites para aumentar a pressão sobre as vítimas que não pagam o resgate imediatamente.
Os dados destes “sites da vergonha” têm as suas próprias tendências, mas ainda assim fornecem informações importantes sobre o ecossistema do ransomware, que é atualmente o risco número um às organizações.
No mês passado, o LockBit3 foi o grupo de ransomware mais prevalente, responsável por 33% dos ataques publicados, seguido pelo Inc. Ransom com 7% e pelo Play com 5%.
1.LockBit3 –
LockBit3 é um ransomware que opera em um modelo RaaS e foi relatado pela
primeira vez em setembro de 2019. O LockBit3 tem como alvo grandes empresas e
entidades governamentais de vários países e não tem como alvo indivíduos na
Rússia ou na Comunidade de Estados Independentes.
2. Inc. Ransom – Inc. Ransom é uma operação de extorsão de ransomware que surgiu em julho de 2023, realizando ataques de spear-phishing e mirando em serviços vulneráveis. Os principais alvos do grupo são organizações na América do Norte e Europa em múltiplos setores, incluindo saúde, educação e governo. As cargas úteis (payloads) de ransomware do Inc. Ransom suportam vários argumentos de linha de comando e usam criptografia parcial com uma abordagem multi-threading (modelo de execução em massa de várias threads - número de tarefas que uma thread é capaz de executar por vez em um mesmo processo).
3.
Play - Play é o nome de um programa do tipo
ransomware. O malware classificado como tal opera criptografando dados e
exigindo resgates para a descriptografia.
Os principais malwares de maio no Brasil
No mês passado, o ranking de ameaças do Brasil contou com o FakeUpdates na liderança do ranking pelo segundo mês consecutivo com impacto de 12,10% (cerca de o dobro do impacto global de 6%). O segundo e o terceiro lugares se alternaram em maio em que o Androxgh0st subiu para o segundo com impacto de 8,30% às organizações no país, e o Qbot ocupou o terceiro lugar cujo impacto foi de 7,55%.
O
downloader FakeUpdates é um dos carregadores de malware mais populares entre os
cibercriminosos. Escrito em JavaScript, a estrutura de distribuição de malware
implanta sites comprometidos para induzir os usuários a executar atualizações
falsas do navegador.
Check Point Software Technologies Ltd
Check Point Software
X /Twitter
Blog
YouTube
Nenhum comentário:
Postar um comentário