AgentTesla é disparado o malware que
mais rouba dados e senhas no Brasil
No campo dos ransomwares, os pesquisadores da Check
Point Research também observaram o domínio contínuo do RansomHub e a ascensão
do ransomware Meow com novo método de monetização e alto impacto
A
Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point
Software, publicou o Índice Global de
Ameaças referente a agosto de 2024.
O destaque global no índice refere-se ao ransomware que continua
sendo uma força dominante, com o RansomHub sustentando sua posição como o
principal grupo de ransomware. Esta operação de Ransomware-as-a-Service (RaaS)
expandiu-se rapidamente desde sua mudança de marca do ransomware Knight, violando mais de 210 vítimas em todo o mundo. Enquanto isso, o ransomware Meow
surge com novas táticas, mudando da criptografia para a venda de dados roubados
em vazamentos nos marketplaces.
Em agosto passado, o RansomHub solidificou sua posição como a
principal ameaça de ransomware, conforme detalhado em um comunicado conjunto
das instituições Federal Bureau of Investigation (FBI), Agência de Infraestrutura
e Segurança Cibernética (CISA), o Centro Multiestadual de Compartilhamento e
Análise de Informações (MS-ISAC) e Departamento de Saúde e Serviço Social (HHS)
dos Estados Unidos. Esta operação RaaS tem sistemas agressivamente direcionados
em ambientes Windows, macOS, Linux e especialmente VMware ESXi, usando técnicas
de criptografia sofisticadas.
No mês passado, os pesquisadores também observaram a ascensão do
ransomware Meow, que garantiu o segundo lugar na lista dos principais
ransomwares pela primeira vez. Originado como uma variante do ransomware Conti
vazado, o Meow mudou seu foco de criptografia para extração de dados,
transformando seu site de extorsão em um mercado de vazamento de dados. Neste modelo, os dados roubados são
vendidos ao maior lance, divergindo das táticas tradicionais de extorsão de
ransomware.
"O surgimento do RansomHub como a principal ameaça de ransomware
em agosto ressalta a crescente sofisticação das operações de
Ransomware-as-a-Service", aponta Maya Horowitz, vice-presidente de
pesquisa da Check Point Software. "As organizações precisam estar mais
atentas que nunca. A ascensão do ransomware Meow destaca a mudança para
mercados de vazamento de dados, sinalizando um novo método de monetização para
operadores de ransomware, em que dados roubados são cada vez mais vendidos a
terceiros, em vez de simplesmente publicados online. À medida que essas ameaças
evoluem, as empresas devem permanecer alertas, adotar medidas de segurança
proativas e aprimorar continuamente suas defesas contra ataques cada vez mais
sofisticados."
Principais
famílias de malware
*
As setas referem-se à mudança na classificação em comparação com o mês
anterior.
O
FakeUpdates foi o malware mais prevalente na lista global em agosto de 2024 com
um impacto de 8% nas organizações mundiais, seguido pelo Androxgh0st com um
impacto global de 5% e do Phorpiex com um impacto global de 5%.
O
AgentTesla caiu para a quinta posição na lista global no mês passado, no
entanto, este malware persiste na liderança do índice Top Malware do Brasil com
impacto cada vez maior: em agosto registrou índice próximo a 40%.
3 Top Malware Global
↔FakeUpdates -
FakeUpdates (também conhecido como SocGholish) é um
downloader escrito em JavaScript. Ele grava as cargas no disco antes de
iniciá-las. FakeUpdates levou a comprometimentos adicionais por meio de muitos
malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e
AZORult.
↔Androxgh0st - Androxgh0st é um botnet direcionado às
plataformas Windows, Mac e Linux. Para a infecção inicial, o Androxgh0st
explora múltiplas vulnerabilidades, visando especificamente o PHPUnit, o
Laravel Framework e o Apache Web Server. O malware rouba informações
confidenciais, como dados da conta Twilio, credenciais SMTP, chave AWS, entre
outros. Ele usa arquivos Laravel para coletar as informações necessárias.
Possui diferentes variantes que procuram informações diferentes.
↑Phorpiex - Phorpiex
é um botnet conhecido por distribuir outras famílias de malware por meio de
campanhas de spam, além de alimentar campanhas de “sextorsão” em larga escala.
A
lista global completa das dez principais famílias de malware em agosto de 2024
pode ser encontrada no blog da
Check Point Software.
Principais
vulnerabilidades exploradas em agosto
Top 3 global
↔Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) - Uma vulnerabilidade de injeção de comando sobre HTTP foi relatada. Um
atacante remoto pode explorar esse problema enviando uma solicitação
especialmente criada para a vítima. A exploração bem-sucedida permitiria que um
atacante executasse código arbitrário na máquina alvo.
↔Zyxel ZyWALL Command Injection (CVE-2023-28771) - Existe
uma vulnerabilidade de injeção de comando no Zyxel ZyWALL. A exploração
bem-sucedida dessa vulnerabilidade permitiria que atacantes remotos executassem
comandos arbitrários do sistema operacional no sistema afetado.
