Ransomware LockBit Black conta com avalanche de phishing, alerta pesquisa mensal

Pesquisadores da Check Point Research identificaram uma campanha com o botnet Phorpiex sendo usado para espalhar ransomware através de milhões de e-mails de phishing; enquanto isso, o malware FakeUpdates manteve-se na liderança do ranking do Brasil com impacto de 12%

Compartilhar:

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, publicou o Índice Global de Ameaças referente a maio de 2024. No mês passado, pesquisadores descobriram uma campanha de malspam orquestrada pelo botnet Phorpiex. Os milhões de e-mails de phishing enviados continham LockBit Black – baseado no LockBit3, mas não afiliado ao grupo de ransomware.

 

Os operadores originais do botnet Phorpiex encerraram suas atividades e venderam o código-fonte em agosto de 2021. No entanto, em dezembro de 2021, a Check Point Research (CPR) descobriu que este malware havia ressurgido como uma nova variante chamada “Twizt”, operando em um modelo descentralizado peer-to-peer.

 

Em abril deste ano, a célula de integração de segurança cibernética e comunicações (New Jersey Cybersecurity and Communications Integration Cell – NJCCIC) de Nova Jersey, nos Estados Unidos, encontrou evidências de que o botnet Phorpiex, que aparece em sexto lugar no índice de Top Malware do mês passado, estava sendo usado para enviar milhões de e-mails de phishing como parte de uma campanha de ransomware LockBit3.

 

Esses e-mails continham anexos ZIP que, quando os arquivos [.]doc[.]scr falsos eram executados, desencadeavam o processo de criptografia do ransomware. A campanha usou mais de 1.500 endereços IP únicos, principalmente do Cazaquistão, Uzbequistão, Irã, Rússia e China.

 

Com relação ao outro destaque de maio apontado pela equipe da CPR, os pesquisadores destacaram por meio do Check Point Index os insights de “sites de vergonha” administrados por grupos de ransomware de dupla extorsão que publicam informações de vítimas para pressionar alvos não pagantes.

 

Em maio passado, o grupo de ransomware como serviço (RaaS), o LockBit3, reafirmou seu domínio, sendo responsável por 33% dos ataques publicados, após uma breve pausa depois de uma operação global de autoridades policiais. O LockBit3 foi seguido pelos grupo de ransomware Inc. Ransom com 7% e pelo Play com uma taxa de detecção de 5%.

 

O Inc. Ransom recentemente reivindicou a responsabilidade por um grande incidente cibernético que interrompeu serviços públicos no Conselho da Cidade de Leicester, no Reino Unido, supostamente roubando mais de 3 terabytes de dados e causando uma paralisação generalizada do sistema.

 

“Embora as autoridades policiais tenham conseguido temporariamente interromper o grupo cibernético LockBit3 ao expor um de seus líderes e afiliados, além de liberar mais de 7.000 chaves de descriptografia LockBit, isso ainda não é suficiente para uma eliminação completa da ameaça. Não é surpreendente vê-los se reorganizar e implantar novas táticas para continuar suas atividades”, comenta Maya Horowitz, vice-presidente de pesquisa da Check Point Software.

 

“O ransomware é um dos métodos de ataque mais disruptivos empregados por cibercriminosos. Uma vez que eles infiltram a rede e extraem informações, as opções são limitadas para o alvo, especialmente se não puderem pagar as demandas de resgate. É por isso que as organizações devem estar atentas aos riscos e priorizar medidas preventivas.”

 

Principais famílias de malware

O FakeUpdates foi o malware mais prevalente na lista global em maio de 2024 com um impacto de 7% nas organizações mundiais, seguido pelo Androxgh0st com um impacto global de 5% e do Qbot com um impacto global de 3%.

 

Também conhecido como SocGholish, o FakeUpdates é um downloader escrito em JavaScript. Ele grava as cargas no disco antes de iniciá-las. FakeUpdates levou a comprometimentos adicionais por meio de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.

 

Já o Androxgh0st é um botnet direcionado às plataformas Windows, Mac e Linux. Para a infecção inicial, o Androxgh0st explora múltiplas vulnerabilidades, visando especificamente o PHPUnit, o Laravel Framework e o Apache Web Server. O malware rouba informações confidenciais, como dados da conta Twilio, credenciais SMTP, chave AWS, entre outros. Ele usa arquivos Laravel para coletar as informações necessárias. Possui diferentes variantes que procuram informações diferentes.

 

Por fim, o Qbot, ou Qakbot, é um cavalo de Troia bancário que apareceu pela primeira vez em 2008, projetado para roubar as credenciais bancárias e as teclas digitadas do usuário. Geralmente é distribuído por e-mails de spam e emprega várias técnicas antiVM, antidepuração e antisandbox para dificultar a análise e evitar a detecção. A partir de 2022, emergiu como um dos Trojans mais prevalentes.

 

Principais vulnerabilidades exploradas

Quanto às vulnerabilidades, em maio de 2024, a “Command Injection Over HTTP” foi a vulnerabilidade mais explorada, impactando 50% das organizações globalmente, seguida por “Web Servers Malicious URL Directory Traversal” com 47% e “Apache Log4j Remote Code Execution” com 46%.

 

Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086): Foi relatada uma vulnerabilidade de injeção de comando sobre HTTP. Um atacante remoto pode explorar esse problema enviando uma solicitação especialmente criada para a vítima. Uma exploração bem-sucedida permitiria que um invasor executasse um código arbitrário no computador de destino.

