A Check Point Research (CPR) publicou o Índice Global de Ameaças referente a junho de 2024. No mês passado, pesquisadores notaram uma mudança no cenário do Ransomware como Serviço (RaaS), com o relativamente recém-chegado RansomHub desbancando o LockBit3 para se tornar o grupo mais prevalente de acordo com “sites de vergonha” (shame sites) divulgados. Enquanto isso, um backdoor do Windows chamado BadSpace foi identificado, envolvendo sites WordPress infectados e atualizações falsas de navegador.
Em junho deste ano, o RansomHub se tornou o grupo RaaS mais prevalente depois que as ações de autoridades policiais contra o LockBit3, em fevereiro passado, fizeram com que este grupo perdesse a “lealdade” entre seus afiliados. Como resultado, o LockBit3 relatou um mínimo recorde de apenas 27 vítimas em abril, seguido por um número elevado inexplicável em maio de mais de 170 e menos de 20 vítimas em junho, sinalizando o seu potencial declínio.
Muitas afiliadas do LockBit3, agora, usam criptografadores de outros grupos RaaS, levando a um aumento de relatos de vítimas por outros atacantes. O RansomHub, que surgiu pela primeira vez em fevereiro de 2024 e é supostamente uma reencarnação do ransomware Knight, teve um aumento significativo em junho com quase 80 novas vítimas. Notavelmente, apenas 25% das vítimas publicadas são dos Estados Unidos, com números significativos do Brasil, Itália, Espanha e Reino Unido.
“Parece que as ações contra o LockBit3 tiveram o impacto desejado. No entanto, como sugerido anteriormente, o seu declínio apenas abre caminho para que outros grupos assumam o controle e continuem as suas campanhas de ransomware contra organizações a nível global”, analisa Maya Horowitz, vice-presidente de pesquisa da Check Point Software.
Nas demais análises do cenário de ciberataque em junho, os pesquisadores destacaram uma recente campanha FakeUpdates (também conhecida como SocGholish), que foi classificada como o malware mais prevalente, agora distribuindo um novo backdoor chamado BadSpace. A proliferação do FakeUpdates foi facilitada por meio de uma rede afiliada de terceiros, a qual redireciona o tráfego de sites comprometidos para páginas de destino do FakeUpdates.
Essas páginas solicitam que os usuários baixem o que parece ser uma atualização do navegador. No entanto, este download, na verdade, contém um carregador baseado em JScript que posteriormente baixa e executa o backdoor do BadSpace. O BadSpace emprega técnicas sofisticadas de ocultação e antisandbox para evitar a detecção e manter a persistência por meio de tarefas agendadas. Sua comunicação de comando e controle (C&C) é criptografada, dificultando sua interceptação.
Principais grupos de ransomware
Esta seção apresenta informações derivadas de quase 200 “sites de vergonha” de ransomware, operados por grupos de dupla extorsão. Os cibercriminosos utilizam estes sites para aumentar a pressão sobre as vítimas que não pagam o resgate imediatamente.
Os dados destes “sites da vergonha” têm as suas próprias tendências, mas ainda assim fornecem informações importantes sobre o ecossistema do ransomware, que é atualmente o risco número um às organizações.
No mês passado, o RansomHub foi o grupo de ransomware mais prevalente responsável por 21% dos ataques publicados, seguido pelo Play com 8% e Akira com 5%.
1.RansomHub – RansomHub é uma operação Ransomware-as-a-Service (RaaS) que surgiu como uma versão renomeada do anteriormente conhecido ransomware Knight. Aparecendo com destaque no início de 2024 em fóruns clandestinos de crimes cibernéticos, o RansomHub rapidamente ganhou notoriedade por suas campanhas agressivas direcionadas a vários sistemas, incluindo Windows, macOS, Linux e, particularmente, ambientes VMware ESXi. Este malware é conhecido por empregar métodos de criptografia sofisticados.
2.Play – Play é o nome de um programa do tipo ransomware. O malware classificado como tal opera criptografando dados e exigindo resgates para a descriptografia. Play Ransomware, também conhecido como PlayCrypt, é um ransomware que surgiu pela primeira vez em junho de 2022.
Este ransomware teve como alvo um amplo espectro de empresas e infraestruturas críticas na América do Norte, América do Sul e Europa, afetando aproximadamente 300 entidades até outubro de 2023. O Play Ransomware normalmente obtém acesso às redes por meio de contas válidas comprometidas ou explorando vulnerabilidades não corrigidas, como as das VPNs SSL da Fortinet. Uma vez lá dentro, ele emprega técnicas como o uso de binários living-off-the-land (LOLBins) para tarefas como exfiltração de dados e roubo de credenciais.