↔HTTP Headers
Remote Code Execution
(CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-1375) - Os cabeçalhos HTTP permitem que o cliente e o
servidor passem informações adicionais com uma solicitação HTTP. Um atacante
remoto pode usar um cabeçalho HTTP vulnerável para executar um código
arbitrário na máquina da vítima.
Principais
malwares móveis
↔Joker – É um spyware Android no Google Play,
projetado para roubar mensagens SMS, listas de contatos e informações de
dispositivos. Além disso, o malware contrata a vítima silenciosamente para
serviços premium em sites de publicidade.
↔Anubis - O Anubis é um malware de Trojan bancário
projetado para telefones celulares Android. Desde que foi detectado
inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade de
Trojan de Acesso Remoto (RAT), keylogger, recursos de gravação de áudio e
vários recursos de ransomware. Ele foi detectado em centenas de aplicativos
diferentes disponíveis na Google Store.
↑Hydra - Hydra
é um Trojan bancário projetado para roubar credenciais bancárias solicitando
que as vítimas habilitem permissões e acessos perigosos sempre que entrarem em
qualquer aplicativo bancário.
Principais
setores atacados no mundo e no Brasil
Em
agosto de 2024, a Educação/Pesquisa prosseguiu como o setor mais atacado a
nível mundial, seguido pelo Governo/Forças Armadas e por Saúde.
1.Educação/Pesquisa
2.Governo/Forças
Armadas
3.Saúde
No
Brasil, os três setores no ranking nacional mais visados por
ciberataques durante o mês de agosto foram:
1.Governo/Forças
Armadas
2.Comunicações
3.Saúde
Principais
grupos de ransomware
Esta
seção apresenta informações derivadas de quase 200 "sites de
vergonha" de ransomware operados por grupos de ransomware de dupla
extorsão. Os cibercriminosos utilizam estes sites para aumentar a pressão sobre
as vítimas que não pagam o resgate imediatamente.
Os
dados destes “sites da vergonha” têm as suas próprias tendências, mas ainda
assim fornecem informações importantes sobre o ecossistema do ransomware, que é
atualmente o risco número um às organizações.
Em agosto, o RansomHub foi o grupo de ransomware mais prevalente
responsável por 15% dos ataques publicados, seguido pelo Meow com 9% que
empurrou o Lockbit3 para a terceira posição com 8%.
1.RansomHub
– RansomHub é uma operação Ransomware-as-a-Service (RaaS) que surgiu como uma
versão renomeada do anteriormente conhecido ransomware Knight. Aparecendo com
destaque no início de 2024 em fóruns clandestinos de crimes cibernéticos, o
RansomHub rapidamente ganhou notoriedade por suas campanhas agressivas
direcionadas a vários sistemas, incluindo Windows, macOS, Linux e,
particularmente, ambientes VMware ESXi. Este malware é conhecido por empregar
métodos de criptografia sofisticados.
2.
Meow – O Meow Ransomware é uma variante baseada no ransomware
Conti, conhecido por criptografar uma ampla gama de arquivos em sistemas
comprometidos e anexar a extensão ".MEOW" a eles. Ele deixa uma nota
de resgate chamada "readme[.]txt", instruindo as vítimas a contatar
os atacantes por e-mail ou Telegram para negociar os pagamentos do resgate. O Meow
Ransomware se espalha por vários vetores, incluindo configurações RDP
desprotegidas, spam de e-mail e downloads maliciosos, e usa o algoritmo de
criptografia ChaCha20 para bloquear arquivos, excluindo "[.]exe" e
arquivos de texto.
3.LockBit –
LockBit é um ransomware que opera em um modelo RaaS, relatado pela primeira vez
em setembro de 2019. O LockBit tem como alvo grandes empresas e entidades
governamentais de vários países e não tem como alvo indivíduos na Rússia ou na
Comunidade de Estados Independentes.
Os principais malwares de agosto no Brasil
No mês passado, o ranking de ameaças do Brasil
prossegue com o AgentTesla na liderança da lista nacional com impacto de 39,44%
(em julho, seu índice de liderança era de 37,60%; em junho, foi de 36,62%). O
segundo malware que mais impactou no Brasil em agosto passado foi o FakeUpdates
com impacto de 13,30% às organizações no país, e o Phorpiex ocupou o terceiro
lugar cujo impacto foi de 10,82%.
O
AgentTesla é um malware que pode roubar informações confidenciais dos
computadores de uma organização, como dados, senhas e outras credenciais. O
AgentTesla pode funcionar como um keylogger e dar acesso remoto aos
cibercriminosos; está ativo desde 2014 monitorando e coletando entradas de
teclado e a área de transferência do sistema da vítima.
Este
malware também pode gravar capturas de tela e exfiltrar credenciais inseridas
para uma variedade de softwares instalados na máquina da vítima (incluindo
Google Chrome, Mozilla Firefox e cliente de e-mail Microsoft Outlook). O
AgentTesla é vendido abertamente como um trojan de acesso remoto (RAT) legítimo
com clientes pagando de US$ 15 a US$ 69 por licenças de usuário.
Check Point Research
Blog
X / Twitter
Check Point Software Technologies Ltd
Check Point Software
LinkedIn
X /Twitter
Facebook
Blog
YouTube
