Saiu hoje o relatório semestral “Tendências dos Ciberataques: Primeiro Semestre de 2020”, da Check Point, que indica como cibercriminosos e grupos de ciberameaças políticas e de Estado-nação exploraram a pandemia da covid-19 e temas correlatos. Os temas foram utilizados em campanhas para atingir organizações em todos os setores da economia, incluindo governos, indústria, assistência médica, provedores de serviços, infraestruturas críticas e consumidores informa o estudo.
Segundo o relatório, os ataques de phishing e malware relacionados à covid-19 cresceram drasticamente de menos de 5 mil por semana em fevereiro para mais de 200 mil por semana no final de abril. Em maio e junho, quando alguns países começaram a reduzir flexibilizar seus lockdowns, os cibercriminosos também aumentaram os ataques não relacionados à pandemia. Isso provocou um aumento de 34% em todos os tipos de ciberataques no final de junho, na comparação com os meses de março e abril.
Veja isso
Covid-19: Especialistas detectam aumento de 30.000% nas ameaças
Orçamentos de cyber perdem o passo diante do volume de ameaças
Estas são as principais tendênciais apontadas pelo estudo:
• Mais ciberguerra: os ciberataques de estados-nação aumentaram em intensidade e gravidade, já que procuravam reunir informações ou interromper o controle da situação da pandemia por seus rivais. Isso se estendeu a organizações de saúde e humanitárias, como a OMS, que relatou um aumento de 500% em número de ataques.
• Ataques de dupla extorsão: os atacantes extraem grandes quantidades de dados antes de criptografar os sistemas das vítimas. Em seguida, ameaçaram com o vazamento dos dados caso as vítimas se recusem a pagar o valor do resgate para recuperação dessas informações.
• Explorações (exploits) de vulnerabilidades em dispositivos móveis: os cibercriminosos buscaram novos vetores de infecção, aprimoraram suas técnicas para contornar as medidas de segurança e colocaram aplicativos maliciosos nas lojas oficiais. Em outro ataque inovador, cibercriminosos usaram o sistema MDM (Mobile Device Management) de uma corporação internacional para distribuir malware a mais de 75% de seus dispositivos móveis.
• Exposição a riscos na nuvem: a rápida migração do trabalho para nuvens públicas, ocorrida durante a pandemia, levou a um aumento de ataques direcionados a cargas de trabalho (workloads) e a dados críticos armazenados na nuvem. Os cibercriminosos também estão usando a infraestrutura de nuvem das empresas para armazenar payloads maliciosos. Em janeiro, os pesquisadores da Check Point encontraram uma primeira vulnerabilidade crítica no ambiente Microsoft Azure, que permitiria aos cibercriminosos comprometer os dados e aplicativos de outros usuários do Azure.
As variantes de malware mais comuns durante o primeiro semestre de 2020 foram:
Principais malwares
• Emotet (impactando 9% das organizações em todo o mundo) – O Emotet é um trojan avançado, que se autopropaga e modular. Era originalmente um trojan bancário, mas, recentemente foi usado para distribuir outros malwares ou campanhas maliciosas. Ele adota vários métodos para evitar a detecção. Além disso, também pode se espalhar por meio de e-mails de spam contendo anexos ou links maliciosos com phishing.
• XMRig (8%) – O XMRig é um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017. Os cibercriminosos geralmente usam esse software de código aberto para integrá-lo ao malware, a fim de realizar atividades de mineração ilegais nos dispositivos das vítimas.
• Agent Tesla (7%) – O AgentTesla é um RAT (Remote Access Trojan) avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e filtrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, Mozilla Firefox e o cliente de e-mail do Microsoft Outlook). O AgentTesla é vendido em vários mercados online e fóruns de hackers.
Principais criptomineradores
• XMRig (responsável por 46% de todas as atividades globais de criptomineração) – O XMRig é um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017. Os cibercriminosos geralmente usam esse software de código aberto para integrá-lo ao malware, a fim de realizar atividades de mineração ilegais nos dispositivos das vítimas.
• JSEcoin (28%) – Minerador de criptografia, baseado na web, projetado para o processo de mineração on-line da criptomoeda Monero quando um usuário visita uma determinada página web. O JavaScript implementado utiliza uma grande quantidade de recursos computacionais das máquinas dos usuários finais para extrair moedas, o que afeta o desempenho do sistema. O JSEcoin teve sua atividade interrompida em abril de 2020.
• Wannamine (6%) – O WannaMine é um sofisticado worm de criptomineração Monero que distribui a exploração (exploit) EternalBlue. O WannaMine implementa um mecanismo de distribuição e técnicas de persistência, aproveitando as assinaturas de eventos permanentes da WMI (Windows Management Instrumentation).
Principais famílias de malwares – Dispositivos móveis
• xHelper (responsável por 24% de todos os ataques de malware móvel) – xHelper é um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstalar caso seja desinstalado. O xHelper infectou mais de 45 mil dispositivos.
• PreAMo (19%) – O PreAMo é um malware do tipo clicker para dispositivos Android, relatado pela primeira vez em abril de 2019, que imita o usuário (sem o seu conhecimento) clicando em banners recuperados de três agências de publicidade: Presage, Admob e Mopub. Descoberto na Google Play, o malware foi baixado mais de 90 milhões de vezes em seis aplicativos móveis diferentes.
• Necro (14%) – é um aplicativo malicioso Android Trojan.Dropper que pode baixar outros malwares, mostrar anúncios intrusivos e cobrar de forma fraudulenta pelas assinaturas pagas.
Principais malwares bancários
• Dridex (responsável por 27% de todos os ataques de malware bancário) – O Dridex é um Trojan bancário direcionado à plataforma Windows e é distribuído via campanhas de spam e kits de exploração, os quais contam com o WebInjects para interceptar e redirecionar credenciais bancárias para um servidor controlado por atacante. O Dridex entra em contato com um servidor remoto, envia informações sobre o sistema infectado e pode baixar e executar módulos adicionais para controle remoto.
• Trickbot (20%) – O Trickbot é um Trojan bancário modular que tem como alvo a plataforma Windows e é entregue principalmente por meio de campanhas de spam ou outras famílias de malware, como o Emotet.
• Ramnit (15%) – O Ramnit é um Trojan bancário modular descoberto pela primeira vez em 2010. O Ramnit rouba informações de sessões da Web, oferecendo aos seus operadores a capacidade de roubar credenciais da conta para todos os serviços utilizados pela vítima, incluindo contas bancárias, contas corporativas e de redes sociais.
