A Check Point Research (CPR), setor responsável pela inteligência em ameaças da Check Point Software, divulgou o Índice Global de Ameaças de setembro de 2024. O relatório revela uma tendência marcante na segurança cibernética, principalmente o surgimento de malware alicerçado em IA, juntamente com a continuidade das ameaças de ransomware.
Malware baseado em IA afeta o sistema Windows
No mês anterior, especialistas identificaram que grupos de cibercriminosos provavelmente empregaram IA para criar um script capaz de disseminar o malware AsyncRAT, que atualmente ocupa o 10º lugar na lista dos malwares mais comuns.
Esse método incluiu o uso de “HTML smuggling”, onde um arquivo ZIP protegido por senha, contendo código malicioso em VBScript, foi enviado para iniciar uma infecção no dispositivo da vítima. A estrutura e os comentários do código indicaram o uso de IA.
Após sua execução completa, o AsyncRAT é instalado, permitindo ao atacante registrar teclas digitadas, controlar remotamente o dispositivo infectado e instalar outros malwares. Essa descoberta ilustra uma tendência crescente de cibercriminosos com habilidades técnicas limitadas utilizando IA para desenvolver malwares de maneira mais acessível.
Maya Horowitz, vice-presidente de pesquisa da Check Point Software, ressalta: “O fato de que atacantes começaram a empregar IA generativa em suas operações reflete a evolução constante das táticas de ciberataque. Os cibercriminosos estão cada vez mais explorando tecnologias disponíveis para otimizar suas operações, tornando fundamental que as organizações adotem estratégias proativas de segurança, incluindo métodos de prevenção avançados e treinamento abrangente para suas equipes.”
No que diz respeito a dispositivos móveis e ransomware, o Joker permaneceu como o malware móvel mais comum em setembro, enquanto o RansomHub continuou sendo o grupo líder em ransomware, mantendo suas posições desde agosto. Essas descobertas ressaltam as ameaças persistentes representadas por esses grupos maliciosos no cenário global de segurança cibernética.
Principais Famílias de Malware
O FakeUpdates liderou a lista global de malware em setembro de 2024, afetando 7% das organizações, seguido pelo Androxgh0st com 6% e Formbook com 4%.
No Brasil, o AgentTesla ficou em primeiro lugar na lista de malwares, apresentando um impacto de 39% em setembro, seguido pelo Qbot com quase 12%.
Top 10 Malware Global
- FakeUpdates: Também conhecido como SocGholish, este downloader em JavaScript instala malwares adicionais, como GootLoader e Dridex.
- Androxgh0st: Um botnet que explora vulnerabilidades em várias plataformas, roubando dados confidenciais e utilizando arquivos Laravel.
- Formbook: Um infoStealer direcionado ao Windows, coletando credenciais e realizando captura de tela.
- Qbot: Um malware multifuncional que rouba credenciais e emprega técnicas avançadas para evitar detecção.
- AgentTesla: Um RAT avançado que monitora as entradas do teclado e exfiltra credenciais de softwares variados.
- Phorpiex: Uma botnet que distribui malware e promove campanhas de “sextorsão”.
- Vidar: Um ladrão de informações que coleta dados sensíveis e funciona como downloader de ransomware.
- NJRat: Um trojan que visa agências governamentais, capaz de capturar teclas digitadas e acessar a câmera da vítima.
- Glupteba: Uma botnet com habilidades de roubo de informações e um mecanismo de atualização em Bitcoin.
- AsyncRat: Um Trojan que coleta informações do sistema e permite ao atacante executar comandos remotamente.
Mais detalhes sobre a lista global de malwares podem ser encontrados no blog da Check Point Software.
Principais Vulnerabilidades Exploradas em Setembro
As três principais vulnerabilidades em setembro foram:
- Injeção de Comando sobre HTTP (CVE-2021-43936, CVE-2022-24086): Um ataque que permite a execução de código arbitrário em máquinas-alvo.
- Diretório Malicioso de Passagem em Servidores Web: Permite a divulgação de arquivos arbitrários em servidores vulneráveis.
- Execução Remota de Código via Cabeçalhos HTTP (CVE-2020-10826, CVE-2020-10827): Um ataque que utiliza cabeçalhos HTTP vulneráveis para executar código na máquina da vítima.
Principais Malwares Móveis em Setembro
- Joker: Um spyware Android que rouba mensagens SMS e informações de dispositivos, além de inscrever vítimas em serviços premium.
- Anubis: Um Trojan bancário para Android que evoluiu para incluir recursos de RAT e gravação de áudio.
- Hiddad: Um malware que reembala aplicativos legítimos e exibe anúncios, obtendo acesso a informações de segurança.
Setores Mais Atacados no Mundo e no Brasil
Em setembro de 2024, o setor de Educação/Pesquisa permaneceu como o mais atacado globalmente, seguido por Governo/Forças Armadas e Saúde. No Brasil, os setores mais visados foram:
- Comunicações;
- Governo/Forças Armadas;
- Saúde.
Principais Grupos de Ransomware
Os dados dos quase 200 “sites de vergonha” operados por grupos de ransomware destacam o RansomHub como o grupo mais ativo, responsável por 17% dos ataques, seguido pelo Play com 10% e Qilin com 5%.
- RansomHub: Uma operação RaaS que ganhou notoriedade por campanhas agressivas contra múltiplos sistemas.
- Play: Um ransomware que criptografa dados e exige resgates, visando empresas em várias regiões.
- Qilin: Um RaaS que colabora com afiliados para exfiltrar dados e exigir resgates, focando em setores de saúde e educação.
Principais Malwares de Setembro no Brasil
O AgentTesla continua a ser o malware mais prevalente no Brasil, com 38,21% de impacto. O Qbot segue em segundo lugar com 11,48% e o FakeUpdates em terceiro, com 8,46%.
O AgentTesla, ativo desde 2014, é um malware que rouba informações confidenciais e pode atuar como keylogger, capturando entradas de teclado e dados de segurança.