A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, publicou o Índice Global de Ameaças referente a março de 2024. No mês passado, os pesquisadores revelaram que hackers estavam utilizando arquivos de disco rígido virtual (VHD) para implantar Remcos, um Trojan de acesso remoto (RAT). Além disto, o Lockbit3 permaneceu como o grupo de ransomware mais prevalente em março, apesar da remoção pelas autoridades em fevereiro, e embora sua frequência nos 200 “sites da vergonha” (“shame sites”) de ransomware monitorados pela CPR tenha reduzido de 20% para 12%.
O Remcos é um malware conhecido desde 2016. Esta última campanha contorna medidas de segurança comuns para dar aos cibercriminosos acesso não autorizado aos dispositivos das vítimas. Apesar de suas origens legais para gerenciar remotamente sistemas Windows, os cibercriminosos logo começaram a capitalizar a capacidade da ferramenta de infectar dispositivos, capturar telas, registrar pressionamentos de teclas e transmitir dados coletados para servidores host designados.
Este RAT possui ainda uma função de envio de mala direta que pode realizar campanhas de distribuição e, em geral, suas diversas funções podem ser usadas para criar botnets. No mês passado, subiu para a quarta posição na lista global e nacional dos principais malwares, em relação ao sexto lugar ocupado em fevereiro.
“A evolução das táticas de ataque destaca o avanço incessante das estratégias cibercriminosas”, comenta Maya Horowitz, vice-presidente de pesquisa da Check Point Software. “Isso ressalta a necessidade das organizações priorizarem medidas proativas. Ao permanecermos vigilantes, implantarmos uma proteção robusta de endpoints e promovermos uma cultura de conscientização sobre segurança cibernética, podemos fortalecer coletivamente nossas defesas contra as ameaças cibernéticas em evolução”.
Em relação ao índice de ransomware, a Check Point Research destacou insights de administração realizada por grupos de ransomware de dupla extorsão que publicaram informações das vítimas. O Lockbit3 mais uma vez lidera o ranking com 12% dos ataques publicados, seguido por Play com 10% e Blackbasta com 9%. Ao ingressar pela primeira vez entre os três primeiros da lista de ransomware, o Blackbasta assumiu a responsabilidade por um recente ataque cibernético ao Scullion Law, um escritório de advocacia escocês.
Quanto às vulnerabilidades, no mês passado, a mais explorada foi a “Web Servers Malicious URL Directory Traversal”, afetando 50% das organizações ao nível mundial, seguida de “Command Injection Over HTTP” com 48% de impacto e “HTTP Headers Remote Code Execution” com 43% de impacto.
Principais famílias de malware
O FakeUpdates foi o malware mais prevalente em março de 2024 (manteve a liderança desde fevereiro), com um impacto de 6% nas organizações mundiais, seguido do Qbot com um impacto global de 3% e do Formbook, com um impacto global de 2%. O Qbot preserva sua liderança do ranking no Brasil em março com impacto nacional de cerca de 8%, quase três vezes mais que o impacto global.
O Qbot, ou Qakbot, é um cavalo de Troia bancário que apareceu pela primeira vez em 2008, projetado para roubar as credenciais bancárias e as teclas digitadas do usuário. Geralmente é distribuído por e-mails de spam e emprega várias técnicas antiVM, antidepuração e antisandbox para dificultar a análise e evitar a detecção. A partir de 2022, emergiu como um dos Trojans mais prevalentes.
O Fakeupdates (também conhecido como SocGholish), por outro lado, é um downloader escrito em JavaScript. Ele grava as cargas no disco antes de iniciá-las. FakeUpdates levou a comprometimentos adicionais por meio de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
Por fim, o Formbook é um infoStealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta credenciais de vários navegadores da Web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu C&C (Comando & Controle).
Principais vulnerabilidades exploradas
Em março, a vulnerabilidade “Web Servers Malicious URL Directory Traversal” foi a mais explorada, afetando 50% das organizações ao nível mundial, seguida pela “Command Injection Over HTTP” com 48% e da “HTTP Headers Remote Code Execution” com 43%.
Web Servers Malicious URL Directory Traversal: Há uma vulnerabilidade de passagem de diretório em diferentes servidores da Web. A vulnerabilidade ocorre devido a um erro de validação de entrada em um servidor da Web que não higieniza adequadamente o URI para os padrões de passagem de diretório. Uma exploração bem-sucedida permite que invasores remotos não autenticados divulguem ou acessem arquivos arbitrários no servidor vulnerável.
