O malware mais temido de Junho: Trickbot mantém-se no topo a nível global

• Utilizado habitualmente nas fases iniciais de um ataque de ransomware, o Trickbot impactou 6% das organizações portuguesas
• Em Portugal, o cabeça de lista foi o XMRig, um malware de mineração de criptomoeda com um impacto de 8%

A Check Point Research (CPR), área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, acaba de publicar o Índice Global de Ameaças referente a junho de 2021. O Trickbot é pelo segundo mês consecutivo o malware mais prevalente, a nível mundial. Em Portugal, à frente do Trickbot esteve apenas o XMRig, com um impacto de 8% das organizações nacionais.

O Trickbot é um botnet e trojan bancário capaz de roubar informação bancária, credenciais de conta e informações pessoais, bem como disseminar-se numa rede e implantar ransomware. No mês passado, a CPR reportou que o número médio de ataques ransomware por semana aumentou 93% nos últimos 12 meses, avisando que os ataques de ransomware não começam, por norma, com ransomware. Por exemplo, nos ataques do ransomware Ryuk, o malware Emotet era utilizado para infiltrar a rede, posteriormente infetada com o top malware deste mês, o Trickbot. Só numa terceira fase era encriptada a informação com o ransomware.

Desde que o botnet Emotet foi derrubado em janeiro, o trojan e botnet Trickbot adquiriu popularidade. Recentemente, foi associado a uma nova cadeia de ransomware chamada ‘Diavol’. O Trickbot é atualizado constantemente com novas funcionalidades e vetores de distribuição, que lhe permitem atender a múltiplos propósitos maliciosos.

"Grupos bem conhecidos de ransomware, como o Ryuk e o REvil, recorrem primeiramente a várias formas de malware para completar as fases iniciais da infecção - uma delas é precisamente o Trickbot", afirma Maya Horowitz, Director, Threat Intelligence & Research, Products da Check Point. "As organizações têm de estar profundamente conscientes dos riscos e assegurar a existência de soluções adequadas. Para além do botnet e do trojan bancário, Trickbot, o top deste mês inclui uma grande variedade de diferentes tipos de malware incluindo botnets, infostealers, backdoors, RATs e malware móvel. É crucial que as organizações disponham das tecnologias certas para lidar com uma tão grande variedade de ameaças. Se o fizerem, a maioria dos ataques, mesmo os mais avançados como o REvil, podem ser evitados sem perturbar o fluxo de trabalho normal".

A CPR revelou ainda que a “HTTP Headers Remote Code Execution” foi a vulnerabilidade mais explorada este mês, seguida da “MVPower DVR Remote Code Execution”, responsável por impactar 45% das organizações a nível global. Em terceiro lugar, esteve a “Dasan GPON Router Authentication Bypass”, com um impacto global de 44%.

Top de famílias malware de junho

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior

Este mês, o Trickbot foi o malware mais popular, com um impacto de 7% das organizações a nível mundial. Seguiram-se o XMRig e o Formbook, com um impacto de 3% cada.

Em Portugal, a lista alterou-se ligeiramente, com o XMRig a ocupar o primeiro lugar, com um impacto de 8% das organizações nacionais. Em segundo lugar, esteve o Trickbot, responsável por impactar 6% das organizações portuguesas. O Crackonosh, um malware de mineração de criptomoeda que se mantém nos dispositivos através da desinstalação de softwares de segurança e da desativação de atualizações do Windows, teve uma prevalência de 4% entre as organizações portuguesas.

1. ↔ Trickbot – O Trickbot é um Trojan bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.
2. ↔ XMRig – Software de mining CPU em open-source, usado para o processo de mineração da criptomoeda Monero, detetado pela primeira vez em Maio de 2017.
3. ↔ Formbook – Formbook é um Info Stealer que coleta credenciais de vários navegadores, capturas de ecrã, monitoriza e regista as teclas digitadas, podendo ainda fazer download e executar ficheiros de acordo com comandos C&C.

Top de vulnerabilidades exploradas

Em junho, “HTTP Headers Remote Code Execution” foi a vulnerabilidade mais explorada, com um impacto global de 48% das organizações, seguido da “MVPower DVR Remote Code Execution”, responsável por impactar 45% das organizações a nível mundial. Seguiu-se a “Dasan GPON Router Authentication Bypass”, com um impacto global de 44%.

1. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – O HTTP Headers permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um HTTP Header vulnerável para correr qualquer código no dispositivo da vítima.
2. ↑ MVPower DVR Remote Code Execution – Uma vulnerabilidade na execução remota de código nos dispositivos MVPower DVR. Um atacante pode explorar remotamente esta fraqueza para executar um código arbitrário no router afetado por meio de um pedido de solicitação de acesso.
3. ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Vulnerabilidade de autenticação bypass que existe em routers Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permitirá a atacantes remotos a obtenção de informação sensível e o acesso não autorizado ao sistema infetado.

Top malware para dispositivos móveis

Este mês, o primeiro lugar foi ocupado pelo xHelper. Seguiu-se o Hiddad e o XLoader.

1. xHelper – É uma aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, em que é usada para descarregar aplicações maliciosas e exibir anúncios fraudulentos. A aplicação é capaz de se esconder dos programas de antivírus móveis e do utilizador, sendo capaz de se reinstalar no caso do utilizador o desinstalar.
2. Hiddad – O Hiddad é um malware Android que reutiliza apps legítimas, lançando-as em lojas de terceiros. A sua principal função é a exibição de anúncios, mas pode também conceder acesso a detalhes chave de segurança do Sistema Operativo.
3. XLoader – O XLoader é um Android Spyware e um Trojan Bancáriio desenvolvido pelo grupo de hackers chinês Yanbian Gang. Este malware utiliza a técnica de spoofing de DNS para distribuir apps de Android infetadas, de forma a recolher informação financeira e pessoal.

O Índice de Impacto Global de Ameaças da Check Point e o ThreatCloud Map baseiam a sua informação no ThreatCloudTM da Check Point, a maior rede colaborativa de luta contra o cibercrime, que disponibiliza informação e tendências sobre ciberataques através de uma rede global de sensores de ameaças. A base de dados do ThreatCloud inclui mais de 3 mil milhões de websites e 600 milhões de ficheiros diariamente, identificando mais de 250 milhões de atividades de malware diariamente.

A lista completa das 10 principais famílias de malware de junho pode ser encontrada no Blog da Check Point.