O Trickbot, botnet em constante atualização que pode ser utilizado em campanhas com os mais variados objetivos, liderou o Índice Global de Ameaças de maio da Check Point Research, divisão de inteligência em ameaças da Check Point Software, e ocupou o segundo lugar no índice do Brasil com impacto de 8,76%. Ele havia entrado pela primeira vez na lista em abril de 2019.
Já o trojan Dridex saiu do Top 10 depois de ser um dos malwares mais populares nos últimos meses em meio a um aumento global de ataques de ransomware. Embora ainda não se saiba o motivo de sua saída da lista, relatórios recentes indicam que o grupo Evil Corp., conhecido por distribuir o Dridex, mudou sua abordagem de ataque como forma de se livrar das sanções do Departamento do Tesouro dos Estados Unidos.
Em relação ao Trickbot, trata-se de uma botnet e cavalo de Troia bancário capaz de roubar informações financeiras, credenciais de conta e dados pessoais, bem como disseminar-se numa rede e implantar um ransomware, em particular o Ryuk. Esse malware está constantemente sendo atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe confere um caráter flexível e personalizável que permite a sua disseminação por meio de campanhas com múltiplos propósitos.
O Trickbot ganhou popularidade após o esforço global que interrompeu a ação da botnet Emotet, em janeiro, e ganhou novo destaque no início de junho quando o Departamento de Justiça dos Estados Unidos acusou uma mulher da Letônia por seu papel na criação e implantação do Trickbot.
Desde o início de 2021, a divisão CPR acompanha um aumento significativo no volume de ciberataques contra empresas. Na comparação com maio de 2020, a Check Point Research observou um acréscimo de 70% no número de ciberataques nas Américas, enquanto a região da EMEA (Europa, Oriente Médio e África) apresenta um aumento de 97% em relação a maio de 2020 e APAC (Ásia-Pacífico) com impressionantes 168% ano a ano.
“Muito tem se falado sobre o recente aumento nos ataques de ransomware, mas, na verdade, estamos diante de um grande aumento no número de ataques cibernéticos em geral. É uma tendência significativa e preocupante”, afirma Maya Horowitz, diretora de pesquisa de inteligência de ameaças da Check Point Research.
Principais famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.
Em maio, o Trickbot se tornou o malware mais popular com um impacto global de 8,28% das organizações, seguido por XMRig e Formbook, sendo que cada um afetou 3% das organizações em todo o mundo.
↑ Trickbot – É um cavalo de Troia bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.
↑ XMRig – É um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017.
↑ Formbook – É um “ladrão” de informações que coleta credenciais de vários navegadores da web e imagens, monitora e registra pressionamentos de tecla e pode baixar e executar arquivos de acordo com seus pedidos de comando e controle (C&C).
Veja isso
Trojan Trickbot está de volta em nova campanha de spam malicioso
AgentTesla, Dridex e Trickbot lideram ataques no Brasil
Principais vulnerabilidades exploradas
Em maio, a equipe da CPR também revelou que a vulnerabilidade mais comum explorada foi a “Web Server Exposed Git Repository Information Disclosure”, afetando 48% das organizações globalmente, seguida pela “HTTP Headers Remote Code Execution (CVE-2020-13756)”, que impactou 47,5% das organizações no mundo todo. A vulnerabilidade “MVPower DVR Remote Code Execution” ocupou o terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 46%.
↔ Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.
↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar um código arbitrário na máquina da vítima.
↔ MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada.
Principais malwares móveis
Em maio, o xHelper ocupou o primeiro lugar no índice de malware móvel mais prevalente, seguido por Triada e Hiddad. São os mesmos malwares móveis destacados em abril de 2021.
1. xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
2. Triada – Um backdoor modular para Android que concede privilégios de superusuário ao malware baixado.
3. Hiddad – Um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.
Os principais malwares de maio no Brasil
O principal malware no Brasil em maio de 2021 foi o Proxy, um cavalo de Troia que tem como alvo a plataforma Windows. Este malware envia informações do sistema a um atacante remoto e configura um servidor proxy no sistema da vítima. O Proxy lidera a lista nacional com um índice de 8,99%. Enquanto o Trickbot ocupou o segundo lugar com impacto de 8,76%, seguido pelo XMRig com 8,45%.
