- O setor da Educação/Investigação foi o mais impactado em Portugal, de acordo com a Check Point Research
- Botnet Emotet regressa ao top 10 de ameaças a nível mundial, liderado, uma vez mais, pelo Trickbot
A Check Point Research (CPR), área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, acaba de publicar o Índice Global de Ameaças referente a novembro de 2021. Investigadores relatam que, mundialmente, o Trickbot permanece no topo da lista de malware, afetando 5% das organizações. Há a destacar ainda o reaparecimento do Emotet que regressa ao índice global para ocupar a sétima posição. Em Portugal, as tendências distinguiram-se do resto do mundo, com o Agent Tesla a encabeçar a lista, impactando 8% das organizações nacionais.
A CPR revela também que, a nível global, o setor mais visado é a Educação/Investigação. Esta tendência foi acompanhada tanto na Europa, como a nível nacional, onde este setor apresenta igualmente o maior número de ataques.
Apesar dos grandes esforços da Europol e de vários agentes legais para, no início deste ano, derrubar definitivamente o Emotet, o notório botnet voltou à atividade em novembro e é já é o sétimo malware mais utilizado. Este mês, o Trickbot lidera o índice pela sexta vez e está até envolvido com a nova variante do Emotet, que tem vindo a ser instalada em máquinas infetadas utilizando a infraestrutura do Trickbot.
O Emotet está a ser disseminado através de e-mails de phishing que contêm ficheiros Word, Excel e Zip infetados que implantam o Emotet no dispositivo da vítima. Os assuntos atribuídos aos e-mails são, por norma, intrigantes, como eventos noticiosos atuais, faturas e memorandos corporativos falsos que incitam as vítimas a abri-los. Mais recentemente, o Emotet começou a disseminar-se também através de pacotes maliciosos do Windows App Installer que se fazem passar pelo software Adobe.
“O Emotet é um dos botnets de maior sucesso na história do ciberespaço e é responsável pela explosão de ataques de ransomware direcionados que testemunhamos nos últimos anos”, afirma Maya Horowitz, VP Research at Check Point Software. “O retorno do botnet em novembro é extremamente preocupante, pois pode levar a um aumento desses ataques. O facto de estar a utilizar a infraestrutura do Trickbot significa que o tempo que levaria ao Emotet para construir uma base significativa o suficiente em redes ao redor do mundo está a encurtar. Como está a ser espalhado por meio de e-mails de phishing com anexos maliciosos, é crucial que a consciencialização e educação do utilizador estejam no topo das prioridades das organizações quando se trata de cibersegurança. E qualquer pessoa que queira fazer o download do software da Adobe deve ter em conta, como acontece com qualquer outra aplicação, que deve fazê-lo apenas por meio de fontes oficiais.”
A CPR revelou ainda que, este mês, Educação/Investigação foi a indústria mais atacada globalmente, seguida pelas Comunicações e, em terceiro lugar, a Administração Pública/Indústria Militar. Na Europa, os três setores mais afetados são, em primeiro lugar, Educação/Investigação, as Utilities e, em terceiro, a indústria das Comunicações. Em Portugal, a realidade é similar, mantendo-se o setor da Educação/Investigação no topo, seguido pelo setor da Saúde e pelo setor jurídico.
“Web Servers Malicious URL Directory Traversal” é ainda a vulnerabilidade mais comumente explorada, afetando 44% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que afeta 43,7% das organizações em todo o mundo. “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 42%.
Principais famílias de malware em Portugal
*As setas estão relacionadas com as mudanças de posição no ranking comparativamente ao mês anterior
Este mês, o Trickbot é o malware mais popular, afetando 5% das organizações em todo o mundo, seguido pelo Agent Tesla e Formbook, ambos com um impacto global de 4%.
- ↔ Trickbot – Trojan bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.
- ↑ Agent Tesla – Trojan de Acesso Remoto que funciona como keylogger e extrator de informação, que é capaz de monitorizar e coligir a digitação de teclado do utilizador, o sistema do teclado, capturar imagens de ecrã, e extrair credenciais de diversos softwares instalados no dispositivo da vítima, incluindo Google Chrome, Mozilla Firefox e Microsoft Outlook.
- ↑ Formbook – Info Stealer que coleta credenciais de vários navegadores, capturas de ecrã, monitoriza e regista as teclas digitadas, podendo ainda fazer download e executar ficheiros de acordo com comandos C&C.
Em Portugal, o top alterou-se ligeiramente em comparação com os registos globais. Destacou-se o Agent Tesla, com um impacto nacional de 8%. Seguiu-se o Formbook, responsável por impactar 5% das organizações portuguesas e, em terceiro lugar, o XMRig, um software de mineração de criptomoeda que afetou 4% das empresas em Portugal.
Principais indústrias atacadas em Portugal:
Este mês, Educação/Investigação é o setor mais atacado em Portugal, seguido pela Saúde e, em terceiro, o setor jurídico.
- Educação/Investigação
- Saúde
- Setor jurídico
Principais indústrias atacadas na Europa:
Este mês, Educação/Investigação é o setor mais atacado a nível europeu, seguido pelo setor das Utilities e, em terceiro lugar, a indústria das Comunicações.
- Educação/Investigação
- Utilities
- Comunicações
Principais indústrias atacadas globalmente:
Este mês, Educação/Investigação é o setor mais atacado globalmente, seguido por Comunicações e Administração Pública/Indústria Militar.
- Educação/Investigação
- Comunicações
- Administração Pública/Indústria Militar
Principais vulnerabilidades exploradas
Este mês, “Web Servers Malicious URL Directory Traversal” ainda é a vulnerabilidade mais comumente explorada, afetando 44% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que afeta 43,7% das organizações em todo o mundo. “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 42%.
- ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Existe uma vulnerabilidade de passagem de diretório em diferentes servidores web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor web que não higieniza devidamente o URL para os padrões de travessia de diretório. A sua exploração bem-sucedida permite aos atacantes remotos não autenticados revelar ou aceder a ficheiros arbitrários no servidor vulnerável.
- ↔ Web Server Exposed Git Repository Information Disclosure – Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.
- ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um Header HTTP vulnerável para correr qualquer código no dispositivo da vítima.
Principais malwares móveis
Este mês, o AlienBot fica em primeiro lugar nos malwares móveis mais prevalentes, seguido por xHelper e FluBot.
- AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite um atacante remoto injetar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla o dispositivo.
- xHelper – Aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, utilizada para descarregar aplicações maliciosas e exibir anúncios. A aplicação é capaz de se esconder do utilizador, podendo reinstalar-se no caso do utilizador a desinstalar.
- FluBot – Botnet para Android distribuído via mensagens SMS de phishing que imitam marcas de logística e entregas. Assim que o utilizador clica no link enviado, o FluBot é instalado e tem acesso a todas as informações sensíveis do telemóvel.
O Índice de Impacto Global de Ameaças e o ThreatCloud Map da Check Point Software são proporcionados pela inteligência da ThreatCloud. A ThreatCloud fornece threat inteligence em tempo real derivada de centenas de milhões de sensores em todo o mundo, sobre redes, endpoints e dispositivos móveis. A inteligência é enriquecida por mecanismos IA e dados de investigação exclusivos da Check Point Research, área de Threat Intelligence da Check Point Software Technologies.
A lista completa das 10 principais famílias de malware em novembro pode ser encontrada no blog da Check Point.
Post A Comment:
0 comments: