Malware manteve a liderança em fevereiro

O mês passado, a vulnerabilidade mais explorada foi a "Web Servers Malicious URL Directory Traversal,", que afetou 51% das organizações a nível mundial, seguida da "Command Injection Over HTTP" e da "Zyxel ZyWALL Command Injection", com 50%, respetivamente.
14 de Março, 2024

O Índice Global de Ameaças da Check Point, relativamente ao mês de fevereiro de 2024, foi descoberta uma nova campanha FakeUpdates que está a comprometer sites WordPress. Estes sites foram infetados usando contas de administrador wp-admin hackeadas, com o malware adaptando as suas táticas para se infiltrar em sites, utilizando edições alteradas de plug-ins autênticos do WordPress e enganando os indivíduos para que fizessem download de um Trojan de acesso remoto. Entretanto, mesmo depois de ter sido retirado no final de fevereiro, o Lockbit3 continuou a ser o grupo de ransomware mais prevalente, responsável por 20% dos ataques publicados, e a educação continuou a ser o setor mais afetado em todo o mundo.

O FakeUpdates, também conhecido como SocGholish, está operacional desde, pelo menos, 2017 e utiliza malware JavaScript para atacar websites, especialmente aqueles com sistemas de gestão de conteúdos. Muitas vezes classificado como o malware mais prevalente no Threat Index, o malware FakeUpdates pretende enganar os utilizadores para que descarreguem software malicioso e, apesar dos esforços para o impedir, continua a ser uma ameaça significativa para a segurança dos websites  e para os dados dos utilizadores. Esta sofisticada variante de malware foi anteriormente associada ao grupo russo de cibercrime conhecido como Evil Corp. Devido à sua funcionalidade de descarregador, acredita-se que o grupo rentabiliza o malware através da venda de acesso aos sistemas que infeta, levando a outras infeções por malware se o grupo fornecer acesso a vários clientes.

“Os websites são as montras digitais do nosso mundo, cruciais para a comunicação, o comércio e a ligação”, afirmou Maya Horowitz, VP de Investigação da Check Point Software. “Defendê-los das ciberameaças não se trata apenas de salvaguardar o código, mas sim de proteger a nossa presença online e as funções essenciais da nossa sociedade interligada. Se os cibercriminosos optarem por utilizá-los como um veículo para dissimular a propagação de malware, isso pode afetar a geração de receitas futuras e a reputação de uma organização. É vital aplicar medidas preventivas e adotar uma cultura de tolerância zero para garantir uma proteção absoluta contra as ameaças”.

O índice de ameaças da Check Point também inclui informações de cerca de 200 “sites de vergonha” de ransomware geridos por grupos de ransomware de dupla extorsão, 68 dos quais publicaram informações sobre as vítimas este ano para pressionar os alvos que não pagam. O Lockbit3 voltou a assumir a liderança no mês passado, sendo responsável por 20% dos incidentes registados, seguido do Play com 8% e do 8base com 7%. Entrando pela primeira vez no top 3, o Play reivindicou a responsabilidade por um ciberataque recente à cidade de Oakland.

No mês passado, a vulnerabilidade mais explorada foi a “Web Servers Malicious URL Directory Traversal,”, que afetou 51% das organizações a nível mundial, seguida da “Command Injection Over HTTP” e da “Zyxel ZyWALL Command Injection”, com 50%, respetivamente.

Principais famílias de malware a nível mundial    

*As setas estão relacionadas com a variação na classificação em comparação com o mês anterior. 

O FakeUpdates foi o malware mais prevalente no mês passado, com um impacto de 5% nas organizações mundiais, seguido do Qbot, com um impacto global de 3%, e do Formbook, com um impacto global de 2%.

  1. ↔ FakeUpdates – O FakeUpdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Grava os payloads no disco antes de os lançar. O FakeUpdates levou a um maior envolvimento através de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult. 
  1. ↔ Qbot – O Qbot AKA Qakbot é um malware multiuso que apareceu pela primeira vez em 2008. Foi concebido para roubar as credenciais de um utilizador, gravar as teclas premidas, roubar cookies dos navegadores, espiar as atividades bancárias e instalar malware adicional. Frequentemente distribuído por correio eletrónico de spam, o Qbot utiliza várias técnicas anti-VM, anti-depuração e anti-sandbox para dificultar a análise e evitar a deteção. Com início em 2022, surgiu como um dos cavalos de Troia mais prevalecentes.
  1. ↔ FormBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.  

Principais Famílias Malware em Portugal 

Em Portugal, no mês de fevereiro, o FakeUpdates mantem a liderança, seguido do Qbot que também se manteve na segunda posição, e do CloudEyE, uma nova família neste top 3.

