A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point® Software Technologies, divulgou o Índice Global de Ameaças referente ao mês de dezembro de 2021. Em um mês em que a vulnerabilidade do Apache Log4j varreu a Internet, os pesquisadores relataram que o Trickbot ainda é o malware mais predominante, embora em uma taxa um pouco menor, afetando 4% das organizações em todo o mundo (5% em novembro). O recém ressurgente Emotet subiu rapidamente da sétima posição para o segundo lugar no ranking global. A CPR também revela que o setor mais atacado continua sendo o da Educação/Pesquisa.
Em dezembro, a “Apache Log4j Remote Code Execution” foi a vulnerabilidade mais explorada, afetando 48,3% das organizações globalmente. A vulnerabilidade foi relatada pela primeira vez em 9 de dezembro no pacote de log do Apache Log4j — a biblioteca de log Java mais popular usada em muitos serviços e aplicativos da Internet com mais de 400 mil downloads de seu projeto no GitHub. A vulnerabilidade causou uma nova praga, impactando quase metade de todas as empresas do mundo em um espaço de tempo muito curto. No Brasil, o impacto dessa vulnerabilidade correspondeu, até o momento, a 59% das redes corporativas que sofreram tentativas de exploração.
Os atacantes são capazes de explorar aplicativos vulneráveis para executar cryptojackers (também chamado de mineração de criptomoeda maliciosa) e outros malwares em servidores comprometidos. Até agora, a maioria dos ataques se concentrava no uso de mineração de criptomoedas às custas das vítimas, no entanto, os cibercriminosos avançados começaram a agir de forma agressiva e aproveitar a violação em alvos de alta qualidade.
“O Log4j dominou as manchetes em dezembro. É uma das vulnerabilidades mais sérias que já testemunhamos e, devido à complexidade de corrigi-la e à facilidade de exploração, é provável que permaneça conosco por muito tempo, a menos que as empresas tomem medidas imediatas para evitar ataques”, afirma Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies.
“No mês passado também vimos o botnet Emotet passar da posição de sétimo malware mais prevalente para o segundo lugar no índice. Assim como suspeitávamos, não demorou muito para o Emotet construir uma base sólida desde que ressurgiu em novembro. É evasivo e está se espalhando rapidamente por meio de e-mails de phishing com anexos ou links maliciosos. Agora é mais importante do que nunca ter uma solução robusta de segurança de e-mail e garantir que os usuários saibam como identificar uma mensagem ou anexo com aparência suspeita”, reforça Maya.
Principais famílias de malware
Em dezembro, o Trickbot foi o malware mais popular, afetando 4% das organizações em todo o mundo, seguido pelo Emotet e Formbook, ambos com um impacto global de 3%.
Trickbot – É um trojan bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.
Emotet – É um trojan avançado, auto propagável e modular. O Emotet era anteriormente um trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.
Formbook – É um InfoStealer que coleta credenciais de vários navegadores da web, imagens, monitora e registra pressionamentos de tecla e pode baixar e executar arquivos de acordo com seus pedidos C&C.
Principais vulnerabilidades exploradas
A “Apache Log4j Remote Code Execution” foi a vulnerabilidade mais comumente explorada, afetando 48,3% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que afeta 43,8% das organizações em todo o mundo. A “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 41,5%.
Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe uma vulnerabilidade de execução remota de código no Apache Log4j. A exploração bem-sucedida dessa vulnerabilidade pode permitir que um atacante remoto execute código arbitrário no sistema afetado.
Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.
HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) — Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar um código arbitrário na máquina da vítima.
Principais malwares móveis
Em dezembro, o AlienBot ficou em primeiro lugar no índice de malware móvel mais prevalente, seguido por xHelper e FluBot. Estes três malwares móveis ocuparam respectivamente as mesmas posições no mês de novembro de 2021.
AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.
xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
FluBot – É um malware de rede de bots Android distribuído por meio de mensagens SMS de phishing, na maioria das vezes se passando por marcas de entrega e logística. Assim que o usuário clica no link inserido na mensagem, o FluBot é instalado e obtém acesso a todas as informações confidenciais no telefone.
