A Check Point Software publicou o Índice Global de Ameaças referente a dezembro de 2024, ressaltando a crescente sofisticação dos cibercriminosos. Em dezembro, o destaque foi para a ascensão do FunkSec, um operador emergente de ransomware como serviço (RaaS) que utiliza inteligência artificial, além de apontar as ameaças persistentes de famílias de malware como FakeUpdates e AgentTesla liderando o ranking de Top Malware.
As operações do FunkSec o colocaram na linha de frente dos grupos de ransomware de dupla extorsão. Com mais de 85 vítimas publicadas apenas em dezembro de 2024, o FunkSec superou seus concorrentes em volume. No entanto, a equipe da Check Point Research (CPR) identificou que muitas dessas alegações são recicladas ou não verificadas, levantando dúvidas sobre a credibilidade do grupo. Ligado à Argélia, o FunkSec parece ser motivado por ganhos financeiros e ideologias hacktivistas, com suas táticas assistidas por IA indicando o crescente uso de tecnologias avançadas no cibercrime.
O principal país que o FunkSec teve como alvo são os Estados Unidos (21% de impacto); além disso, a Índia também é um alvo principal do grupo com ataques de 16% somente em dezembro, enquanto o Brasil também aparece na mira do FunkSec tendo sido impactado em 5% (o quarto país mais impactado). Os setores de serviços empresariais e varejo foram os mais visados, com mais de 30% do total de ataques desde o início de suas operações.
Pelo lado das ciberameaças de malware mais prevalentes, o FakeUpdates retomou o primeiro lugar do índice global, afetando 5% das organizações em todo o mundo, seguido de perto por AgentTesla (3%) e Androxgh0st (3%). FakeUpdates, também conhecido como SocGholish, continua sendo um downloader versátil que introduz cargas maliciosas adicionais, enquanto o AgentTesla continua a visar credenciais sensíveis.
“À medida que as ameaças cibernéticas seguem evoluindo, as organizações precisam equilibrar inovação e atenção constantes, adotando medidas avançadas de prevenção de ameaças, tecnologias de ponta para mitigar riscos e fortalecer suas operações em um ambiente digital dinâmico”, aponta Maya Horowitz, vice-presidente de pesquisa da Check Point Software.
Principais Famílias de Malware – Global
FakeUpdates: FakeUpdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Ele grava as cargas no disco antes de iniciá-las. FakeUpdates levou a comprometimentos adicionais por meio de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
AgentTesla: AgentTesla é um RAT avançado que funciona como um keylogger e “ladrão de informações”, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e exfiltrar credenciais de uma variedade de softwares instalados na máquina da vítima (incluindo Google Chrome, Mozilla Firefox e o cliente de e-mail Microsoft Outlook).
Androxgh0st: Androxgh0st é um botnet direcionado às plataformas Windows, Mac e Linux. Para a infecção inicial, o Androxgh0st explora múltiplas vulnerabilidades, visando especificamente o PHPUnit, o Laravel Framework e o Apache Web Server. O malware rouba informações confidenciais, como dados da conta Twilio, credenciais SMTP, chave AWS, entre outros. Ele usa arquivos Laravel para coletar as informações necessárias. Possui diferentes variantes que procuram informações diferentes.
Top 5 Malware no Brasil
Em dezembro, o malware AgentTesla consolidou-se como líder do ranking nacional de ameaças com impacto de 35,46% (desde junho de 2024 está na liderança no país). O segundo malware que mais impactou no Brasil no último mês do ano passado foi o FakeUpdates com impacto de 7,39% às organizações no país, e o Androxgh0st ocupou o terceiro lugar cujo impacto foi de 4,85%.
O AgentTesla é um malware que pode roubar informações confidenciais dos computadores, e também pode gravar capturas de tela e exfiltrar credenciais inseridas para uma variedade de softwares instalados na máquina da vítima (incluindo Google Chrome, Mozilla Firefox e cliente de e-mail Microsoft Outlook). O AgentTesla é vendido abertamente como um trojan de acesso remoto (RAT) legítimo com clientes pagando de US$ 15 a US$ 69 por licenças de usuário.
Principais Malwares em Dispositivos Móveis
Anubis: Um trojan bancário com funcionalidade de ransomware que visa dispositivos Android.
Necro: Um trojan dropper (tipo de trojan que baixa um malware incorporado no computador da vítima) que instala malware e cobra assinaturas premium.
Hydra: Um trojan bancário que rouba credenciais ao explorar permissões perigosas em dispositivos Android.
Principais setores atacados no mundo e no Brasil
Em dezembro de 2024, a Educação/Pesquisa também se consolidou como o setor mais atacado mundialmente, seguido por Comunicações e pelo Governo/Forças Armadas. No Brasil, os três setores no ranking nacional mais visados por ciberataques durante o mês de dezembro foram Comunicações; Governo/Forças Armadas; e Utilities.
Principais Grupos de Ransomware
A ascensão dos grupos de ransomware continua a dominar o cenário de cibersegurança. Dados de “sites de vergonha” de ransomware revelam o FunkSec como o grupo mais ativo em dezembro, responsável por 14% de todos os ataques publicados. OS três grupos líderes são:
FunkSec: Utilizando IA e táticas de dupla extorsão, o FunkSec superou outros grupos com 85 publicações de vítimas, gerando controvérsia.
RansomHub: Conhecido por suas campanhas agressivas, o RansomHub foca em sistemas como VMware ESXi e emprega métodos de criptografia sofisticados.
LeakeData: Um novo ator operando um site de vazamento de dados na web aberta, o LeakeData combina incidentes de ransomware com atividades mais amplas de extorsão.
Conclusão
O cenário de ameaças de dezembro de 2024 ressalta as táticas em rápida evolução dos cibercriminosos, com a ascensão do FunkSec ilustrando o crescente uso de operações impulsionadas por IA em ransomware. Embora seus métodos controversos levantem dúvidas sobre sua credibilidade, a atividade do FunkSec serve como um lembrete de que até mesmo grupos emergentes podem representar riscos significativos. Combinado com o domínio de malwares como FakeUpdates e AgentTesla, a persistência de ameaças móveis e as vulnerabilidades que afetam setores críticos, os dados destacam a necessidade de medidas de cibersegurança robustas e proativas.
As organizações devem se adaptar rapidamente, utilizando tecnologias avançadas, inteligência de ameaças em tempo real e estratégias de defesa abrangentes para neutralizar essas ameaças. À medida que avançamos para 2025, manter-se informado sobre as tendências mais recentes será essencial para mitigar riscos e proteger o futuro digital.
