Mesmo depois de a Europol ter anunciado a desarticulação e tomado o controle do Emotet no último dia 27 de janeiro, a botnet se manteve no primeiro lugar na lista de malwares pela segunda vez consecutiva, com um impacto global de 6% das organizações, de acordo com o Índice Global de Ameaças elaborado pela Check Point Research, braço de inteligência em ameaças da Check Point Software.
A ação do serviço europeu de polícia incumbido do tratamento e intercâmbio de informação criminal da Europa fez decrescer o número de organizações impactadas pelo Emotet em 14%; em seus planos futuros consta a desinstalação em massa do malware dos dispositivos infectados, prevista para 25 de abril. As campanhas maliciosas de spam utilizam diversas técnicas para disseminar a botnet, como links, documentos anexados ou arquivo zip protegidos por senha.
Identificado pela primeira vez em 2014, o Emotet tem sido atualizado regularmente pelos seus desenvolvedores de forma a manter a sua eficácia. Agência de Segurança Cibernética e Infraestrutura dosEstados Unidos (CISA) estima que a resolução de um incidente envolvendo o Emotet custe às organizações mais de US$ 1 milhão.
“O Emotet é uma das variantes de malware mais onerosas e prejudiciais já vista. O esforço conjunto feito pelos organismos e meios legais para o derrubá-lo foi essencial, é uma grande conquista”, afirma Maya Horowitz, diretora de Pesquisa de Inteligência de Ameaças da Check Point Research. “Contudo, novas ameaças surgirão inevitavelmente para o substituir, e as organizações ainda precisarão garantir com sistemas de segurança robustos a proteção de suas redes. Como sempre, um treinamento e a educação ampla aos colaboradores são essenciais para que sejam capazes de identificar os diferentes tipos de e-mails maliciosos que espalham cavalos de Troia e bots”, reforça Maya.
Veja isso
Ataque da Trickbot ao firmware pode até impedir o boot em PCs
Trojan ataca finanças no Brasil e está pronto para exportação
A Check Point Research também alerta que a MVPower DVR Remote Code Execution foi a vulnerabilidade mais comum explorada em janeiro, afetando 43% das organizações globalmente, seguida pela “HTTP Headers Remote Code Execution (CVE-2020-13756), que impactou 42% das organizações em todo o mundo. A falha Dasan GPON Router Authentication Bypass (CVE-2018-10561) aparece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 41%.
Principais famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.
Em janeiro deste ano, o Emotet continua sendo o malware mais popular, com um impacto global de 6% das organizações, seguido de perto pelo Phorpiex e o Trickbot, que impactaram 4% das organizações em todo o mundo cada um.
↔ Emotet – É um trojan avançado, autopropagável e modular. Anteriormente era um trojan bancário e recentemente foi usado para distribuir outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.
↑ Phorpiex – Uma botnet conhecida por distribuir outras famílias de malware por meio de campanhas de spam, além de alimentar campanhas de extorsão do tipo “sextortion” em larga escala.
↓ Trickbot – É um trojan bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.
Principais vulnerabilidades exploradas
Em janeiro, a MVPower DVR Remote Code Execution foi a vulnerabilidade explorada mais comum, afetando 43% das organizações globalmente, seguida pela HTTP Headers Remote Code Execution (CVE-2020-13756), que impactou 42% das organizações em todo o mundo. A Dasan GPON Router Authentication Bypass (CVE-2018-10561) ficou em terceiro lugar na lista de vulnerabilidades mais exploradas com um impacto global de 41%.
↔ MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada.
↔ HTTP Headers Remote Code Execution (CVE-2020-13756) – Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar código arbitrário na máquina da vítima.
↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Uma vulnerabilidade de desvio de autenticação que existe em roteadores Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permite que atacantes remotos obtenham informações confidenciais e o acesso não autorizado ao sistema infectado.
Principais malwares móveis
Em janeiro, Hiddad ocupa o primeiro lugar como o malware móvel mais prevalente no mês, seguido por xHelper e Triada.
1. Hiddad – Um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.
2. xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
3. Triada – Uma backdoor modular para Android que concede privilégios de superusuário ao malware baixado.
Os principais malwares de janeiro no Brasil
O principal malware no Brasil em janeiro de 2021 foi o XMRig, cujo impacto nas organizações no mundo foi de 3,23%, ao passo que no Brasil o índice foi de 6,41% das organizações brasileiras impactadas. O Emotet não aparece na lista Top 10 do Brasil do mês passado.
