A Check Point Research divulgou o Índice Global de Ameaças referente ao mês de junho de 2020. Os pesquisadores descobriram que, no mês passado, o botnet Phorpiex retornou ao ranking mensal distribuindo o ransomware Avaddon, uma nova variante de Ransomware como Serviço (RaaS) que surgiu no início de junho, por meio de campanhas de spam. Por isso, o Phorpiex subiu 13 lugares ocupando o 2º lugar na lista dos principais malwares do mês e dobrando seu impacto em organizações em todo o mundo em comparação ao mês de maio.
Conforme relatado anteriormente pelos pesquisadores da Check Point, o Phorpiex é conhecido por disseminar campanhas de malspam (malware spam) de sextortion em larga escala, além de distribuir outras famílias de malware. As mensagens de spam mais recentes distribuídas via Phorpiex tentam convencer os destinatários a abrir um anexo de arquivo Zip usando um emoji “piscando o olho” no assunto do e-mail. Se um usuário clicar no arquivo, o ransomware Avaddon será ativado, embaralhando os dados no computador e exigindo um resgate em troca da descriptografia do arquivo. Em sua pesquisa sobre malware de 2019, a Check Point encontrou mais de um milhão de computadores Windows infectados com o Phorpiex. Os pesquisadores estimaram a receita criminal anual gerada pelo botnet Phorpiex em aproximadamente US$ 500 mil.
Enquanto isso, o trojan de acesso remoto e ladrão de informações Agent Tesla continuou a ter um impacto significativo ao longo de junho, passando do 2º lugar em maio para o 1º lugar, enquanto o criptominerador XMRig permanece em 3º lugar pelo segundo mês consecutivo na lista global.
“No passado, o Phorpiex, também conhecido como Trik, era monetizado com a distribuição de outros malwares como GandCrab, Pony ou Pushdo, usando seus hosts para minerar criptomoedas ou para golpes de sextortion. Agora, este malware está sendo usado para disseminar uma nova campanha de ransomware”, informa Maya Horowitz, diretora de Inteligência e Pesquisa de Ameaças e Produtos da Check Point. “As organizações devem educar os funcionários sobre como identificar os tipos de malspam que carregam essas ameaças, como a última campanha que visa usuários com e-mails contendo um emoji ‘piscando o olho’, e garantir que eles implementem segurança que os impeça de infectar suas redes”, ressalta a diretora.
A equipe de pesquisa da CPR também alerta que o “OpenSSL TLS DTLS Heartbeat Information Disclosure” foi a vulnerabilidade mais comum, afetando 45% das organizações em todo o mundo, seguida de perto pela ” MVPower DVR Remote Code Execution”, que afetou 44% das organizações globais. Quanto à “Web Server Exposed Git Repository Information Disclosure”, esta permaneceu em terceiro lugar, com um impacto global de 38%.
As principais famílias de malware
*As setas estão relacionadas à alteração na classificação em comparação com o mês anterior.
Em junho, o Agent Tesla foi o malware líder da lista mensal, com um impacto global de 3% das organizações, seguido de perto por Phorpiex e XMRig, afetando 2% das organizações cada um.
• ↑ Agent Tesla – É um RAT (remote access Trojan) avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e filtrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, Mozilla Firefox e o cliente de e-mail do Microsoft Outlook).
• ↑ Phorpiex – O Phorpiex é um botnet conhecido por distribuir outras famílias de malware por meio de campanhas de spam, além de alimentar campanhas de extorsão em larga escala.
• ↔ XMRig – É um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017.
Principais vulnerabilidades exploradas em junho:
Em junho, a “OpenSSL TLS DTLS Heartbeat Information Disclosure” foi a vulnerabilidade mais comum, afetando 45% das organizações em todo o mundo, seguida de perto pela ” MVPower DVR Remote Code Execution”, que afetou 44% das organizações em todo o mundo. A “Web Server Exposed Git Repository Information Disclosure” permaneceu em terceiro lugar com um impacto global de 38%.
• ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Uma vulnerabilidade de divulgação de informações que existe no OpenSSL. A vulnerabilidade ocorre devido a um erro ao manipular pacotes heartbeat do TLS/DTLS. Um atacante pode aproveitar essa vulnerabilidade para divulgar o conteúdo da memória de um cliente ou servidor conectado.
• ↓ MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada.
• ↔ Web Server Exposed Git Repository Information Disclosure – Uma vulnerabilidade de divulgação de informações foi relatada no Git Repository. A exploração bem-sucedida dessa vulnerabilidade pode permitir uma divulgação não intencional de informações da conta.
Principais famílias de malware – Dispositivos móveis
Em junho, o Necro foi o malware que se destacou em primeiro lugar, seguido por Hiddad e Lotoor.
• Necro – é um aplicativo malicioso Android Trojan.Dropper que pode baixar outros malwares, mostrando anúncios intrusivos e roubando dinheiro cobrando pelas assinaturas.
• Hiddad – O Hiddad é um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.
• Lotoor – O Lotoor é uma ferramenta de hackers que explora vulnerabilidades no sistema operacional Android para obter privilégios de root em dispositivos móveis comprometidos.
Os principais malwares de junho no Brasil
O principal malware no Brasil tem sido o criptominerador XMRig que continua liderando a lista Top 10 do Brasil: impactou 18,26% em janeiro; 11,13% em fevereiro; 7% em março; 4,99% em abril; 3,88% em maio; e 4,42% em junho.
Além do XMRig, a lista dos principais malwares do Brasil inclui dois Trojans bancários (Dridex, Ramnit) e um botnet (Phorpiex). O Dridex impactou 1,68% em março; 2,45% em abril; manteve-se em 2º lugar em maio com 2,35% de impacto; e em junho com 2,51% de impacto.
Enquanto o tipo de exploração de vulnerabilidade mais comum no Brasil é a Remote Code Execution (Execução Remota de Código), impactando 71% das empresas no país.
O Índice de Impacto Global de Ameaças da Check Point e seu Mapa ThreatCloud são baseados na inteligência ThreatCloud da Check Point, a maior rede colaborativa para combater o cibercrime que fornece dados de ameaças e tendências de ataques de uma rede global de sensores de ameaças. A base de dados do ThreatCloud inspeciona mais de 2,5 bilhões de sites e 500 milhões de arquivos por dia e identifica mais de 250 milhões de atividades de malware diariamente.