 |
| Imagem ilustrativa - Divulgação Check Point Software |
Avalanche de e-mails de phishing é
parte de campanha de ransomware LockBit Black
Pesquisadores da Check Point Research identificaram
uma campanha com o botnet Phorpiex sendo usado para
espalhar ransomware através de milhões de e-mails de phishing; enquanto isso, o
malware FakeUpdates manteve-se na liderança do ranking do Brasil com impacto de
12%
A
Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, publicou o
Índice Global de Ameaças referente a maio de 2024. No
mês passado, pesquisadores descobriram uma campanha de malspam orquestrada pelo
botnet Phorpiex. Os milhões de e-mails de phishing enviados continham LockBit
Black – baseado no LockBit3, mas não afiliado ao grupo de ransomware.
Os operadores originais do botnet Phorpiex encerraram suas
atividades e venderam o código-fonte em agosto de 2021. No entanto, em dezembro
de 2021, a Check Point Research (CPR) descobriu que este malware havia
ressurgido como uma nova variante chamada "Twizt", operando em um
modelo descentralizado peer-to-peer.
Em abril deste ano, a célula
de integração de segurança cibernética e comunicações (New Jersey Cybersecurity
and Communications Integration Cell - NJCCIC) de
Nova Jersey, nos Estados Unidos, encontrou evidências de que o botnet Phorpiex,
que aparece em sexto lugar no índice de Top Malware do mês passado, estava
sendo usado para enviar milhões de e-mails de phishing como parte de uma
campanha de ransomware LockBit3. Esses e-mails continham anexos
ZIP que, quando os arquivos [.]doc[.]scr
falsos eram executados, desencadeavam o processo de criptografia do ransomware.
A campanha usou mais de 1.500 endereços IP únicos, principalmente do
Cazaquistão, Uzbequistão, Irã, Rússia e China.
Com relação ao outro destaque de maio apontado pela equipe da CPR,
os pesquisadores destacaram por meio do Check Point Index os insights de “sites
de vergonha” administrados por grupos de ransomware de dupla extorsão que
publicam informações de vítimas para pressionar alvos não pagantes.
Em maio passado, o grupo de ransomware como serviço (RaaS), o
LockBit3, reafirmou seu domínio, sendo responsável por 33% dos ataques
publicados, após uma breve pausa depois de uma operação global de autoridades
policiais. O LockBit3 foi seguido pelos grupo de ransomware Inc. Ransom com 7%
e pelo Play com uma taxa de detecção de 5%.
O Inc. Ransom recentemente reivindicou a responsabilidade por um
grande incidente cibernético que interrompeu serviços públicos no Conselho
da Cidade de Leicester, no Reino Unido,
supostamente roubando mais de 3 terabytes de dados e causando uma paralisação
generalizada do sistema.
“Embora as autoridades policiais tenham conseguido
temporariamente interromper o grupo cibernético LockBit3 ao expor um de seus
líderes e afiliados, além de liberar mais de 7.000
chaves de descriptografia LockBit, isso ainda não
é suficiente para uma eliminação completa da ameaça. Não é surpreendente vê-los
se reorganizar e implantar novas táticas para continuar suas atividades”,
comenta Maya Horowitz, vice-presidente de pesquisa da Check Point Software.
“O ransomware é um dos métodos de ataque mais disruptivos
empregados por cibercriminosos. Uma vez que eles infiltram a rede e extraem
informações, as opções são limitadas para o alvo, especialmente se não puderem
pagar as demandas de resgate. É por isso que as organizações devem estar
atentas aos riscos e priorizar medidas preventivas.”
Principais
famílias de malware
*
As setas referem-se à mudança na classificação em comparação com o mês
anterior.
O
FakeUpdates foi o malware mais prevalente na lista global em maio de 2024 com
um impacto de 7% nas organizações mundiais, seguido pelo Androxgh0st com um
impacto global de 5% e do Qbot com um impacto global de 3%.
Top 3 global
↔ FakeUpdates
- FakeUpdates (também conhecido como SocGholish) é um
downloader escrito em JavaScript. Ele grava as cargas no disco antes de
iniciá-las. FakeUpdates levou a comprometimentos adicionais por meio de muitos
malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e
AZORult.
↔ Androxgh0st -
Androxgh0st é um botnet direcionado às plataformas Windows, Mac e Linux. Para a
infecção inicial, o Androxgh0st explora múltiplas vulnerabilidades, visando
especificamente o PHPUnit, o Laravel Framework e o Apache Web Server. O malware
rouba informações confidenciais, como dados da conta Twilio, credenciais SMTP,
chave AWS, entre outros. Ele usa arquivos Laravel para coletar as informações
necessárias. Possui diferentes variantes que procuram informações diferentes.
↔ Qbot – Qbot AKA Qakbot é um cavalo de Troia bancário que
apareceu pela primeira vez em 2008, projetado para roubar as credenciais
bancárias e as teclas digitadas do usuário. Geralmente é distribuído por
e-mails de spam e emprega várias técnicas antiVM, antidepuração e antisandbox
para dificultar a análise e evitar a detecção. A partir de 2022, emergiu como um
dos Trojans mais prevalentes.
A
lista global completa das dez principais famílias de malware em maio de 2024
pode ser encontrada no
blog da Check Point Software.
Principais
vulnerabilidades exploradas
Quanto
às vulnerabilidades, em maio de 2024, a "Command
Injection Over HTTP” foi a vulnerabilidade mais explorada, impactando 50% das
organizações globalmente, seguida por "Web Servers Malicious URL Directory
Traversal" com 47% e “Apache Log4j Remote Code Execution” com 46%.
