O Trickbot permaneceu no topo da lista no índice global de malwares mais predominantes, enquanto o Apache Log4j foi a vulnerabilidade mais explorada; no Brasil e o Emotet assumiu a liderança do índice nacional
O Trickbot, Emotet e Log4J foram os malwares que mais impactaram no Brasil e no mundo no final de 2021, segundo o Índice Global de Ameaças da Check Point Research (CPR), divisão de inteligência em ameaças da Check Point Software. Em um mês em que a vulnerabilidade do Apache Log4j varreu a internet, os pesquisadores relataram que o Trickbot ainda é o malware mais predominante, embora em uma taxa um pouco menor, afetando 4% das organizações em todo o mundo (5% em novembro). O recém-ressurgente Emotet subiu rapidamente da sétima posição para o segundo lugar no ranking global. A CPR também revela que o setor mais atacado continua sendo o da educação/pesquisa.
Em dezembro, a “Apache Log4j Remote Code Execution” foi a vulnerabilidade mais explorada, afetando 48,3% das organizações globalmente. A vulnerabilidade foi relatada pela primeira vez em 9 de dezembro no pacote de log do Apache Log4j — a biblioteca de log Java mais popular usada em muitos serviços e aplicativos da internet com mais de 400 mil downloads de seu projeto no GitHub. A vulnerabilidade causou uma nova praga, impactando quase metade de todas as empresas do mundo em um espaço de tempo muito curto. No Brasil, o impacto dessa vulnerabilidade correspondeu, até o momento, a 59% das redes corporativas que sofreram tentativas de exploração.
Os hackers são capazes de explorar aplicativos vulneráveis para executar cryptojackers (mineração de criptomoeda maliciosa) e outros malwares em servidores comprometidos. Até agora, a maioria dos ataques se concentrava no uso de mineração de criptomoedas às custas das vítimas, no entanto, os cibercriminosos avançados começaram a agir de forma agressiva e aproveitar a violação em alvos de alta qualidade. Maya Horowitz, vice-presidente de pesquisa da Check Point Software, afirma:
"O Log4j dominou as manchetes em dezembro. É uma das vulnerabilidades mais sérias que já testemunhamos e, devido à complexidade de corrigi-la e à facilidade de exploração, é provável que permaneça conosco por muito tempo, a menos que as empresas tomem medidas imediatas para evitar ataques"
“No mês passado também vimos a botnet Emotet passar da posição de sétimo malware mais prevalente para o segundo lugar no índice. Assim como suspeitávamos, não demorou muito para o Emotet construir uma base sólida desde que ressurgiu em novembro. É evasivo e está se espalhando rapidamente por meio de e-mails de phishing com anexos ou links maliciosos. Agora é mais importante do que nunca ter uma solução robusta de segurança de e-mail e garantir que os usuários saibam como identificar uma mensagem ou anexo com aparência suspeita”
A CPR também revelou em dezembro que educação/pesquisa é o setor mais atacado globalmente, seguido por governo/militar e ISPs/MSPs (provedores de internet/provedores de serviços gerenciados). A “Apache Log4j Remote Code Execution” tem sido a vulnerabilidade mais comum explorada, impactando 48,3% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que afeta 43,8% das empresas no mundo. A “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de brechas mais exploradas, com um impacto global de 41,5%.
Principais famílias de malware
Em dezembro, o Trickbot foi o malware mais popular, afetando 4% das organizações em todo o mundo, seguido pelo Emotet e Formbook, ambos com um impacto global de 3%.
Trickbot – É um trojan bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.
Emotet – É um trojan avançado, auto propagável e modular. O Emotet era anteriormente um trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.
Formbook – É um InfoStealer que coleta credenciais de vários navegadores da web, imagens, monitora e registra pressionamentos de tecla e pode baixar e executar arquivos de acordo com seus pedidos C&C.
Principais setores atacados
Em dezembro, Educação/Pesquisa foi o setor mais atacado globalmente, seguido por Governo/Militar e ISP/MSP.
Educação/pesquisa
Governo /militar
ISPs/MSPs
No Brasil, os três setores no ranking nacional mais visados em dezembro foram:
Integradores de sistemas/VAR – Value Added Reseller/Distribuidores
Varejo/atacado
Saúde
Principais vulnerabilidades exploradas
Em dezembro, a equipe da CPR também revelou que a “Apache Log4j Remote Code Execution” foi a vulnerabilidade mais comumente explorada, afetando 48,3% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que afeta 43,8% das organizações em todo o mundo. A “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 41,5%.
Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe uma vulnerabilidade de execução remota de código no Apache Log4j. A exploração bem-sucedida dessa vulnerabilidade pode permitir que um atacante remoto execute código arbitrário no sistema afetado.
Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.
HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) — Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar um código arbitrário na máquina da vítima.
Principais malwares móveis
Em dezembro, o AlienBot ficou em primeiro lugar no índice de malware móvel mais prevalente, seguido por xHelper e FluBot. Estes três malwares móveis ocuparam respectivamente as mesmas posições no mês de novembro de 2021.
AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.
xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
FluBot – É um malware de rede de bots Android distribuído por meio de mensagens SMS de phishing, na maioria das vezes se passando por marcas de entrega e logística. Assim que o usuário clica no link inserido na mensagem, o FluBot é instalado e obtém acesso a todas as informações confidenciais no telefone.
Principais malwares de dezembro no Brasil
O principal malware no Brasil em dezembro de 2021 foi o Emotet, com 6,28% de impacto nas organizações. O Trickbot ocupou o segundo lugar (4,58%) no ranking nacional, enquanto o Glupteba (3,10%) continuou em terceiro.
VEJA TAMBÉM: Ataques cibernéticos aumentaram 50% em 2021
Fontes: Check Point Blog e cisoadvisor
Conte com a International IT para proteger sua empresa de ataques cibernéticos com o que há de melhor no mercado de Next Generation Firewalls.
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
