8% das organizações portuguesas impactadas pelo trojan bancário Dridex em dezembro

Check Point avança ainda que a vulnerabilidade presente no Apache Log4j afetou quase metade de todas as empresas do mundo em dezembro

A Check Point Research (CPR), área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, acaba de publicar o Índice Global de Ameaças referente a dezembro de 2021. Num mês que viu surgir a vulnerabilidade no Apache Log4j, os investigadores relatam que o Trickbot é ainda o malware mais prevalente, apesar de, em dezembro, apresentar uma menor taxa de impacto de 1% entre as organizações de todo o mundo em comparação com o mês passado (em novembro, o impacto foi de 5%). Em Portugal, a lista de ameaças é ligeiramente diferente, com o trojan bancário Dridex a destacar-se entre as restantes. A nível nacional, ressalta ainda o setor jurídico, o mais visado em dezembro.

Este mês, “Apache Log4j Remote Code Execution” foi a vulnerabilidade mais explorada, afetando 48.3% das organizações de todo o mundo. A vulnerabilidade foi identificada primeiramente no Log4j do Apache – a biblioteca de logging mais popular do Java utilizada em muitos serviços de Internet e aplicações com mais de 400,000 downloads. A vulnerabilidade deu origem a uma nova praga e impactou quase metade de todas as empresas do mundo num curto espaço de tempo. Os atacantes podem explorar apps vulneráveis para executar cryptojackers e outros malware em servidores comprometidos. Até agora, a maioria dos ataques têm-se focado na mineração de criptomoeda às custas das vítimas, contudo, os atacantes mais avançados já começaram a agir agressivamente, procurando tirar proveito de alvos mais críticos.

“O Log4j dominou as manchetes em dezembro. É uma das vulnerabilidades mais críticas que já testemunhámos, e devido à complexidade que exige fazer a patch, bem como à facilidade da sua exploração, é provável que fique connosco por muitos anos, a não ser que as organizações tomem ações imediatas para prevenir ataques,” afirma Maya Horowitz, VP Research at Check Point Software. “Este mês, vimos também o botnet Emotet subir do sétimo lugar do top de malware mais prevalentes para a segunda posição. Tal como suspeitávamos, não demorou muito para o Emotet construir uma base forte desde o seu ressurgimento em novembro. É evasivo e tem-se disseminado rapidamente através de e-mails de phishing com anexos maliciosos ou links. É hoje mais importante que nunca contar com uma solução de segurança para e-mail robusta para garantir que os utilizadores sabem identificar mensagens e anexos suspeitos.”

A CPR revelou ainda que, este mês, o setor jurídico foi o mais atacado em Portugal, seguido pela Educação/Investigação e, em terceiro lugar, a Saúde. Na Europa, os três setores mais afetados são, em primeiro lugar, Educação/Investigação, a Administração Pública/Indústria Militar e, em terceiro, as Utilities. A nível global, a indústria da Saúde é a mais visada, seguida pela Administração Pública/Indústria Militar e pelos serviços ISP/MSP.

Principais famílias de malware em Portugal e no mundo

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente ao mês anterior 

Este mês, o Trickbot é o malware mais popular, afetando 4% das organizações em todo o mundo, seguido pelo Emotet e Formbook, ambos com um impacto global de 3%.

1. ↔ Trickbot – Trojan bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.
2. ↑ Emotet – Trojan avançado, auto-propagador e modular. O Emotet já foi utilizado como Trojan bancário, mas recentemente é utilizado para distribuir malware e outras campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser disseminado através de e-mails de spam de phishing contendo anexos ou links maliciosos.
3. ↔ Formbook – Info Stealer que coleta credenciais de vários navegadores, capturas de ecrã, monitoriza e regista as teclas digitadas, podendo ainda fazer download e executar ficheiros de acordo com comandos C&C.

Em Portugal, a lista de ameaças mais prevalentes foi um pouco diferente. Destacou-se o trojan bancário Dridex, com um impacto nacional de 8%. Seguiu-se o Qbot, responsável por impactar 7% das organizações portuguesas e, em terceiro lugar, o AgentTesla, que afetou 6% das empresas em Portugal.

Indústrias mais atacadas em Portugal:

Este mês, o setor jurídico foi o mais atacado em Portugal, seguido pela Educação/Investigação e, em terceiro, a Saúde.

1. Setor júrico
2. Educação/Investigação
3. Saúde

Indústrias mais atacadas na Europa:

Este mês, Educação/Investigação é o setor mais atacado a nível europeu, seguido pela Administração Pública/Indústria Militar e, em terceiro lugar, a indústria das Utilities.

1. Educação/Investigação
2. Administração Pública/Indústria Militar
3. Utilities

Indústrias mais atacadas no mundo:

Este mês, Educação/Investigação é o setor mais atacado globalmente, seguido pela Administração Pública/Indústria Militar e ISP/MSP.

1. Educação/Investigação
2. Administração Pública/Indústria Militar
3. ISP/MSP

Principais vulnerabilidades exploradas

Este mês, “Apache Log4j Remote Code Execution” é a vulnerabilidade mais comumente explorada, afetando 48.3% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que afeta 43,8% das organizações em todo o mundo. “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 41.5%.

1. ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Vulnerabilidade que permite a execução remota de código presente no Apache Log4j. A exploração bem-sucedida desta vulnerabilidade permitirá um atacante remoto executar código arbitrariamente no sistema infetado.
2. ↔ Web Server Exposed Git Repository Information Disclosure – Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um Header HTTP vulnerável para correr qualquer código no dispositivo da vítima.

Principais malwares móveis

Este mês, o AlienBot fica em primeiro lugar nos malwares móveis mais prevalentes, seguido por xHelper e FluBot.

1. AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite um atacante remoto injetar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla o dispositivo.
2. xHelper – Aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, utilizada para descarregar aplicações maliciosas e exibir anúncios. A aplicação é capaz de se esconder do utilizador, podendo reinstalar-se no caso do utilizador a desinstalar.
3. FluBot – Botnet para Android distribuído via mensagens SMS de phishing que imitam marcas de logística e entregas. Assim que o utilizador clica no link enviado, o FluBot é instalado e tem acesso a todas as informações sensíveis do telemóvel.

O Índice de Impacto Global de Ameaças e o ThreatCloud Map da Check Point Software são proporcionados pela inteligência da ThreatCloud. A ThreatCloud fornece threat inteligence em tempo real derivada de centenas de milhões de sensores em todo o mundo, sobre redes, endpoints e dispositivos móveis. A inteligência é enriquecida por mecanismos IA e dados de investigação exclusivos da Check Point Research, área de Threat Intelligence da Check Point Software Technologies.

A lista completa das 10 principais famílias de malware em dezembro pode ser encontrada no blog da Check Point.