A nova edição do índice de ameaças da Check Point Software destaca ascensão do malware Androxgh0st que mostram ciberataques em evolução
A Check Point Software Technologies Ltd. (NASDAQ: CHKP), pioneira e líder global em soluções de segurança cibernética, publicou o Índice Global de Ameaças referente a novembro de 2024, enfatizando a crescente sofisticação dos criminosos cibernéticos. O relatório destaca a rápida ascensão do malware Androxgh0st, agora integrado à botnet Mozi, visando infraestruturas críticas em todo o mundo.
A infraestrutura crítica — abrangendo redes de energia, sistemas de transporte, redes de assistência médica, entre outras — continua sendo um alvo principal para cibercriminosos devido ao seu papel indispensável na vida diária e suas vulnerabilidades. Interromper esses sistemas pode levar ao caos generalizado, perdas financeiras e até mesmo ameaças à segurança pública.
Pesquisadores descobriram que o Androxgh0st, agora no topo do ranking de Top Malwares, está explorando vulnerabilidades em diversas plataformas, incluindo dispositivos IoT e servidores web, componentes-chave da infraestrutura crítica.
Ao adotar táticas da botnet Mozi, o Androxgh0st tem como alvo sistemas usando execução remota de código e métodos de roubo de credenciais para manter acesso persistente, permitindo atividades maliciosas como ataques DDoS e roubo de dados.
A botnet se infiltra em infraestruturas críticas por meio de vulnerabilidades não corrigidas, e a integração dos recursos Mozi expandiu significativamente o alcance do Androxgh0st, possibilitando que ele infecte mais dispositivos IoT e controle uma gama mais ampla de alvos. Esses ataques criam efeitos em cascata em todos os setores, destacando os altos riscos para governos, empresas e indivíduos que dependem dessas infraestruturas.
No campo das ameaças móveis, o índice de ameaças da Check Point Software aponta o Joker prosseguindo como o mais prevalente do mês, seguido pelo Anubis e pelo Necro. O Joker continua a roubar mensagens SMS, contatos e informações de dispositivos enquanto silenciosamente inscreve vítimas em serviços premium. Enquanto isso, o Anubis, um Trojan bancário, ganhou novos recursos, incluindo acesso remoto, keylogging e funcionalidade de ransomware.
“A ascensão do Androxgh0st e a integração da botnet Mozi ilustram como os criminosos cibernéticos estão constantemente evoluindo suas táticas. As organizações devem se adaptar rapidamente e implementar medidas de segurança robustas que possam identificar e neutralizar essas ameaças avançadas antes que elas possam causar danos significativos”, afirma Maya Horowitz, vice-presidente de pesquisa da Check Point Software.
Top 3 Malware Global
O Androxgh0st é o malware mais prevalente em novembro com um impacto de 5% em organizações ao redor do mundo, seguido de perto pelo FakeUpdates também com um impacto de 5% e AgentTesla com 3%.
- ↑ Androxgh0st – Androxgh0st é um botnet direcionado às plataformas Windows, Mac e Linux. Para a infecção inicial, o Androxgh0st explora múltiplas vulnerabilidades, visando especificamente o PHPUnit, o Laravel Framework e o Apache Web Server. O malware rouba informações confidenciais, como dados da conta Twilio, credenciais SMTP, chave AWS, entre outros. Ele usa arquivos Laravel para coletar as informações necessárias. Possui diferentes variantes que procuram informações diferentes.
- ↓ FakeUpdates – FakeUpdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Ele grava as cargas no disco antes de iniciá-las. FakeUpdates levou a comprometimentos adicionais por meio de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
- ↔ AgentTesla – AgentTesla é um RAT avançado que funciona como um keylogger e “ladrão de informações”, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e exfiltrar credenciais de uma variedade de softwares instalados na máquina da vítima (incluindo Google Chrome, Mozilla Firefox e o cliente de e-mail Microsoft Outlook).