3.Akira – Akira Ransomware, relatado pela primeira vez no início de 2023, tem como alvo sistemas Windows e Linux. Ele usa criptografia simétrica com CryptGenRandom() e Chacha 2008 para criptografia de arquivos e é semelhante ao ransomware Conti v2 que vazou. O Akira é distribuído por vários meios, incluindo anexos de e-mail infectados e explorações em endpoints VPN. Após a infecção, encripta os dados e anexa uma extensão “[.]akira” aos nomes dos arquivos e, em seguida, apresenta uma nota de resgate exigindo pagamento por desencriptar.
Principais famílias de malware
O FakeUpdates foi o malware mais prevalente na lista global em junho de 2024 com um impacto de 7% nas organizações mundiais, seguido pelo Androxgh0st com um impacto global de 6% e do AgentTesla com um impacto global de 3%.
Top 3 global
FakeUpdates – FakeUpdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Ele grava as cargas no disco antes de iniciá-las. FakeUpdates levou a comprometimentos adicionais por meio de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
Androxgh0st – Androxgh0st é um botnet direcionado às plataformas Windows, Mac e Linux. Para a infecção inicial, o Androxgh0st explora múltiplas vulnerabilidades, visando especificamente o PHPUnit, o Laravel Framework e o Apache Web Server. O malware rouba informações confidenciais, como dados da conta Twilio, credenciais SMTP, chave AWS, entre outros. Ele usa arquivos Laravel para coletar as informações necessárias. Possui diferentes variantes que procuram informações diferentes.
AgentTesla – AgentTesla é um RAT avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar as entradas do teclado da vítima, do teclado do sistema, tirar capturas de tela e exfiltrar credenciais para uma variedade de softwares instalados na máquina da vítima (incluindo Google Chrome, Mozilla Firefox e o cliente de e-mail Microsoft Outlook).
Principais vulnerabilidades
Check Point VPN Information Disclosure (CVE-2024-24919) – Uma vulnerabilidade de divulgação de informações foi descoberta no Check Point VPN. A vulnerabilidade permite potencialmente que um atacante leia determinadas informações em gateways conectados à Internet com VPN de acesso remoto ou acesso móvel habilitado.
Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Há uma vulnerabilidade de passagem de diretório em diferentes servidores da Web. A vulnerabilidade ocorre devido a um erro de validação de entrada em um servidor da Web que não higieniza adequadamente o URI para os padrões de passagem de diretório. Uma exploração bem-sucedida permite que invasores remotos não autenticados divulguem ou acessem arquivos arbitrários no servidor vulnerável.
HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) – Os cabeçalhos HTTP permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um cabeçalho HTTP vulnerável para executar um código arbitrário na máquina da vítima.
Principais malwares móveis
Joker – É um spyware Android no Google Play, projetado para roubar mensagens SMS, listas de contatos e informações de dispositivos. Além disso, o malware contrata a vítima silenciosamente para serviços premium em sites de publicidade.
Anubis – O Anubis é um malware de Trojan bancário projetado para telefones celulares Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade de Trojan de Acesso Remoto (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Ele foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.
AhMyth – AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicativos Android que podem ser encontradas em lojas de apps e vários sites. Quando um usuário instala um destes aplicativos infectados, o malware pode recolher informações sensíveis do dispositivo e realizar ações como o registo de teclas, tirar capturas de tela, enviar mensagens SMS e ativar a câmara, que é normalmente utilizada para roubar informações sensíveis.
Setores mais atacados
Em junho de 2024, a Educação/Pesquisa prosseguiu como o setor mais atacado mundialmente, seguido pelo Governo/Forças Armadas e pela Saúde. No Brasil, os três setores no ranking nacional mais visados por ciberataques durante o mês de junho foram Comunicações, Governo/Forças Armadas e Saúde.
No mês passado, o ranking de ameaças do Brasil contou com o AgentTesla na liderança do ranking nacional com impacto de 36,62% (cerca de dez vezes mais que o impacto global de 3,47%). O segundo malware que mais impactou foi o Qbot com impacto de 9,55% às organizações no país, e o FakeUpdates ocupou o terceiro lugar cujo impacto foi de 7,71%.