Investigadores de segurança da empresa de soluções de cibersegurança, Check Point, alertam para o regresso do Emotet ao primeiro lugar da lista mundial, com o Trickbot “destronado” após um longo período na posição cimeira. O ranking português segue a tendência, com o Emotet a impactar 11% das organizações portuguesas.
Passados apenas dois meses e meio após o seu regresso, o Emotet volta ao lugar de topo. O botnet é habitualmente disseminado através de e-mails de phishing que contêm anexos ou links maliciosos. O seu crescimento foi impulsionado pela prevalência do Trickbot entre as ameaças mais frequentes. O Trickbot funciona como catalisador e contribui para a disseminação do malware. Entretanto, o Dridex já não consta do top 10 de ameaças, tendo sido substituído pelo Lokibot, um InfoStealer utilizado para obter dados pessoais, como credenciais de e-mail, palavras-passe para wallets de CryptoCoin e servidores FTP.
“Não surpreende que o Emotet esteja de volta em grande forma. É um malware evasivo, é difícil de detetar, e utiliza múltiplos métodos para infetar redes, o que contribui ainda mais para o crescimento desta ameaça. É pouco provável que este seja um problema resolvido a curto prazo,” afirmou Maya Horowitz, VP Research at Check Point Software.
A especialista acrescentou: “Este mês, vimos também o Dridex desaparecer do top10 de ameaças e o Lokibot a reaparecer. O Lokibot aproveita-se das vítimas nos seus momentos mais frágeis, sendo distribuído através de e-mails de phishing muito bem escritos. Estas ameaças, juntamente com a batalha em curso com a vulnerabilidade do Log4j, sublinham a importância de contar com as melhores soluções de segurança de rede, cloud, mobile e endpoints de utilizador”.
A Check Point Research revelou que este mês a Saúde é o setor mais atacado em Portugal, seguido da Educação/Investigação e, em terceiro lugar, o setor Utilities. Na Europa, o top é liderado pelo setor da Educação/Investigação, seguido da Administração Pública/Setor Militar e as Comunicações. No mundo, o setor da Educação/Investigação mantém-se o mais atacado, seguido da Administração Pública/Setor Militar e do setor ISP/MSP.
A vulnerabilidade “Apache Log4j Remote Code Execution” é ainda a mais comumente explorada, com impacto global de 47.4% das organizações, seguida da “Web Server Exposed Git Repository Information Disclosure”, que impactou 45% das organizações do mundo. Em terceiro lugar, a “HTTP Headers Remote Code Execution”, com um impacto global de 42%.
Top malware families
Este mês, o Emotet é o malware mais perigoso do mundo, com um impacto de 6% das organizações do mundo. É seguido de perto pelo Trickbot, com um impacto de 4%, e pelo Formbook, com um impacto de 3%.
Também em Portugal a lista é liderada pelo Emotet, com um impacto nacional de 11%. Seguem-se o AgentTesla, um trojan de acesso remoto que funciona como keylogger e que em Portugal impactou 4% das organizações; e o XMRig, um software de mineração de criptomoeda com um impacto de 3%.
1.↑ Emotet – Trojan avançado, auto-propagador e modular. O Emotet já foi utilizado como Trojan bancário, mas recentemente é utilizado para distribuir malware e outras campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser disseminado através de e-mails de spam de phishing contendo anexos ou links maliciosos.
2.↓ Trickbot – Trojan bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.
3.↔ Formbook – Info Stealer que coleta credenciais de vários navegadores, capturas de ecrã, monitoriza e regista as teclas digitadas, podendo ainda fazer download e executar ficheiros de acordo com comandos C&C.
Indústrias mais atacadas em Portugal:
Este mês, o setor da Saúde foi o mais atacado em Portugal, seguido pela Educação/Investigação e, em terceiro, as Utilities.
1.Saúde
2.Educação/Investigação
3.Utilities
Indústrias mais atacadas na Europa:
Este mês, Educação/Investigação é o setor mais atacado a nível europeu, seguido pela Administração Pública/Indústria Militar e, em terceiro lugar, a indústria das Comunicações.
1.Educação/Investigação
2.Administração Pública/Indústria Militar
3.Comunicações
Indústrias mais atacadas no mundo:
Este mês, Educação/Investigação é o setor mais atacado globalmente, seguido pela Administração Pública/Indústria Militar e ISP/MSP.
1.Educação/Investigação
2.Administração Pública/Indústria Militar
3.ISP/MSP
Vulnerabilidades mais exploradas
Este mês, a “Apache Log4j Remote Code Execution” é a vulnerabilidade mais comumente explorada, afetando 47.4% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que afeta 45% das organizações em todo o mundo. “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 42%.
1.↔ Apache Log4j Remote Code Execution (CVE-2021-44228) – Vulnerabilidade que permite a execução remota de código presente no Apache Log4j. A exploração bem-sucedida desta vulnerabilidade permitirá um atacante remoto executar código arbitrariamente no sistema infetado.
2.↔ Web Server Exposed Git Repository Information Disclosure – Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.
3.↔HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um Header HTTP vulnerável para correr qualquer código no dispositivo da vítima.
Principais malwares móveis
Este mês, o xHelper fica em primeiro lugar na lista de malware móveis mais prevalentes, seguido pelo AlienBot e pelo FluBot.
1.xHelper – Aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, utilizada para descarregar aplicações maliciosas e exibir anúncios. A aplicação é capaz de se esconder do utilizador, podendo reinstalar-se no caso do utilizador a desinstalar.
2.AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite um atacante remoto injetar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla o dispositivo.
3.FluBot – Botnet para Android distribuído via mensagens SMS de phishing que imitam marcas de logística e entregas. Assim que o utilizador clica no link enviado, o FluBot é instalado e tem acesso a todas as informações sensíveis do telemóvel.
O Índice de Impacto Global de Ameaças e o ThreatCloud Map da Check Point Software são proporcionados pela inteligência da ThreatCloud. A ThreatCloud fornece threat inteligence em tempo real derivada de centenas de milhões de sensores em todo o mundo, sobre redes, endpoints e dispositivos móveis. A inteligência é enriquecida por mecanismos IA e dados de investigação exclusivos da Check Point Research, área de Threat Intelligence da Check Point Software Technologies.
