O Trickbot, Emotet e Log4J foram os malwares que mais impactaram no Brasil e no mundo no final de 2021, segundo o Índice Global de Ameaças da Check Point Research (CPR), divisão de inteligência em ameaças da Check Point Software. Em um mês em que a vulnerabilidade do Apache Log4j varreu a internet, os pesquisadores relataram que o Trickbot ainda é o malware mais predominante, embora em uma taxa um pouco menor, afetando 4% das organizações em todo o mundo (5% em novembro). O recém-ressurgente Emotet subiu rapidamente da sétima posição para o segundo lugar no ranking global. A CPR também revela que o setor mais atacado continua sendo o da educação/pesquisa.
Em dezembro, a “Apache Log4j Remote Code Execution” foi a vulnerabilidade mais explorada, afetando 48,3% das organizações globalmente. A vulnerabilidade foi relatada pela primeira vez em 9 de dezembro no pacote de log do Apache Log4j — a biblioteca de log Java mais popular usada em muitos serviços e aplicativos da internet com mais de 400 mil downloads de seu projeto no GitHub. A vulnerabilidade causou uma nova praga, impactando quase metade de todas as empresas do mundo em um espaço de tempo muito curto. No Brasil, o impacto dessa vulnerabilidade correspondeu, até o momento, a 59% das redes corporativas que sofreram tentativas de exploração.
Os hackers são capazes de explorar aplicativos vulneráveis para executar cryptojackers (mineração de criptomoeda maliciosa) e outros malwares em servidores comprometidos. Até agora, a maioria dos ataques se concentrava no uso de mineração de criptomoedas às custas das vítimas, no entanto, os cibercriminosos avançados começaram a agir de forma agressiva e aproveitar a violação em alvos de alta qualidade.
“O Log4j dominou as manchetes em dezembro. É uma das vulnerabilidades mais sérias que já testemunhamos e, devido à complexidade de corrigi-la e à facilidade de exploração, é provável que permaneça conosco por muito tempo, a menos que as empresas tomem medidas imediatas para evitar ataques”, afirma Maya Horowitz, vice-presidente de pesquisa da Check Point Software.
“No mês passado também vimos a botnet Emotet passar da posição de sétimo malware mais prevalente para o segundo lugar no índice. Assim como suspeitávamos, não demorou muito para o Emotet construir uma base sólida desde que ressurgiu em novembro. É evasivo e está se espalhando rapidamente por meio de e-mails de phishing com anexos ou links maliciosos. Agora é mais importante do que nunca ter uma solução robusta de segurança de e-mail e garantir que os usuários saibam como identificar uma mensagem ou anexo com aparência suspeita”, reforça Maya.
A CPR também revelou em dezembro que educação/pesquisa é o setor mais atacado globalmente, seguido por governo/militar e ISPs/MSPs (provedores de internet/provedores de serviços gerenciados). A “Apache Log4j Remote Code Execution” tem sido a vulnerabilidade mais comum explorada, impactando 48,3% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que afeta 43,8% das empresas no mundo. A “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de brechas mais exploradas, com um impacto global de 41,5%.
Principais famílias de malware
Em dezembro, o Trickbot foi o malware mais popular, afetando 4% das organizações em todo o mundo, seguido pelo Emotet e Formbook, ambos com um impacto global de 3%.
- Trickbot – É um trojan bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.
- Emotet – É um trojan avançado, auto propagável e modular. O Emotet era anteriormente um trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.
- Formbook – É um InfoStealer que coleta credenciais de vários navegadores da web, imagens, monitora e registra pressionamentos de tecla e pode baixar e executar arquivos de acordo com seus pedidos C&C.
Principais setores atacados:
Em dezembro, Educação/Pesquisa foi o setor mais atacado globalmente, seguido por Governo/Militar e ISP/MSP.
1. Educação/pesquisa
2. Governo /militar
3. ISPs/MSPs
No Brasil, os três setores no ranking nacional mais visados em dezembro foram:
1. Integradores de sistemas/VAR – Value Added Reseller/Distribuidores
2. Varejo/atacado
3. Saúde
Principais vulnerabilidades exploradas
Em dezembro, a equipe da CPR também revelou que a “Apache Log4j Remote Code Execution” foi a vulnerabilidade mais comumente explorada, afetando 48,3% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que afeta 43,8% das organizações em todo o mundo. A “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 41,5%.
- Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe uma vulnerabilidade de execução remota de código no Apache Log4j. A exploração bem-sucedida dessa vulnerabilidade pode permitir que um atacante remoto execute código arbitrário no sistema afetado.
- Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.
- HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) — Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar um código arbitrário na máquina da vítima.
Principais malwares móveis
Em dezembro, o AlienBot ficou em primeiro lugar no índice de malware móvel mais prevalente, seguido por xHelper e FluBot. Estes três malwares móveis ocuparam respectivamente as mesmas posições no mês de novembro de 2021.
AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.
xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
FluBot – É um malware de rede de bots Android distribuído por meio de mensagens SMS de phishing, na maioria das vezes se passando por marcas de entrega e logística. Assim que o usuário clica no link inserido na mensagem, o FluBot é instalado e obtém acesso a todas as informações confidenciais no telefone.