A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, publicou o Índice Global de Ameaças referente a agosto de 2024. O destaque global no índice refere-se ao ransomware que continua sendo uma força dominante, com o RansomHub sustentando sua posição como o principal grupo de ransomware.
Esta operação de Ransomware-as-a-Service (RaaS) expandiu-se rapidamente desde sua mudança de marca do ransomware Knight, violando mais de 210 vítimas em todo o mundo. Enquanto isso, o ransomware Meow surge com novas táticas, mudando da criptografia para a venda de dados roubados em vazamentos nos marketplaces.
Em agosto passado, o RansomHub solidificou sua posição como a principal ameaça de ransomware, conforme detalhado em um comunicado conjunto das instituições Federal Bureau of Investigation (FBI), Agência de Infraestrutura e Segurança Cibernética (CISA), o Centro Multiestadual de Compartilhamento e Análise de Informações (MS-ISAC) e Departamento de Saúde e Serviço Social (HHS) dos Estados Unidos. Esta operação RaaS tem sistemas agressivamente direcionados em ambientes Windows, macOS, Linux e especialmente VMware ESXi, usando técnicas de criptografia sofisticadas.
No mês passado, os pesquisadores também observaram a ascensão do ransomware Meow, que garantiu o segundo lugar na lista dos principais ransomwares pela primeira vez. Originado como uma variante do ransomware Conti vazado, o Meow mudou seu foco de criptografia para extração de dados, transformando seu site de extorsão em um mercado de vazamento de dados. Neste modelo, os dados roubados são vendidos ao maior lance, divergindo das táticas tradicionais de extorsão de ransomware.
“O surgimento do RansomHub como a principal ameaça de ransomware em agosto ressalta a crescente sofisticação das operações de Ransomware-as-a-Service”, aponta Maya Horowitz, vice-presidente de pesquisa da Check Point Software. “As organizações precisam estar mais atentas que nunca. A ascensão do ransomware Meow destaca a mudança para mercados de vazamento de dados, sinalizando um novo método de monetização para operadores de ransomware, em que dados roubados são cada vez mais vendidos a terceiros, em vez de simplesmente publicados online. À medida que essas ameaças evoluem, as empresas devem permanecer alertas, adotar medidas de segurança proativas e aprimorar continuamente suas defesas contra ataques cada vez mais sofisticados.”
Principais famílias de malware
O FakeUpdates foi o malware mais prevalente na lista global em agosto de 2024 com um impacto de 8% nas organizações mundiais, seguido pelo Androxgh0st com um impacto global de 5% e do Phorpiex com um impacto global de 5%.
O AgentTesla caiu para a quinta posição na lista global no mês passado, no entanto, este malware persiste na liderança do índice Top Malware do Brasil com impacto cada vez maior: em agosto registrou índice próximo a 40%.
Top 3 Global de Malwares
FakeUpdates – FakeUpdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Ele grava as cargas no disco antes de iniciá-las. FakeUpdates levou a comprometimentos adicionais por meio de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
Androxgh0st – Androxgh0st é um botnet direcionado às plataformas Windows, Mac e Linux. Para a infecção inicial, o Androxgh0st explora múltiplas vulnerabilidades, visando especificamente o PHPUnit, o Laravel Framework e o Apache Web Server. O malware rouba informações confidenciais, como dados da conta Twilio, credenciais SMTP, chave AWS, entre outros. Ele usa arquivos Laravel para coletar as informações necessárias. Possui diferentes variantes que procuram informações diferentes.
Phorpiex – Phorpiex é um botnet conhecido por distribuir outras famílias de malware por meio de campanhas de spam, além de alimentar campanhas de “sextorsão” em larga escala.
Principais vulnerabilidades exploradas em agosto
Top 3 Global
Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Uma vulnerabilidade de injeção de comando sobre HTTP foi relatada. Um atacante remoto pode explorar esse problema enviando uma solicitação especialmente criada para a vítima. A exploração bem-sucedida permitiria que um atacante executasse código arbitrário na máquina alvo.
Zyxel ZyWALL Command Injection (CVE-2023-28771) – Existe uma vulnerabilidade de injeção de comando no Zyxel ZyWALL. A exploração bem-sucedida dessa vulnerabilidade permitiria que atacantes remotos executassem comandos arbitrários do sistema operacional no sistema afetado.
HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-1375) – Os cabeçalhos HTTP permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um cabeçalho HTTP vulnerável para executar um código arbitrário na máquina da vítima.
Principais malwares móveis
Joker – É um spyware Android no Google Play, projetado para roubar mensagens SMS, listas de contatos e informações de dispositivos. Além disso, o malware contrata a vítima silenciosamente para serviços premium em sites de publicidade.
Anubis – O Anubis é um malware de Trojan bancário projetado para telefones celulares Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade de Trojan de Acesso Remoto (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Ele foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.
Hydra – Hydra é um Trojan bancário projetado para roubar credenciais bancárias solicitando que as vítimas habilitem permissões e acessos perigosos sempre que entrarem em qualquer aplicativo bancário.
Principais setores atacados no mundo e no Brasil
Em agosto de 2024, a Educação/Pesquisa prosseguiu como o setor mais atacado mundialmente, seguido pelo Governo/Forças Armadas e por Saúde. No Brasil, os três setores no ranking nacional mais visados por ciberataques durante o mês de agosto foram Governo/Forças Armadas; Comunicações; e Saúde.
Principais grupos de ransomware
Esta seção apresenta informações derivadas de quase 200 “sites de vergonha” de ransomware operados por grupos de ransomware de dupla extorsão. Os cibercriminosos utilizam estes sites para aumentar a pressão sobre as vítimas que não pagam o resgate imediatamente.
Os dados destes “sites da vergonha” têm as suas próprias tendências, mas ainda assim fornecem informações importantes sobre o ecossistema do ransomware, que é atualmente o risco número um às organizações.
Em agosto, o RansomHub foi o grupo de ransomware mais prevalente responsável por 15% dos ataques publicados, seguido pelo Meow com 9% que empurrou o Lockbit3 para a terceira posição com 8%.
1.RansomHub – RansomHub é uma operação Ransomware-as-a-Service (RaaS) que surgiu como uma versão renomeada do anteriormente conhecido ransomware Knight. Aparecendo com destaque no início de 2024 em fóruns clandestinos de crimes cibernéticos, o RansomHub rapidamente ganhou notoriedade por suas campanhas agressivas direcionadas a vários sistemas, incluindo Windows, macOS, Linux e, particularmente, ambientes VMware ESXi. Este malware é conhecido por empregar métodos de criptografia sofisticados.
2. Meow – O Meow Ransomware é uma variante baseada no ransomware Conti, conhecido por criptografar uma ampla gama de arquivos em sistemas comprometidos e anexar a extensão “.MEOW” a eles. Ele deixa uma nota de resgate chamada “readme[.]txt”, instruindo as vítimas a contatar os atacantes por e-mail ou Telegram para negociar os pagamentos do resgate.
O Meow Ransomware se espalha por vários vetores, incluindo configurações RDP desprotegidas, spam de e-mail e downloads maliciosos, e usa o algoritmo de criptografia ChaCha20 para bloquear arquivos, excluindo “[.]exe” e arquivos de texto.
3.LockBit – LockBit é um ransomware que opera em um modelo RaaS, relatado pela primeira vez em setembro de 2019. O LockBit tem como alvo grandes empresas e entidades governamentais de vários países e não tem como alvo indivíduos na Rússia ou na Comunidade de Estados Independentes.
Os principais malwares de agosto no Brasil
No mês passado, o ranking de ameaças do Brasil prossegue com o AgentTesla na liderança da lista nacional com impacto de 39,44% (em julho, seu índice de liderança era de 37,60%; em junho, foi de 36,62%). O segundo malware que mais impactou no Brasil em agosto passado foi o FakeUpdates com impacto de 13,30% às organizações no país, e o Phorpiex ocupou o terceiro lugar cujo impacto foi de 10,82%.
O AgentTesla é um malware que pode roubar informações confidenciais dos computadores de uma organização, como dados, senhas e outras credenciais. O AgentTesla pode funcionar como um keylogger e dar acesso remoto aos cibercriminosos; está ativo desde 2014 monitorando e coletando entradas de teclado e a área de transferência do sistema da vítima.
Este malware também pode gravar capturas de tela e exfiltrar credenciais inseridas para uma variedade de softwares instalados na máquina da vítima (incluindo Google Chrome, Mozilla Firefox e cliente de e-mail Microsoft Outlook). O AgentTesla é vendido abertamente como um trojan de acesso remoto (RAT) legítimo com clientes pagando de US$ 15 a US$ 69 por licenças de usuário.
