Os atacantes são capazes de explorar aplicativos vulneráveis para executar cryptojackers e outros malwares em servidores comprometidos
A Check Point Research aponta que o Emotet subiu do sétimo para o segundo lugar no índice global de malwares mais predominantes, enquanto o Trickbot permaneceu no topo da lista; Apache Log4j foi a vulnerabilidade mais explorada; no Brasil, o Emotet assumiu a liderança do índice nacional
A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, divulgou o Índice Global de Ameaças referente ao mês de dezembro de 2021.
Em um mês em que a vulnerabilidade do Apache Log4j varreu a Internet, os pesquisadores relataram que o Trickbot ainda é o malware mais predominante, embora em uma taxa um pouco menor, afetando 4% das organizações em todo o mundo (5% em novembro).
O recém ressurgente Emotet subiu rapidamente da sétima posição para o segundo lugar no ranking global. A CPR também revela que o setor mais atacado continua sendo o da Educação/Pesquisa.
Em dezembro, a “Apache Log4j Remote Code Execution” foi a vulnerabilidade mais explorada, afetando 48,3% das organizações globalmente.
A vulnerabilidade foi relatada pela primeira vez em 9 de dezembro no pacote de log do Apache Log4j — a biblioteca de log Java mais popular usada em muitos serviços e aplicativos da Internet com mais de 400 mil downloads de seu projeto no GitHub.
A vulnerabilidade causou uma nova praga, impactando quase metade de todas as empresas do mundo em um espaço de tempo muito curto. No Brasil, o impacto dessa vulnerabilidade correspondeu, até o momento, a 59% das redes corporativas que sofreram tentativas de exploração.
Os atacantes são capazes de explorar aplicativos vulneráveis para executar cryptojackers (também chamado de mineração de criptomoeda maliciosa) e outros malwares em servidores comprometidos.
Até agora, a maioria dos ataques se concentrava no uso de mineração de criptomoedas às custas das vítimas, no entanto, os cibercriminosos avançados começaram a agir de forma agressiva e aproveitar a violação em alvos de alta qualidade.
“O Log4j dominou as manchetes em dezembro. É uma das vulnerabilidades mais sérias que já testemunhamos e, devido à complexidade de corrigi-la e à facilidade de exploração, é provável que permaneça conosco por muito tempo, a menos que as empresas tomem medidas imediatas para evitar ataques“, afirma Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies.
“No mês passado também vimos o botnet Emotet passar da posição de sétimo malware mais prevalente para o segundo lugar no índice. Assim como suspeitávamos, não demorou muito para o Emotet construir uma base sólida desde que ressurgiu em novembro. É evasivo e está se espalhando rapidamente por meio de e-mails de phishing com anexos ou links maliciosos. Agora é mais importante do que nunca ter uma solução robusta de segurança de e-mail e garantir que os usuários saibam como identificar uma mensagem ou anexo com aparência suspeita“, reforça Maya.
A CPR também revelou em dezembro que Educação/Pesquisa é o setor mais atacado globalmente, seguido por Governo/Militar e ISP/MSP. A “Apache Log4j Remote Code Execution” tem sido a vulnerabilidade mais comum explorada, impactando 48,3% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que afeta 43,8% das organizações no mundo. A “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 41,5%.
Principais famílias de malware
– As setas referem-se à mudança na classificação em comparação com o mês anterior.
Em dezembro, o Trickbot foi o malware mais popular, afetando 4% das organizações em todo o mundo, seguido pelo Emotet e Formbook, ambos com um impacto global de 3%.
↔ Trickbot – É um trojan bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.
↑ Emotet – É um trojan avançado, auto propagável e modular. O Emotet era anteriormente um trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.
↔ Formbook – É um InfoStealer que coleta credenciais de vários navegadores da web, imagens, monitora e registra pressionamentos de tecla e pode baixar e executar arquivos de acordo com seus pedidos C&C.
Principais setores atacados:
Em dezembro, Educação/Pesquisa foi o setor mais atacado globalmente, seguido por Governo/Militar e ISP/MSP.
- Educação/Pesquisa
- Governo/Militar
- ISP/MSP
No Brasil, os três setores no ranking nacional mais visados em dezembro foram:
- Integradores de Sistema/VAR – Value Added Reseller/Distribuidores
- Varejo/Atacado
- Saúde
Principais vulnerabilidades exploradas
Em dezembro, a equipe da CPR também revelou que a “Apache Log4j Remote Code Execution” foi a vulnerabilidade mais comumente explorada, afetando 48,3% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que afeta 43,8% das organizações em todo o mundo.
A “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 41,5%.
↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe uma vulnerabilidade de execução remota de código no Apache Log4j. A exploração bem-sucedida dessa vulnerabilidade pode permitir que um atacante remoto execute código arbitrário no sistema afetado.
↔ Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.
↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) — Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar um código arbitrário na máquina da vítima.
Principais malwares móveis
Em dezembro, o AlienBot ficou em primeiro lugar no índice de malware móvel mais prevalente, seguido por xHelper e FluBot. Estes três malwares móveis ocuparam respectivamente as mesmas posições no mês de novembro de 2021.
AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.
xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
FluBot – É um malware de rede de bots Android distribuído por meio de mensagens SMS de phishing, na maioria das vezes se passando por marcas de entrega e logística. Assim que o usuário clica no link inserido na mensagem, o FluBot é instalado e obtém acesso a todas as informações confidenciais no telefone.
Os principais malwares de dezembro no Brasil
O principal malware no Brasil em dezembro de 2021 foi o Emotet, com 6,28% de impacto nas organizações. O Trickbot ocupou o segundo lugar (4,58%) no ranking nacional, enquanto o Glupteba (3,10%) continuou em terceiro.
O Índice de impacto de ameaças globais da Check Point Software e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, a maior rede colaborativa que fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e dispositivos móveis.
A inteligência é enriquecida com mecanismos baseados em IA e dados de pesquisa exclusivos da divisão Check Point Research (CPR).
A lista completa das dez principais famílias de malware em setembro pode ser encontrada no Check Point Software Blog.
Sobre a Check Point Research
A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças. A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções. A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.
O malware Trickbot ganha popularidade e ocupa a liderança do índice global de ameaças
Aqui no Crypto ID você encontra reunidos os melhores estudos e pesquisas sobre o universo da Segurança da Informação aplicada a diversas verticais de negócios. Acesse nossa coluna e conheça!
Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!