O malware mais temido de dezembro: Emotet volta ao topo do Índice Global de Ameaças

Investigadores da Check Point denunciam uma nova campanha utilizando o trojan Emotet que tem vitimado mais de 100,000 utilizadores por dia. 

Portugal também sofreu o impacto do Emotet em 25% das organizações

A Check Point Research, área de Threat Intelligence da of Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, acaba de publicar o mais recente Índice Global de Ameaças, referente ao mês de dezembro de 2020. O trojan Emotet retorna ao primeiro lugar da lista, com um impacto global de 7% das organizações, resultante da disseminação de uma campanha de spam que, durante o período de férias, vitimou mais de 100,000 utilizadores por dia. Em Portugal, o trojan foi responsável por impactar 25% das organizações portuguesas. 

Em setembro e outubro de 2020, o Emotet esteve consistentemente no topo do Índice Global de Ameaças, estando na origem de uma onda de ataques de ransomware. Em novembro, contudo, foi menos prevalente, descendo até ao quinto lugar. De acordo com os investigadores, o Emotet está agora atualizado com novas variantes maliciosas e melhores capacidades de fuga à deteção. Além disso, a nova campanha maliciosa recorre a diferentes técnicas de disseminação, incluindo links incorporados, documentos anexados ou ficheiros Zip protegidos por palavras-passe.

Identificado pela primeira vez em 2014, o Emotet tem sido atualizado regularmente pelos seus programadores, no sentido de manter a sua eficácia. O Departamento de Segurança Nacional dos Estados Unidos estimou que cada um dos incidentes envolvendo o Emotet custa às organizações mais de 1 milhão de dólares para corrigir. 

“O Emotet foi desenvolvido originalmente como malware bancário que entrava nos computadores dos utilizadores para roubar informações privadas e sensíveis. Entretanto, foi evoluindo ao longo de tempo, afirmando-se, agora, como uma das variantes de malware mais destrutivas e onerosas,” afirma Maya Horowitz, Director, Threat Intelligence & Research, Products da Check Point. “É imperativo que as organizações estejam conscientes da ameaça que o Emotet representa, assegurando que contam com sistemas de segurança robustos e capazes de prevenir o roubo de dados. Devem, além disso, oferecer aos seus colaboradores uma formação extensiva que lhes permita identificar os tipos de e-mails maliciosos que disseminam Emotet.”

A equipa de investigação alerta ainda para o “MVPower DVR Remote Code Execution”, a vulnerabilidade explorada mais comummente, impactando 42% das organizações a nível global, e para o HTTP Headers Remote Code Execution (CVE-2020-13756)”, igualmente com um impacto de 42% nas organizações a nível global. 

Top de famílias malware de dezembro em Portugal 

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente ao mês anterior  

Este mês, o Emotet manteve-se como o malware mais popular do Índice, com um impacto global de 7% das organizações, seguido de perto pelo Trickbot e o Formbook – cada um responsável por impactar 4% das organizações a nível global. Em Portugal, o Emotet impactou 25% das organizações. Seguem-se o Dridex e o XMRig, responsáveis por impactar 11% e 7% das organizações a nível nacional, respetivamente. 

1. ↑ Emotet – Troiano modular e de autopropagação. O Emotet costumava ser usado como um troiano bancário e evoluiu para distribuidor de outros malwares ou de campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser espalhado através de e-mails de spam de phishing contendo anexos ou links maliciosos. 
2. ↑ Trickbot - O Trickbot é um troiano bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.
3. ↑ Formbook – Formbook é um Info Stealer que coleta credenciais de vários navegadores, capturas de ecrã, monitoriza e regista as teclas digitadas, podendo ainda fazer download e executar ficheiros de acordo com comandos C&C. 

Top de vulnerabilidades exploradas 

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior 

Em dezembro, o “MVPower DVR Remote Code Execution” foi a vulnerabilidade mais explorada, com um impacto de 42% das organizações a nível global, seguido do “HTTP Headers Remote Code Execution (CVE-2020-13756)”, também responsável por um impacto global de 42%. Em terceiro lugar e com um impacto global de 41% encontra-se o “Web Server Exposed Git Repository Information Disclosure”.

1. ↑ MVPower DVR Remote Code Execution - Uma vulnerabilidade na execução remota de código nos dispositivos MVPower DVR. Um atacante pode explorar remotamente esta fraqueza para executar um código arbitrário no router afetado por meio de um pedido de solicitação de acesso. 
2. ↓ HTTP Headers Remote Code Execution (CVE-2020-13756) - o HTTP Headers permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um HTTP Header vulnerável para correr qualquer código no dispositivo da vítima. 
3. ↑ Web Server Exposed Git Repository Information Disclosure - Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas. 

Top de famílias malware em dispositivos móveis

Este mês, o Hiddad está na primeira posição, como o malware móvel mais prevalente, seguido pelo xHelper e o Triada.

1. Hiddad - o Hiddad é um malware Android que reutiliza apps legítimas, lançando-as em lojas de terceiros. A sua principal função é a exibição de anúncios, mas pode também conceder acesso a detalhes chave de segurança do Sistema Operativo. 
2. xHelper - É uma aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, em que é usada para descarregar aplicações maliciosas e exibir anúncios fraudulentos. A aplicação é capaz de se esconder dos programas de antivírus móveis e do utilizador, sendo capaz de se reinstalar no caso do utilizador o desinstalar.
3. Triada - um Backdoor modular para Android que concede ao agente malicioso a possibilidade de fazer download de malware. 

O Índice de Impacto Global de Ameaças da Check Point e o ThreatCloud Map baseiam a sua informação no ThreatCloudTM da Check Point, a maior rede colaborativa de luta contra o cibercrime, que disponibiliza informação e tendências sobre ciberataques através de uma rede global de sensores de ameaças. A base de dados do ThreatCloud inclui mais de 2,5 mil milhões de websites e 500 milhões de ficheiros diariamente, identificando mais de 250 milhões de atividades de malware diariamente.

A lista completa das 10 principais famílias de malware de dezembro pode ser encontrada no Blog da Check Point.