  1. FakeUpdates – O FakeUpdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Grava os payloads no disco antes de os lançar. O FakeUpdates levou a um maior envolvimento através de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
  1. Qbot – O Qbot AKA Qakbot é um malware multiuso que apareceu pela primeira vez em 2008. Foi concebido para roubar as credenciais de um utilizador, gravar as teclas premidas, roubar cookies dos navegadores, espiar as atividades bancárias e instalar malware adicional. Frequentemente distribuído por correio eletrónico de spam, o Qbot utiliza várias técnicas anti-VM, anti-depuração e anti-sandbox para dificultar a análise e evitar a deteção. Com início em 2022, surgiu como um dos cavalos de Troia mais prevalecentes.
  1. CloudEyE – O CloudEye é um downloader que tem como alvo a plataforma Windows e é usado para descarregar e instalar programas maliciosos nos computadores das vítimas.

Principais indústrias atacadas a nível global    

No mês passado, a Educação/Investigação manteve-se em primeiro lugar nos setores mais atacados a nível mundial, seguida da Administração Pública/Defesa e do setor da Saúde.

  1. Educação/Investigação  
  2. Administração Pública/Defesa 
  3. Saúde

Principais indústrias atacadas em Portugal    

  Em Portugal, o setor mais atacado em fevereiro de 2024 foi o setor da Saúde, seguido do setor dos Educação/Investigação, e do setor das Telecomunicações.

  1. Saúde
  2. Educação/Investigação 
  3. Telecomunicações

Principais vulnerabilidades exploradas 

No mês passado, a “Web Servers Malicious URL Directory Traversal” foi a vulnerabilidade mais explorada, afetando 51% das organizações a nível mundial, seguida da “Command Injection Over HTTP” e da “Zyxel ZyWALL Command Injection” com um impacto global de 50%, respetivamente.

  1. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Existe uma vulnerabilidade de passagem de diretório em diferentes servidores Web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor Web que não limpa corretamente o URI para os padrões de passagem de diretórios. Uma exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acedam a ficheiros arbitrários no servidor vulnerável.
  1. ↓ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Foi comunicada uma vulnerabilidade de injeção de comandos sobre HTTP. Um atacante remoto pode explorar este problema enviando um pedido especialmente criado para a vítima. Uma exploração bem-sucedida permitiria a um atacante executar código arbitrário na máquina alvo.
  1. ↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Existe uma vulnerabilidade de injeção de comandos no Zyxel ZyWALL. A exploração bem-sucedida dessa vulnerabilidade permitiria que invasores remotos executassem comandos arbitrários do sistema operacional no sistema afetado.

Top Mobile Malwares  

No mês passado, o Anubis manteve-se em primeiro lugar como o malware móvel mais prevalecente, seguido do AhMyth e do Hiddad.

  1. Anubis – O Anubis é um malware de Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, capacidades de gravação de áudio e várias funcionalidades de ransomware. Foi detetado em centenas de diferentes aplicações disponíveis na Loja Google. 
  2. AhMyth – O AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicações Android que podem ser encontradas em lojas de aplicações e vários websites. Quando um utilizador instala uma destas aplicações infetadas, o malware pode recolher informação sensível do dispositivo e realizar ações como o keylogging, tirar screenshots, enviar mensagens SMS e ativar a câmara.
  3. Hiddad – O Hiddad é um malware para Android que reembala aplicações legítimas e depois lança-as numa loja de terceiros. A sua principal função é apresentar anúncios, mas também pode obter acesso a detalhes de segurança importantes incorporados no sistema operativo.

Principais grupos de ransomware

Esta secção apresenta informações derivadas de quase 200 “sites de vergonha” de ransomware operados por grupos de ransomware de dupla extorsão. Os cibercriminosos utilizam estes sites para aumentar a pressão sobre as vítimas que não pagam o resgate imediatamente. Os dados destes “sites da vergonha” têm as suas próprias tendências, mas ainda assim fornecem informações valiosas sobre o ecossistema do ransomware, que é atualmente o risco número um para as empresas.

O LockBit3 foi o grupo de ransomware mais prevalente no mês passado, responsável por 20% dos ataques publicados, seguido do Play com 8% e do 8base com 7%.

  1. LockBit3 – O LockBit3 é um ransomware, operando num modelo RaaS, relatado pela primeira vez em setembro de 2019. O LockBit3 visa grandes empresas e entidades governamentais de vários países e não visa indivíduos na Rússia ou na Comunidade de Estados Independentes.
  2. Play – Play é o nome de um programa do tipo ransomware. O malware classificado como tal funciona encriptando dados e exigindo resgates para a desencriptação.

8base – O grupo de ameaça 8Base é um grupo de ransomware que tem estado ativo desde, pelo menos, março de 2022. Ganhou notoriedade significativa em meados de 2023 devido a um aumento notável das suas actividades. Este grupo foi observado usando uma variedade de variantes de ransomware, sendo o Phobos um elemento comum. O 8Base opera com um nível de sofisticação, evidenciado pelo uso de técnicas avançadas no seu ransomware. Os métodos do grupo incluem tácticas de extorsão dupla.

Opinião