 

Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260): Há uma vulnerabilidade de passagem de diretório em diferentes servidores da Web. A vulnerabilidade ocorre devido a um erro de validação de entrada em um servidor da Web que não higieniza adequadamente o URI para os padrões de passagem de diretório. Uma exploração bem-sucedida permite que invasores remotos não autenticados divulguem ou acessem arquivos arbitrários no servidor vulnerável.

 

Apache Log4j Remote Code Execution (CVE-2021-44228): Existe uma vulnerabilidade de execução remota de código no Apache Log4j. A exploração bem-sucedida desta vulnerabilidade poderia permitir que um atacante remoto executasse código arbitrário no sistema afetado.

 

Principais malwares móveis

 

No mês passado, o Anubis manteve-se em primeiro lugar como o malware móvel mais prevalente, seguido por AhMyth e Hydra. Este primeiro é um malware de Trojan bancário projetado para telefones celulares Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade de Trojan de Acesso Remoto (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Ele foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.

 

Já o AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicativos Android que podem ser encontradas em lojas de apps e vários sites. Quando um usuário instala um destes aplicativos infectados, o malware pode recolher informações sensíveis do dispositivo e realizar ações como o registo de teclas, tirar capturas de tela, enviar mensagens SMS e ativar a câmara, que é normalmente utilizada para roubar informações sensíveis.

 

Por fim, a Hydra é um trojan bancário projetado para roubar credenciais bancárias solicitando que as vítimas habilitem permissões perigosas e acessos cada vez que entrarem em qualquer aplicativo bancário.

 

Em maio de 2024, a Educação/Pesquisa prosseguiu como o setor mais atacado a nível mundial, seguido pelo Governo/Forças Armadas e pela Comunicação. No Brasil, os três setores no ranking nacional mais visados por ciberataques durante o mês de maio foram Comunicações, Transportes e Governo/Forças Armadas.

 

Principais grupos de ransomware

 

Esta seção da pesquisa apresenta informações derivadas de quase 200 “sites de vergonha” de ransomware operados por grupos de ransomware de dupla extorsão. Os cibercriminosos utilizam estes sites para aumentar a pressão sobre as vítimas que não pagam o resgate imediatamente.

 

Os dados destes “sites da vergonha” têm as suas próprias tendências, mas ainda assim fornecem informações importantes sobre o ecossistema do ransomware, que é atualmente o risco número um às organizações.

 

No mês passado, o LockBit3 foi o grupo de ransomware mais prevalente, responsável por 33% dos ataques publicados, seguido pelo Inc. Ransom com 7% e pelo Play com 5%. O LockBit3 é um ransomware que opera em um modelo RaaS e foi relatado pela primeira vez em setembro de 2019. Ele tem como alvo grandes empresas e entidades governamentais de vários países e não tem como alvo indivíduos na Rússia ou na Comunidade de Estados Independentes.

 

Já o Inc. Ransom é uma operação de extorsão de ransomware que surgiu em julho de 2023, realizando ataques de spear-phishing e mirando em serviços vulneráveis. Os principais alvos do grupo são organizações na América do Norte e Europa em múltiplos setores, incluindo saúde, educação e governo. As cargas úteis (payloads) de ransomware do Inc. Ransom suportam vários argumentos de linha de comando e usam criptografia parcial com uma abordagem multi-threading (modelo de execução em massa de várias threads – número de tarefas que uma thread é capaz de executar por vez em um mesmo processo).

 

Por fim, o Play é o nome de um programa do tipo ransomware. O malware classificado como tal opera criptografando dados e exigindo resgates para a descriptografia.

 

Principais malwares de maio no Brasil

No mês passado, o ranking de ameaças do Brasil contou com o FakeUpdates na liderança do ranking pelo segundo mês consecutivo com impacto de 12,10% (cerca de o dobro do impacto global de 6%). O segundo e o terceiro lugares se alternaram em maio em que o Androxgh0st subiu para o segundo com impacto de 8,30% às organizações no país, e o Qbot ocupou o terceiro lugar cujo impacto foi de 7,55%.

 

O downloader FakeUpdates é um dos carregadores de malware mais populares entre os cibercriminosos. Escrito em JavaScript, a estrutura de distribuição de malware implanta sites comprometidos para induzir os usuários a executar atualizações falsas do navegador.

 

Conteúdos Relacionados

Security Report | Overview

Pesquisa aponta uso de CAPTCHAs falsos para roubar dados de brasileiros

ISH Tecnologia traz detalhes da campanha que, executada, dá acesso irrestrito às máquinas das vítimas
Security Report | Overview

Black Friday: como recuperar o ambiente digital em casos de incidentes?

Sinônimo de grandes promoções, a Black Friday entrou definitivamente para o calendário do varejo brasileiro. No entanto, o aumento significativo...
Security Report | Overview

Senhas fáceis são as mais usadas no Brasil, revela análise

Segundo análise da NordPass, a mais usada nacionalmente é "123456". Netizens e empregados corporativos seguem utilizando as mesmas senhas em...
Security Report | Overview

Golpes em plataformas de hospedagem miram roubo de dados bancários

A ESET identificou o Telekopye, um kit de ferramentas que opera como um bot do Telegram entre golpistas, visando plataformas...