A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point® Software Technologies Ltd, uma fornecedora líder de soluções de cibersegurança global, divulgou o Índice Global de Ameaças referente ao mês de maio de 2021. Os pesquisadores relataram que o malware Trickbot, que entrou pela primeira vez na lista em abril de 2019, agora ocupa o primeiro lugar, enquanto o trojan Dridex saiu completamente do Top 10 depois de ser um dos malwares mais populares nos últimos meses em meio a um aumento global de ataques de ransomware. Portanto, de acordocoma Check Point, o malware Trickbot ganha popularidade e ocupa liderança do índice global de ameaças.
Embora ainda não se saiba por que o Dridex saiu da lista, relatórios recentes indicam que o grupo Evil Corp, conhecido por distribuir o Dridex, mudou sua abordagem de ataque como forma de se livrar das sanções do Departamento do Tesouro dos Estados Unidos.
Na liderança do índice de malware de maio, o Trickbot é um botnet e cavalo de Troia bancário capaz de roubar informações financeiras, credenciais de conta e dados pessoais, bem como disseminar-se numa rede e implantar um ransomware, em particular o Ryuk. Este malware está constantemente sendo atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe confere um caráter flexível e personalizável que permite a sua disseminação por meio de campanhas com múltiplos propósitos.
O Trickbot ganhou popularidade após o esforço global que interrompeu a ação do botnet Emotet, em janeiro, e ganhou novo destaque no início de junho quando o Departamento de Justiça dos Estados Unidos acusou uma mulher da Letônia por seu papel na criação e implantação do malware Trickbot.
Malware Trickbot ganha popularidade e ocupa liderança do índice global de ameaças
Desde o início de 2021, a divisão CPR acompanha um aumento significativo no volume de ciberataques contra empresas. Em comparação com maio de 2020, a CPR observou um acréscimo de 70% no número de ciberataques nas Américas, enquanto a região de EMEA apresenta um aumento de 97% em relação a maio de 2020 e APAC com impressionantes 168% ano a ano.
“Muito tem se falado sobre o recente aumento nos ataques de ransomware, mas, na verdade, estamos diante de um grande aumento no número de ataques cibernéticos em geral. É uma tendência significativa e preocupante”, afirma Maya Horowitz, diretora de Pesquisa de Inteligência de Ameaças da divisão Check Point Research (CPR).
É motivador ver que acusações foram apresentadas no combate ao Trickbot, o malware mais prevalente em maio; mas, claramente há ainda um longo caminho a ser percorrido. As organizações precisam estar cientes dos riscos e garantir que as soluções adequadas estejam disponíveis, como também lembrar que os ataques não podem apenas ser detectados, eles devem ser evitados, incluindo ataques de dia zero e malware desconhecido. Com as tecnologias certas implementadas, a maioria dos ataques, mesmo os mais avançados, podem ser evitados sem paralisação do fluxo normal de negócios.
Principais famílias de malware
Em maio, o Trickbot se tornou o malware mais popular com um impacto global de 8,28% das organizações, seguido por XMRig e Formbook, sendo que cada um afetou 3% das organizações em todo o mundo.
? Trickbot – É um cavalo de Troia bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.
? XMRig – É um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017.
? Formbook – É um “ladrão” de informações que coleta credenciais de vários navegadores da web e imagens, monitora e registra pressionamentos de tecla e pode baixar e executar arquivos de acordo com seus pedidos de C&C.
Principais vulnerabilidades exploradas
Em maio, a equipe da CPR também revelou que a vulnerabilidade mais comum explorada foi a “Web Server Exposed Git Repository Information Disclosure”, afetando 48% das organizações globalmente, seguida pela “HTTP Headers Remote Code Execution (CVE-2020-13756)”, que impactou 47,5% das organizações no mundo todo. A vulnerabilidade “MVPower DVR Remote Code Execution” ocupou o terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 46%.
? Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.
? HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar um código arbitrário na máquina da vítima.
? MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada.
Principais malwares móveis
Em maio, o xHelper ocupou o primeiro lugar no índice de malware móvel mais prevalente, seguido por Triada e Hiddad. São os mesmos malwares móveis destacados em abril de 2021.
1. xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
2. Triada – Um backdoor modular para Android que concede privilégios de superusuário ao malware baixado.
3. Hiddad – Um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.
Os principais malwares de maio no Brasil
O principal malware no Brasil em maio de 2021 foi o Proxy, um cavalo de Troia que tem como alvo a plataforma Windows. Este malware envia informações do sistema a um atacante remoto e configura um servidor proxy no sistema da vítima. O Proxy lidera a lista nacional com um índice de 8,99%. Enquanto o Trickbot ocupou o segundo lugar com impacto de 8,76%, seguido pelo XMRig com 8,45%.
O Índice de impacto de ameaças globais da Check Point e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, a maior rede colaborativa para combater o crime cibernético que fornece dados de ameaças e tendências de ataque de uma rede global de sensores de ameaças. O banco de dados da ThreatCloud inspeciona mais de 3 bilhões de sites e 600 milhões de arquivos diariamente e identifica mais de 250 milhões de atividades de malware todos os dias.
A lista completa das dez principais famílias de malware em abril pode ser encontrada no Check Point Software Blog.