Capaz de roubar informação bancária, credenciais de conta e informações pessoais, o Trickbot é um botnet em constante atualização que pode ser utilizado em campanhas com os mais variados objetivos
A Check Point Research (CPR), área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, acaba de publicar o Índice Global de Ameaças referente a maio de 2021. A CPR informa que o Trickbot, que entrou pela primeira vez no índice em abril de 2019, ocupa agora o primeiro lugar, tanto a nível global como nacional. Enquanto isso, o Dridex desapareceu por completo do top depois de ser um dos malware mais populares dos últimos meses, fruto do aumento global de ataques ransomware. Embora ainda não se saiba porque é que se retirou da lista, relatórios recentes indicam que o grupo Evil Corp, conhecido por distribuir Dridex, mudou a sua abordagem de ataque como forma de se esquivar às sanções do Department of the Treasury dos EUA.
O Trickbot é um botnet e trojan bancário capaz de roubar informação bancária, credenciais de conta e informações pessoais, bem como disseminar-se numa rede e implantar ransomware, em particular o Ryuk. Está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe confere um caráter flexível e personalizável que permite a sua distribuição por meio de campanhas com múltiplos propósitos. O Trickbot ganhou popularidade no seguimento do derrube do Emotet, em janeiro, e alcançou as manchetes mediáticas esta semana nos EUA quando uma mulher foi acusada pelo departamento de justiça norte-americano por ter criado e disseminado o Trickbot.
“Tem-se falado muito sobre o aumento recente do número de ataques ransomware, mas, na verdade, este aumento acentuado verifica-se nos ciberataques de modo geral. É uma tendência preocupante,” afirma Maya Horowitz, Director, Threat Intelligence & Research, Products da Check Point. “É refrescante ver acusações apresentadas para lutar contra o Trickbot, o malware mais prevalente em maio, mas há claramente um longo caminho a percorrer. As organizações têm de estar conscientes dos riscos e garantir que estão munidas das soluções adequadas, lembrando-se ainda que os ataques podem não só ser detetados, como prevenidos, incluindo os ataques zero-day e de malware desconhecido. Com as tecnologias corretas, a maioria dos ataques, mesmo os mais avançados, podem ser prevenidos sem interromper o normal fluxo de trabalho.”
A CPR revelou ainda que a “Web Server Exposed Git Repository Information Disclosure” é a vulnerabilidade mais comummente explorada, impactando 48% das organizações a nível global. Segue-se a “HTTP Headers Remote Code Execution (CVE-2020-13756)”, com um impacto global de 47.5% e, em terceiro lugar, a “MVPower DVR Remote Code Execution”, responsável por impactar 46% das organizações do mundo.
Top de famílias malware de maio
*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior
Em maio, o Trickbot tornou-se o mais popular malware do índice a nível global, com um impacto de 8% das organizações. Seguiram-se o XMRig e o Formbook, com um impacto de 3% cada. O topo de ameaças nacional seguiu de perto o panorama global, com o Trickbot a impactar, no mês de maio, 9% das organizações portuguesas e o XMRig a destacar-se no segundo lugar com uma taxa de ataque de 8%. Em terceiro lugar, esteve o Lokibot, um infostealer destinado tanto a Windows como Android que, no passado mês, afetou 5% das organizações em Portugal.
- ↑ Trickbot - O Trickbot é um Trojan bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.
- ↑ XMRig - Software de mining CPU em open-source, usado para o processo de mineração da criptomoeda Monero, detetado pela primeira vez em Maio de 2017.
- ↑ Formbook – Formbook é um Info Stealer que coleta credenciais de vários navegadores, capturas de ecrã, monitoriza e regista as teclas digitadas, podendo ainda fazer download e executar ficheiros de acordo com comandos C&C.
Top de vulnerabilidades exploradas
Em maio, o “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade mais explorada, com um impacto global de 48% das organizações, seguido do “HTTP Headers Remote Code Execution (CVE-2020-13756)”, responsável por impactar 47,5% das organizações a nível mundial e do “MVPower DVR Remote Code Execution”, com um impacto de 46%.
- ↔ Web Server Exposed Git Repository Information Disclosure – Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.
- ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – O HTTP Headers permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um HTTP Header vulnerável para correr qualquer código no dispositivo da vítima.
- ↔ MVPower DVR Remote Code Execution – Uma vulnerabilidade na execução remota de código nos dispositivos MVPower DVR. Um atacante pode explorar remotamente esta fraqueza para executar um código arbitrário no router afetado por meio de um pedido de solicitação de acesso.
Top malware para dispositivos móveis
Este mês, o primeiro lugar é ocupado pelo xHelper. Segue-se o Triada e o Hiddad.
- xHelper – É uma aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, em que é usada para descarregar aplicações maliciosas e exibir anúncios fraudulentos. A aplicação é capaz de se esconder dos programas de antivírus móveis e do utilizador, sendo capaz de se reinstalar no caso do utilizador o desinstalar.
- Triada – É um Modular Backdoor para Android que garante privilégios de administrador mediante o download de malware.
- Hiddad – O Hiddad é um malware Android que reutiliza apps legítimas, lançando-as em lojas de terceiros. A sua principal função é a exibição de anúncios, mas pode também conceder acesso a detalhes chave de segurança do Sistema Operativo.
O Índice de Impacto Global de Ameaças da Check Point e o ThreatCloud Map baseiam a sua informação no ThreatCloudTM da Check Point, a maior rede colaborativa de luta contra o cibercrime, que disponibiliza informação e tendências sobre ciberataques através de uma rede global de sensores de ameaças. A base de dados do ThreatCloud inclui mais de 3 mil milhões de websites e 600 milhões de ficheiros diariamente, identificando mais de 250 milhões de atividades de malware diariamente.
A lista completa das 10 principais famílias de malware de maio pode ser encontrada no Blog da Check Point.
Post A Comment:
0 comments: