Trojan Emotet regressa ao topo da lista de ameaças impactando 11% das organizações portuguesas

A Check Point Research revela ainda que a Apache Log4j se mantém a vulnerabilidade mais explorada no mundo

A Check Point Research, área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, acaba de publicar o mais recente Índice Global de Ameaças referente a janeiro de 2022. A equipa de investigadores de segurança da Check Point alertam para o regresso do Emotet ao primeiro lugar da lista mundial, com o Trickbot “destronado” após um longo período na posição cimeira. O ranking português segue a tendência, com o Emotet a impactar 11% das organizações portuguesas.

Passados apenas dois meses e meio após o seu regresso, o Emotet volta ao lugar de topo. O botnet é habitualmente disseminado através de e-mails de phishing que contêm anexos ou links maliciosos. O seu crescimento foi impulsionado pela prevalência do Trickbot entre as ameaças mais frequentes. O Trickbot funciona como catalisador e contribui para a disseminação do malware. Entretanto, o Dridex já não consta do top 10 de ameaças, tendo sido substituído pelo Lokibot, um InfoStealer utilizado para obter dados pessoais, como credenciais de e-mail, palavras-passe para wallets de CryptoCoin e servidores FTP.

“Não surpreende que o Emotet esteja de volta em grande forma. É um malware evasivo, é difícil de detetar, e utiliza múltiplos métodos para infetar redes, o que contribui ainda mais para o crescimento desta ameaça. É pouco provável que este seja um problema resolvido a curto prazo,” afirma Maya Horowitz, VP Research at Check Point Software. “Este mês, vimos também o Dridex desaparecer do top10 de ameaças e o Lokibot a reaparecer. O Lokibot aproveita-se das vítimas nos seus momentos mais frágeis, sendo distribuído através de e-mails de phishing muito bem escritos. Estas ameaças, juntamente com a batalha em curso com a vulnerabilidade do Log4j, sublinham a importância de contar com as melhores soluções de segurança de rede, cloud, mobile e endpoints de utilizador.”

A Check Point Research (CPR) revela este mês que a Saúde é o setor mais atacado em Portugal, seguido da Educação/Investigação e, em terceiro lugar, o setor Utilities. Na Europa, o top é liderado pelo setor da Educação/Investigação, seguido da Administração Pública/Setor Militar e as Comunicações. No mundo, o setor da Educação/Investigação mantém-se o mais atacado, seguido da Administração Pública/Setor Militar e do setor ISP/MSP.

A vulnerabilidade “Apache Log4j Remote Code Execution” é ainda a mais comumente explorada, com impacto global de 47.4% das organizações, seguida da “Web Server Exposed Git Repository Information Disclosure”, que impactou 45% das organizações do mundo. Em terceiro lugar, a “HTTP Headers Remote Code Execution”, com um impacto global de 42%.

Top malware families

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente ao mês anterior 

Este mês, o Emotet é o malware mais perigoso do mundo, com um impacto de 6% das organizações do mundo. É seguido de perto pelo Trickbot, com um impacto de 4%, e pelo Formbook, com um impacto de 3%.

Também em Portugal a lista é liderada pelo Emotet, com um impacto nacional de 11%. Seguem-se o AgentTesla, um trojan de acesso remoto que funciona como keylogger e que em Portugal impactou 4% das organizações; e o XMRig, um software de mineração de criptomoeda com um impacto de 3%.

1. ↑ Emotet – Trojan avançado, auto-propagador e modular. O Emotet já foi utilizado como Trojan bancário, mas recentemente é utilizado para distribuir malware e outras campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser disseminado através de e-mails de spam de phishing contendo anexos ou links maliciosos.
2. ↓ Trickbot - Trojan bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.
3. ↔ Formbook – Info Stealer que coleta credenciais de vários navegadores, capturas de ecrã, monitoriza e regista as teclas digitadas, podendo ainda fazer download e executar ficheiros de acordo com comandos C&C.

Indústrias mais atacadas em Portugal:

Este mês, o setor da Saúde foi o mais atacado em Portugal, seguido pela Educação/Investigação e, em terceiro, as Utilities.

1. Saúde
2. Educação/Investigação
3. Utilities

Indústrias mais atacadas na Europa:

Este mês, Educação/Investigação é o setor mais atacado a nível europeu, seguido pela Administração Pública/Indústria Militar e, em terceiro lugar, a indústria das Comunicações.

1. Educação/Investigação
2. Administração Pública/Indústria Militar
3. Comunicações

Indústrias mais atacadas no mundo:

Este mês, Educação/Investigação é o setor mais atacado globalmente, seguido pela Administração Pública/Indústria Militar e ISP/MSP.

1. Educação/Investigação
2. Administração Pública/Indústria Militar
3. ISP/MSP

Vulnerabilidades mais exploradas

Este mês, a “Apache Log4j Remote Code Execution” é a vulnerabilidade mais comumente explorada, afetando 47.4% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que afeta 45% das organizações em todo o mundo. “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 42%.

1. ↔ Apache Log4j Remote Code Execution (CVE-2021-44228) – Vulnerabilidade que permite a execução remota de código presente no Apache Log4j. A exploração bem-sucedida desta vulnerabilidade permitirá um atacante remoto executar código arbitrariamente no sistema infetado.
2. ↔ Web Server Exposed Git Repository Information Disclosure – Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um Header HTTP vulnerável para correr qualquer código no dispositivo da vítima.

Principais malwares móveis

Este mês, o xHelper fica em primeiro lugar na lista de malware móveis mais prevalentes, seguido pelo AlienBot e pelo FluBot.

1. xHelper – Aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, utilizada para descarregar aplicações maliciosas e exibir anúncios. A aplicação é capaz de se esconder do utilizador, podendo reinstalar-se no caso do utilizador a desinstalar.
2. AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite um atacante remoto injetar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla o dispositivo.
3. FluBot – Botnet para Android distribuído via mensagens SMS de phishing que imitam marcas de logística e entregas. Assim que o utilizador clica no link enviado, o FluBot é instalado e tem acesso a todas as informações sensíveis do telemóvel.

O Índice de Impacto Global de Ameaças e o ThreatCloud Map da Check Point Software são proporcionados pela inteligência da ThreatCloud. A ThreatCloud fornece threat inteligence em tempo real derivada de centenas de milhões de sensores em todo o mundo, sobre redes, endpoints e dispositivos móveis. A inteligência é enriquecida por mecanismos IA e dados de investigação exclusivos da Check Point Research, área de Threat Intelligence da Check Point Software Technologies.

A lista completa das 10 principais famílias de malware em janeiro pode ser encontrada no blog da Check Point.