A Check Point divulgou seu relatório global sobre “Tendências dos Ciberataques: Primeiro Semestre de 2020”, o qual aponta como cibercriminosos e grupos de ciberameaças políticas e de Estado-nação exploraram a pandemia da COVID-19, bem como temas relacionados, para atingir organizações em todos os setores da economia, incluindo governos, indústria, assistência médica, provedores de serviços, infraestruturas críticas e consumidores.
Os ataques de phishing e malware relacionados à COVID-19 no mundo cresceram drasticamente de menos de 5 mil por semana em fevereiro para mais de 200 mil por semana no final de abril. Além disso, em maio e junho, quando alguns países começaram a diminuir os bloqueios, os atacantes também aumentaram suas explorações não relacionadas à COVID-19, resultando em um aumento de 34% em todos os tipos de ciberataques globais no final de junho em comparação a março e abril.
As principais tendências apontadas pelos pesquisadores da Check Point no relatório referem-se a:
• Cresce a ciberguerra: os ciberataques de Estado-nação aumentaram em intensidade e severidade no primeiro semestre, uma vez que procuravam reunir informações ou interromper o controle da situação da pandemia por seus rivais. Isso se estendeu a organizações de saúde e humanitárias, como a OMS que relatou um aumento de 500% em número de ataques sofridos.
• Ataques de dupla extorsão: em 2020, uma nova forma de ataque de ransomware tornou-se amplamente utilizada, na qual os atacantes extraem grandes quantidades de dados antes de criptografá-los. Em seguida, os cibercriminosos ameaçaram suas vítimas com o vazamento dos dados caso elas se recusassem a pagar o valor do resgate para recuperação dessas informações, pressionando-as a atenderem às suas demandas.
• Explorações (exploits) de vulnerabilidades em dispositivos móveis: os cibercriminosos buscaram por novos vetores de infecção de dispositivos móveis, aprimoraram suas técnicas para contornar as medidas de segurança e colocaram aplicativos maliciosos nas lojas oficiais de aplicativos. Em outro ataque inovador no primeiro semestre, os cibercriminosos usaram o sistema MDM (Mobile Device Management) de uma corporação internacional para distribuir malware a mais de 75% de seus dispositivos móveis gerenciados.
• Exposição a riscos na nuvem: a rápida migração para nuvens públicas, ocorrida durante a pandemia, levou a um aumento de ataques direcionados a cargas de trabalho (workloads) e a dados críticos armazenados na nuvem. Os cibercriminosos também estão usando a infraestrutura de nuvem das empresas para armazenar payloads maliciosos que usam em seus ataques de malware. Em janeiro, os pesquisadores da Check Point encontraram uma primeira vulnerabilidade crítica do setor no ambiente Microsoft Azure que permitiria aos cibercriminosos comprometer os dados e aplicativos de outros usuários do Azure, mostrando que as nuvens públicas não estão totalmente seguras.
“A resposta global à pandemia transformou e acelerou os padrões de ciberataques criminosos durante o primeiro semestre deste ano, explorando os temores em torno da COVID-19 como gancho para suas campanhas de ataques. Também vimos novos e emergentes vetores de ataque e vulnerabilidades que ameaçam a segurança das organizações em todos os setores”, afirma Maya Horowitz, diretora do Grupo de Inteligência e Pesquisa de Ameaças e Produtos da Check Point. “Os especialistas em segurança precisam estar cientes dessas ameaças em rápida evolução para garantir que suas organizações tenham o mais alto nível de proteção possível durante os próximos meses de 2020.”
As variantes de malware mais comuns durante o primeiro semestre de 2020 foram:
Principais malwares
• Emotet (impactando 9% das organizações em todo o mundo) – O Emotet é um trojan avançado, que se autopropaga e modular. Era originalmente um trojan bancário, mas, recentemente foi usado para distribuir outros malwares ou campanhas maliciosas. Ele adota vários métodos para evitar a detecção. Além disso, também pode se espalhar por meio de e-mails de spam contendo anexos ou links maliciosos com phishing.
• XMRig (8%) – O XMRig é um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017. Os cibercriminosos geralmente usam esse software de código aberto para integrá-lo ao malware, a fim de realizar atividades de mineração ilegais nos dispositivos das vítimas.
• Agent Tesla (7%) – O AgentTesla é um RAT (Remote Access Trojan) avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e filtrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, Mozilla Firefox e o cliente de e-mail do Microsoft Outlook). O AgentTesla é vendido em vários mercados online e fóruns de hackers.
Principais criptomineradores
• XMRig (responsável por 46% de todas as atividades globais de criptomineração) – O XMRig é um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017. Os cibercriminosos geralmente usam esse software de código aberto para integrá-lo ao malware, a fim de realizar atividades de mineração ilegais nos dispositivos das vítimas.
• JSEcoin (28%) – Minerador de criptografia, baseado na web, projetado para o processo de mineração on-line da criptomoeda Monero quando um usuário visita uma determinada página web. O JavaScript implementado utiliza uma grande quantidade de recursos computacionais das máquinas dos usuários finais para extrair moedas, o que afeta o desempenho do sistema. O JSEcoin teve sua atividade interrompida em abril de 2020.
• Wannamine (6%) – O WannaMine é um sofisticado worm de criptomineração Monero que distribui a exploração (exploit) EternalBlue. O WannaMine implementa um mecanismo de distribuição e técnicas de persistência, aproveitando as assinaturas de eventos permanentes da WMI (Windows Management Instrumentation).
Principais famílias de malwares – Dispositivos móveis
• xHelper (responsável por 24% de todos os ataques de malware móvel) – xHelper é um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstalar caso seja desinstalado. O xHelper infectou mais de 45 mil dispositivos.
• PreAMo (19%) – O PreAMo é um malware do tipo clicker para dispositivos Android, relatado pela primeira vez em abril de 2019, que imita o usuário (sem o seu conhecimento) clicando em banners recuperados de três agências de publicidade: Presage, Admob e Mopub. Descoberto na Google Play, o malware foi baixado mais de 90 milhões de vezes em seis aplicativos móveis diferentes.
• Necro (14%) – é um aplicativo malicioso Android Trojan.Dropper que pode baixar outros malwares, mostrar anúncios intrusivos e cobrar de forma fraudulenta pelas assinaturas pagas.
Principais malwares bancários
• Dridex (responsável por 27% de todos os ataques de malware bancário) – O Dridex é um Trojan bancário direcionado à plataforma Windows e é distribuído via campanhas de spam e kits de exploração, os quais contam com o WebInjects para interceptar e redirecionar credenciais bancárias para um servidor controlado por atacante. O Dridex entra em contato com um servidor remoto, envia informações sobre o sistema infectado e pode baixar e executar módulos adicionais para controle remoto.