Top 5 Malware Brasil
Os principais malwares de novembro no país
Em novembro, o ranking de ameaças do Brasil continuou apresentando o AgentTesla como líder do ranking nacional com impacto de 35,78% (desde junho de 2024 está na liderança no país). O segundo malware que mais impactou no Brasil no mês passado foi o FakeUpdates com impacto de 8,74% às organizações no país, e o Androxgh0st ocupou o terceiro lugar cujo impacto foi de 8,22%.
O AgentTesla é um malware que pode roubar informações confidenciais dos computadores, e também pode gravar capturas de tela e exfiltrar credenciais inseridas para uma variedade de softwares instalados na máquina da vítima (incluindo Google Chrome, Mozilla Firefox e cliente de e-mail Microsoft Outlook). O AgentTesla é vendido abertamente como um trojan de acesso remoto (RAT) legítimo com clientes pagando de US$ 15 a US$ 69 por licenças de usuário.
Para os usuários finais se protegerem desses malwares, seguem algumas dicas essenciais:
Mantenha tudo atualizado: Certifique-se de que o sistema operacional e aplicativos estejam sempre com as últimas atualizações para evitar brechas de segurança.
Use proteção antivírus: Instale e mantenha atualizado um software antivírus confiável para proteger seu computador de forma contínua.
Cuidado com e-mails: Evite clicar em links ou abrir anexos de remetentes desconhecidos, que podem conter malwares escondidos.
Senhas seguras: Crie senhas fortes e únicas para cada conta e evite usar senhas fáceis de adivinhar. E adote autenticação de múltiplos fatores.
Backup regular: Faça backup de seus dados regularmente para não perder informações importantes em caso de ataque.
Principais vulnerabilidades exploradas em novembro
Top 3 global
↑ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Uma vulnerabilidade de injeção de comando sobre HTTP foi relatada. Um atacante remoto pode explorar esse problema enviando uma solicitação especialmente criada para a vítima. A exploração bem-sucedida permitiria que um atacante executasse código arbitrário na máquina alvo.
↑ Web Server Exposed Git Repository Information Disclosure – A vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.
↑ ZMap Security Scanner (CVE-2024-3378) – ZMap é um produto de escaneamento de vulnerabilidades. Atacantes remotos podem usar o ZMap para detectar vulnerabilidades em um servidor alvo.
Principais malwares móveis em novembro
↔ Joker – É um spyware Android no Google Play, projetado para roubar mensagens SMS, listas de contatos e informações de dispositivos. Além disso, o malware contrata a vítima silenciosamente para serviços premium em sites de publicidade.
↑ Anubis – O Anubis é um malware de Trojan bancário projetado para telefones celulares Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade de Trojan de Acesso Remoto (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Ele foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.
↓ Necro – Necro é um Android Trojan Dropper. Ele é capaz de baixar outros malwares, exibir anúncios intrusivos e roubar dinheiro cobrando assinaturas pagas.
Principais setores atacados no mundo e no Brasil
Em novembro de 2024, a Educação/Pesquisa prosseguiu como o setor mais atacado a nível mundial, seguido por Comunicações e pelo Governo/Forças Armadas.
1. Educação/Pesquisa
2. Comunicações
3. Governo/Forças Armadas
No Brasil, os três setores no ranking nacional mais visados por ciberataques durante o mês de novembro foram:
1. Comunicações
2. Governo/Forças Armadas
3. Saúde
Principais grupos de ransomware
Os dados são baseados em insights de “sites de vergonha” de ransomware administrados por grupos de ransomware de dupla extorsão que postaram informações sobre as vítimas. O RansomHub é o grupo de ransomware mais prevalente de novembro, responsável por 16% dos ataques publicados, seguido pelo Akira com 6% e pelo Killsec3 com 6%.
1.RansomHub – RansomHub é uma operação Ransomware-as-a-Service (RaaS) que surgiu como uma versão renomeada do anteriormente conhecido ransomware Knight. Aparecendo com destaque no início de 2024 em fóruns clandestinos de crimes cibernéticos, o RansomHub rapidamente ganhou notoriedade por suas campanhas agressivas direcionadas a vários sistemas, incluindo Windows, macOS, Linux e, particularmente, ambientes VMware ESXi. Este malware é conhecido por empregar métodos de criptografia sofisticados.