Os CVEs relativos a essa vulnerabilidade são: CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260.
Command Injection Over HTTP: Foi relatada uma vulnerabilidade de injeção de comando sobre HTTP. Um invasor remoto pode explorar esse problema enviando uma solicitação especialmente criada para a vítima. Uma exploração bem-sucedida permitiria que um invasor executasse um código arbitrário no computador de destino.
Os CVEs relativos a essa vulnerabilidade são: CVE-2021-43936 e CVE-2022-24086.
HTTP Headers Remote Code Execution: Os cabeçalhos HTTP permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um cabeçalho HTTP vulnerável para executar um código arbitrário na máquina da vítima.
Os CVEs relativos a essa vulnerabilidade são: CVE-2020-10826,CVE-2020-10827,CVE-2020-10828 e CVE-2020-13756
Principais malwares móveis
No mês passado, o Anubis manteve-se em primeiro lugar como o malware móvel mais prevalecente, seguido do AhMyth e do Cerberus. O Anubis é um malware de Trojan bancário projetado para telefones celulares Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade de Trojan de Acesso Remoto (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Ele foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.
Já o AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído por meio de aplicativos Android que podem ser encontradas em lojas de apps e vários sites. Quando um usuário instala um destes aplicativos infectados, o malware pode recolher informações sensíveis do dispositivo e realizar ações como o registo de teclas, tirar capturas de tela, enviar mensagens SMS e ativar a câmara, que é normalmente utilizada para roubar informações sensíveis.
Por fim, visto pela primeira vez em junho de 2019, o Cerberus é um Trojan de acesso remoto (RAT) com funções específicas de sobreposição de tela bancária para dispositivos Android. A Cerberus opera em um modelo de Malware como Serviço (MaaS), substituindo Anubis e Exobot. Seus recursos incluem controle de SMS, registro de teclas, gravação de áudio, rastreador de localização, entre outros.
Principais setores atacados no mundo e no Brasil
Em março de 2024, a Educação/Pesquisa prosseguiu como o setor mais atacado mundialmente, seguido pelo Governo/Forças Armadas e pelas Comunicações. Já no Brasil, os três setores no ranking nacional mais visados por ciberataques durante o mês de março foram Comunicações, Saúde e Transportes.
Principais grupos de ransomware
Esta seção apresenta informações derivadas de quase 200 “sites de vergonha” de ransomware, operados por grupos de ransomware de dupla extorsão. Os cibercriminosos utilizam estes sites para aumentar a pressão sobre as vítimas que não pagam o resgate imediatamente. Os dados destes “sites da vergonha” têm as suas próprias tendências, mas ainda assim fornecem informações importantes sobre o ecossistema do ransomware, que é atualmente o risco número um às organizações.
O LockBit3 foi o grupo de ransomware mais prevalente no mês passado, responsável por 12% dos ataques publicados, seguido pelo Play com 10% e Blackbasta com 9%. O LockBit3 é um ransomware que opera em um modelo RaaS e foi relatado pela primeira vez em setembro de 2019. O LockBit3 tem como alvo grandes empresas e entidades governamentais de vários países e não tem como alvo indivíduos na Rússia ou na Comunidade de Estados Independentes.
O Play, por outro lado, é o nome de um programa do tipo ransomware. O malware classificado como tal opera criptografando dados e exigindo resgates para a descriptografia. Finalmente, o ransomware BlackBasta foi observado pela primeira vez em 2022 e opera como ransomware como serviço (RaaS). Os agentes de ameaças por trás dele têm como alvo principalmente organizações e indivíduos, explorando vulnerabilidades de RDP (Remote Desktop Protocol) e e-mails de phishing para entregar o ransomware.
Os principais malwares de março no Brasil
No mês passado, o ranking de ameaças do Brasil contou com o Qbot não largando a liderança do ranking (já indicada desde janeiro deste ano) com impacto de 7,93%; em segundo lugar, o cavalo de Troia AsyncRat cujo impacto foi de 3,29%; enquanto o NJRat também manteve seu terceiro lugar (como em fevereiro) com impacto de 3,23%.