O malware trojan Emotet ocupa o primeiro lugar da lista dos malwares com um impacto global de 7% das organizações, indicaram os investigadores da Check Point. A disseminação do malware resultou de uma campanha de spam que, durante o período de férias, em 2020, vitimou mais de 100,000 utilizadores por dia. Em Portugal, o trojan foi responsável por impactar 25% das organizações portuguesas.
Em setembro e outubro de 2020, o Emotet esteve consistentemente no topo do Índice Global de Ameaças, estando na origem de uma onda de ataques de ransomware. Em novembro foi menos prevalente, descendo até ao quinto lugar. Os investigadores da Check Point indicaram que o Emotet está agora atualizado com novas variantes maliciosas e melhores capacidades de fuga à deteção. Além disso, a nova campanha maliciosa recorre a diferentes técnicas de disseminação, incluindo links incorporados, documentos anexados ou ficheiros Zip protegidos por palavras-passe.
O Emotet foi identificado pela primeira vez em 2014 e tem sido atualizado regularmente pelos seus programadores, no sentido de manter a sua eficácia. O Departamento de Segurança Nacional dos Estados Unidos estimou que cada um dos incidentes envolvendo o Emotet custa às organizações mais de 1 milhão de dólares para corrigir os estragos.
“O Emotet foi desenvolvido originalmente como malware bancário que entrava nos computadores dos utilizadores para roubar informações privadas e sensíveis. Entretanto, foi evoluindo ao longo de tempo, afirmando-se, agora, como uma das variantes de malware mais destrutivas e onerosas,” afirmou Maya Horowitz, Director, Threat Intelligence & Research, Products da Check Point.
A especialista acrescentou: “É imperativo que as organizações estejam conscientes da ameaça que o Emotet representa, assegurando que contam com sistemas de segurança robustos e capazes de prevenir o roubo de dados. Devem, além disso, oferecer aos seus colaboradores uma formação extensiva que lhes permita identificar os tipos de e-mails maliciosos que disseminam Emotet.”
A equipa de investigação alerta ainda para o “MVPower DVR Remote Code Execution”, a vulnerabilidade explorada mais frequentemente, impactando 42% das organizações a nível global, e para o HTTP Headers Remote Code Execution (CVE-2020-13756)”, igualmente com um impacto de 42% nas organizações a nível global.
Top de famílias malware de dezembro em Portugal
Em dezembro de 2020 o Emotet manteve-se como o malware mais popular, com um impacto global de 7% das organizações, seguido de perto pelo Trickbot e o Formbook, cada um responsável por impactar 4% das organizações a nível global. Em Portugal, o Emotet impactou 25% das organizações. Seguiu-se o Dridex e o XMRig, responsáveis por impactar 11% e 7% das organizações a nível nacional, respetivamente.
1. ↑ Emotet – Troiano modular e de autopropagação. O Emotet costumava ser usado como um troiano bancário e evoluiu para distribuidor de outros malwares ou de campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser espalhado através de e-mails de spam de phishing contendo anexos ou links maliciosos.
2. ↑ Trickbot – O Trickbot é um troiano bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.
3.↑ Formbook – Formbook é um Info Stealer que coleta credenciais de vários navegadores, capturas de ecrã, monitoriza e regista as teclas digitadas, podendo ainda fazer download e executar ficheiros de acordo com comandos C&C.
Nota: As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior.
Top de vulnerabilidades exploradas
Em dezembro, o “MVPower DVR Remote Code Execution” foi a vulnerabilidade mais explorada, com um impacto de 42% das organizações a nível global, seguido do “HTTP Headers Remote Code Execution (CVE-2020-13756)”, também responsável por um impacto global de 42%. Em terceiro lugar e com um impacto global de 41% encontra-se o “Web Server Exposed Git Repository Information Disclosure”.
1.↑ MVPower DVR Remote Code Execution – Uma vulnerabilidade na execução remota de código nos dispositivos MVPower DVR. Um atacante pode explorar remotamente esta fraqueza para executar um código arbitrário no router afetado por meio de um pedido de solicitação de acesso.
2.↓ HTTP Headers Remote Code Execution (CVE-2020-13756) – o HTTP Headers permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um HTTP Header vulnerável para correr qualquer código no dispositivo da vítima.
3.↑ Web Server Exposed Git Repository Information Disclosure – Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.
Top de famílias malware em dispositivos móveis
Este mês, o Hiddad está na primeira posição, como o malware móvel mais prevalente, seguido pelo xHelper e o Triada.
1.Hiddad – o Hiddad é um malware Android que reutiliza apps legítimas, lançando-as em lojas de terceiros. A sua principal função é a exibição de anúncios, mas pode também conceder acesso a detalhes chave de segurança do Sistema Operativo.
2.xHelper – É uma aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, em que é usada para descarregar aplicações maliciosas e exibir anúncios fraudulentos. A aplicação é capaz de se esconder dos programas de antivírus móveis e do utilizador, sendo capaz de se reinstalar no caso do utilizador o desinstalar.
3.Triada – um Backdoor modular para Android que concede ao agente malicioso a possibilidade de fazer download de malware.
O Índice de Impacto Global de Ameaças da Check Point eo ThreatCloud Map baseiam a sua informação no ThreatCloud da Check Point, a maior rede colaborativa de luta contra o cibercrime, que disponibiliza informação e tendências sobre ciberataques através de uma rede global de sensores de ameaças. A base de dados do ThreatCloud inclui mais de 2,5 mil milhões de websites e 500 milhões de ficheiros diariamente, identificando mais de 250 milhões de atividades de malware diariamente.
