O Malware Mais Temido de outubro de 2020: troianos Trickbot e Emotet na origem do aumento de ataques ransomware

Investigadores da Check Point verificam um aumento significativo dos ataques ransomware com hospitais e organizações de saúde a nível global como principal alvo.

A Check Point Research, área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, acaba de publicar o mais recente Índice Global de Ameaças de outubro de 2020. Destacam-se os troianos Trickbot e Emotet, que se mantém os malwares mais prevalentes, sendo responsáveis pela agudização dos ataques ransomware dirigidos a hospitais e serviços de saúde a nível global.

De acordo com dados da área de Threat Inteligence da Check Point, o número de ataques ransomware contra organizações de saúde e hospitais sofreu, em outubro, um aumento de 36% na região EMEA. Esta foi uma tendência que se verificou um pouco por todo o mundo, com a região APAC a registar um aumento de 33% e, nos Estados Unidos, com o setor de saúde a consolidar-se enquanto o mais atacado por ransomware, assinalando uma subida de 71% em relação ao mês anterior. 

Investigadores da Check Point alertam para o aumento exponencial dos ataques ransomware que se tem verificado desde que se iniciou a pandemia, num claro aproveitamento das possíveis falhas de segurança advindas das várias mudanças que ocorreram, e ocorrem, neste período. O alvo mais afetado tem sido o setor da saúde, por onde se têm disseminado os malwares TrickBot e Emotet. A Check Point impele todas as organizações de saúde a tomarem as devidas precauções de cibersegurança antes que estes agentes maliciosos causem danos reais.

A equipa de investigação alerta ainda para o “MVPower DVR Remote Code Execution”, a vulnerabilidade mais comummente explorada, impactando 43% das organizações a nível global, seguida da “Dasan GPON Router Authentication Bypass” e do “HTTP Headers Remote Code Execution (CVE-2020-13756)”, ambos responsáveis por um impacto mundial de 42% das organizações. 

Top de famílias malware de outubro em Portugal 

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente ao mês anterior  

Este mês, o Emotet manteve-se como o malware mais popular do Índice, com um impacto global de 14% nas organizações e nacional de 36%; de seguida, o Trickbot, com um impacto global e nacional de 4% e o Hiddad, com um impacto global de 4% e nacional de 0,11%. No top nacional de famílias malware, em segundo lugar encontra-se não o Trickbot, mas o Dridex, com um impacto de 7%, seguido pelo Zloader, um malware bancário de roubo de informações com um impacto de 6% no conjunto de organizações portuguesas. 

1. ↔ Emotet – Troiano modular e de autopropagação. O Emotet costumava ser usado como um troiano bancário e evoluiu para distribuidor de outros malwares ou de campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser espalhado através de e-mails de spam de phishing contendo anexos ou links maliciosos. 
2. ↔ Trickbot - O Trickbot é um troiano bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos. 
3. ↑Hiddad – o Hiddad é um malware Android que reutiliza apps legítimas, lançando-as em lojas de terceiros. A sua principal função é a exibição de anúncios, mas pode também conceder acesso a detalhes chave de segurança do Sistema Operativo.

Top de vulnerabilidades exploradas 

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior 

Este mês o “MVPower DVR Remote Code Execution” foi a vulnerabilidade mais explorada, com um impacto global de 43% das organizações, seguido do “Dasan GPON Router Authentication Bypass” e do “HTTP Headers Remote Code Execution (CVE-2020-13756)” responsáveis por impactar 42% das organizações em todo o mundo. 

1. ↔MVPower DVR Remote Code Execution - Uma vulnerabilidade na execução remota de código nos dispositivos MVPower DVR. Um atacante pode explorar remotamente esta fraqueza para executar um código arbitrário no router afetado por meio de um pedido de solicitação de acesso. 
2. ↔Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Vulnerabilidade de autenticação bypass que existe em routers Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permitirá a atacantes remotos a obtenção de informação sensível e o acesso não autorizado ao sistema infetado. 
3. ↑HTTP Headers Remote Code Execution (CVE-2020-13756) – o HTTP Headers permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um HTTP Header vulnerável para correr qualquer código no dispositivo da vítima. 

Top de famílias malware em dispositivos móveis

Este mês, o Hiddad foi o mobile malware mais popular, seguido do xHelper e do Lotoor. 

1. Hiddad – o Hiddad é um malware Android que reutiliza apps legítimas, lançando-as em lojas de terceiros. A sua principal função é a exibição de anúncios, mas pode também conceder acesso a detalhes chave de segurança do Sistema Operativo.
2. xHelper – É uma aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, em que é usada para descarregar aplicações maliciosas e exibir anúncios fraudulentos. A aplicação é capaz de se esconder dos programas de antivírus móveis e do utilizador, sendo capaz de se reinstalar no caso do utilizador o desinstalar.
3. Lotoor – o Lotoor é uma ferramenta de ataque que explora vulnerabilidades em sistemas operativos Android com o objetivo de aceder a dispositivos móveis comprometidos.

O Índice de Impacto Global de Ameaças da Check Point e o ThreatCloud Map baseiam a sua informação no ThreatCloudTM da Check Point, a maior rede colaborativa de luta contra o cibercrime, que disponibiliza informação e tendências sobre ciberataques através de uma rede global de sensores de ameaças. A base de dados do ThreatCloud inclui mais de 2,5 mil milhões de websites e 500 milhões de ficheiros diariamente, identificando mais de 250 milhões de atividades de malware diariamente.  

A lista completa das 10 principais famílias de malware de setembro pode ser encontrada no Blog da Check Point.   

Os recursos de prevenção de ameaças da Check Point estão disponíveis em: http://www.checkpoint.com/threat-prevention-resources/index.html