2.Akira – Akira Ransomware, relatado pela primeira vez no início de 2023, tem como alvo sistemas Windows e Linux. Ele usa criptografia simétrica com CryptGenRandom() e Chacha 2008 para criptografia de arquivos e é semelhante ao ransomware Conti v2 vazado. Akira é distribuído por vários meios, incluindo anexos de e-mail infectados e explorações em endpoints VPN. Após a infecção, ele criptografa dados e anexa uma extensão “[.] akira” aos nomes dos arquivos e, em seguida, apresenta uma nota de resgate exigindo pagamento pela descriptografia.
3.KillSec3 – KillSec é um grupo de ameaças cibernéticas de língua russa que surgiu em outubro de 2023. Operando uma plataforma Ransomware-as-a-Service (RaaS), o grupo também oferece uma variedade de outros serviços cibercriminosos ofensivos, incluindo ataques DDoS e os chamados “serviços de teste de penetração”. Uma revisão de sua lista de vítimas revela um número desproporcionalmente alto de alvos na Índia e uma proporção anormalmente baixa de vítimas nos Estados Unidos em comparação com grupos semelhantes. Seus alvos principais incluem os setores de saúde e governo.
Para as organizações protegerem suas operações e infraestruturas, algumas das melhores práticas são:
Atualizações Regulares: Mantenha todos os sistemas operacionais e softwares atualizados com os patches de segurança mais recentes. Isso ajuda a fechar vulnerabilidades que poderiam ser exploradas por malwares.
Antivírus e Firewalls: Instale soluções de segurança robustas, incluindo antivírus e firewalls, para detectar e bloquear ameaças em tempo real.
Educação e Conscientização: Promova treinamentos regulares para funcionários sobre práticas de segurança, como o reconhecimento de e-mails de phishing e links suspeitos.
Backup de Dados: Implemente um sistema de backup regular para seus dados críticos. Isso garante que a informação possa ser recuperada em caso de ataque, minimizando a perda de dados.
Controle de Acesso: Estabeleça políticas rigorosas de controle de acesso para garantir que apenas pessoas autorizadas tenham acesso a informações sensíveis.
Segmentação de Rede: Divida a rede em segmentos menores para limitar a propagação de malware em caso de infecção.
Senhas Fortes e Autenticação de Múltiplos Fatores (MFA): Exija senhas fortes que sejam alteradas regularmente e implemente a autenticação multifatorial para um nível extra de segurança.
Monitoramento Contínuo: Utilize ferramentas de monitoramento para analisar tráfego e detectar atividades suspeitas o mais rápido possível.
Sobre a Check Point Research
A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças. A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções. A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd é um dos principais provedores de segurança cibernética com uma plataforma baseada em nuvem e alimentada por IA, protegendo mais de 100.000 organizações em todo o mundo. A Check Point Software aproveita o poder da IA em todos os níveis para aumentar a eficiência e a precisão da segurança cibernética por meio de sua Plataforma Infinity, com taxas de detecção líderes do setor que permitem a antecipação proativa de ameaças e tempos de respostas mais inteligentes e rápidos. A plataforma abrangente inclui soluções fornecidas pela nuvem compostas por Check Point Harmony para proteger o ambiente de trabalho, Check Point CloudGuard para proteger a nuvem, Check Point Quantum para proteger a rede e Check Point Infinity Core Services para operações e serviços de segurança colaborativa.
Checklist para renovação de certificados digitais: Evite interrupções no fim do ano
Nova era na prevenção de ameaças: Check Point Software anuncia inovações em segurança de rede com IA
Junte-se a nós na construção de um futuro digital mais seguro e confiável!
Ao longo de dez anos, trilhamos um caminho de pioneirismo com foco em segurança digital, identificação e privacidade. Celebramos essa jornada com a certeza de que a confiança é a base para um futuro digital sólido e promissor.
Mas a nossa missão continua! Convidamos você, leitor, e sua empresa a se juntarem a nós nesta jornada em busca de um futuro digital ainda mais seguro e confiável. Acreditamos no poder da colaboração para construir um ecossistema digital onde empresas, máquinas e pessoas possam confiar muito mais uma nas outras.
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