↔ Command Injection
Over HTTP (CVE-2021-43936, CVE-2022-24086) - Foi relatada uma vulnerabilidade de injeção de comando sobre HTTP. Um
atacante remoto pode explorar esse problema enviando uma solicitação
especialmente criada para a vítima. Uma exploração bem-sucedida permitiria que
um invasor executasse um código arbitrário no computador de destino.
↔ Web Servers
Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130,
CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530,
CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410,
CVE-2020-8260) - Há uma
vulnerabilidade de passagem de diretório em diferentes servidores da Web. A
vulnerabilidade ocorre devido a um erro de validação de entrada em um servidor
da Web que não higieniza adequadamente o URI para os padrões de passagem de
diretório. Uma exploração bem-sucedida permite que invasores remotos não
autenticados divulguem ou acessem arquivos arbitrários no servidor vulnerável.
↑ Apache Log4j Remote Code Execution
(CVE-2021-44228) - Existe uma
vulnerabilidade de execução remota de código no Apache Log4j. A exploração
bem-sucedida desta vulnerabilidade poderia permitir que um atacante remoto
executasse código arbitrário no sistema afetado.
Principais
malwares móveis
No
mês passado, o Anubis manteve-se em primeiro lugar como o malware móvel mais
prevalente, seguido por AhMyth e Hydra.
↔ Anubis - O Anubis é um malware de Trojan bancário
projetado para telefones celulares Android. Desde que foi detectado
inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade de
Trojan de Acesso Remoto (RAT), keylogger, recursos de gravação de áudio e
vários recursos de ransomware. Ele foi detectado em centenas de aplicativos
diferentes disponíveis na Google Store.
↔ AhMyth - AhMyth é um Trojan de Acesso Remoto (RAT)
descoberto em 2017. É distribuído através de aplicativos Android que podem ser
encontradas em lojas de apps e vários sites. Quando um usuário instala um
destes aplicativos infectados, o malware pode recolher informações sensíveis do
dispositivo e realizar ações como o registo de teclas, tirar capturas de tela,
enviar mensagens SMS e ativar a câmara, que é normalmente utilizada para roubar
informações sensíveis.
↑ Hydra – Hydra é um trojan bancário projetado
para roubar credenciais bancárias solicitando que as vítimas habilitem
permissões perigosas e acessos cada vez que entrarem em qualquer aplicativo
bancário.
Principais
setores atacados no mundo e no Brasil
Em
maio de 2024, a Educação/Pesquisa prosseguiu como o setor mais atacado a nível
mundial, seguido pelo Governo/Forças Armadas e pela Comunicação.
1.Educação/Pesquisa
2.Governo/Forças
Armadas
3.Comunicação
No
Brasil, os três setores no ranking nacional mais visados por
ciberataques durante o mês de maio foram:
1.
Comunicações
2.
Transportes
3.
Governo/Forças Armadas
Principais
grupos de ransomware
Esta
seção apresenta informações derivadas de quase 200 "sites de
vergonha" de ransomware operados por grupos de ransomware de dupla
extorsão. Os cibercriminosos utilizam estes sites para aumentar a pressão sobre
as vítimas que não pagam o resgate imediatamente.
Os
dados destes “sites da vergonha” têm as suas próprias tendências, mas ainda
assim fornecem informações importantes sobre o ecossistema do ransomware, que é
atualmente o risco número um às organizações.
No mês passado, o LockBit3 foi o grupo de ransomware mais
prevalente, responsável por 33% dos ataques publicados, seguido pelo Inc.
Ransom com 7% e pelo Play com 5%.
1.LockBit3 –
LockBit3 é um ransomware que opera em um modelo RaaS e foi relatado pela
primeira vez em setembro de 2019. O LockBit3 tem como alvo grandes empresas e
entidades governamentais de vários países e não tem como alvo indivíduos na
Rússia ou na Comunidade de Estados Independentes.
2.
Inc. Ransom –
Inc. Ransom é uma operação de extorsão de ransomware que surgiu em julho de
2023, realizando ataques de spear-phishing e mirando em serviços vulneráveis.
Os principais alvos do grupo são organizações na América do Norte e Europa em
múltiplos setores, incluindo saúde, educação e governo. As cargas úteis (payloads)
de ransomware do Inc. Ransom suportam vários argumentos de linha de comando e
usam criptografia parcial com uma abordagem multi-threading (modelo
de execução em massa de várias threads - número de tarefas que uma thread é
capaz de executar por vez em um mesmo processo).
3.
Play - Play é o nome de um programa do tipo
ransomware. O malware classificado como tal opera criptografando dados e
exigindo resgates para a descriptografia.
Os principais malwares de maio no Brasil
No mês passado, o ranking de ameaças do Brasil contou
com o FakeUpdates na liderança do ranking pelo segundo mês consecutivo com
impacto de 12,10% (cerca de o dobro do impacto global de 6%). O segundo e o
terceiro lugares se alternaram em maio em que o Androxgh0st subiu para o
segundo com impacto de 8,30% às organizações no país, e o Qbot ocupou o
terceiro lugar cujo impacto foi de 7,55%.
O
downloader FakeUpdates é um dos carregadores de malware mais populares entre os
cibercriminosos. Escrito em JavaScript, a estrutura de distribuição de malware
implanta sites comprometidos para induzir os usuários a executar atualizações
falsas do navegador.
Check Point Research
Blog
X / Twitter
Check Point Software Technologies Ltd
Check Point Software
LinkedIn
X /Twitter
Facebook
Blog
YouTube
