Report HP: Emotet entra para a pole position como malware mais difundido no Q1

O malware Emotet entrou para a primeira posição como a família de malware mais difundida no Q1 de acordo com o último Relatório Threat Insights da HP Wolf Security, que destaca um salto de 27% nas ameaças globais registadas, incluindo o aumento de malware baseado em scripts, contrabando de HTML e reinfeção persistente.

A HP Inc. (NYSE: HPQ) Wolf Security Threat Research Team anuncia que identificou um aumento de 27 vezes nas deteções de campanhas de spam maliciosas pela família Emotet no 1º trimestre de 2022, em comparação com o 4º trimestre de 2021 - quando o Emotet reapareceu pela primeira vez. O último relatório global HP Wolf Security Threat Insights Report - que inclui uma análise dos ataques de cibersegurança do mundo real - mostra que o Emotet subiu 36 lugares para se tornar a família de malware mais comum detetada neste trimestre. Uma destas campanhas - que foi dirigida a organizações japonesas e envolveu o sequestro de endereços de correio eletrónico para enganar os destinatários, levando-os a infetar os seus PCs - foi a principal responsável por um aumento de 879% nas amostras de malware .XLSM (Microsoft Excel) identificadas em comparação com o trimestre anterior.

Ao isolar as ameaças que escaparam às ferramentas de deteção e chegaram aos utilizadores finais, a HP Wolf Security tem uma visão específica das técnicas mais recentes que estão a ser utilizadas pelos cibercriminosos.

Os exemplos incluem:

• Alternativas maliciosas aos documentos do Microsoft Office estão a tornar-se populares, à medida que as macros começam a ser gradualmente eliminadas: À medida que a Microsoft começou a desativar as macros, a HP tem visto um aumento nos formatos não baseados no tráfego, incluindo ficheiros Java Archive maliciosos (+476%) e ficheiros JavaScript (+42%) em comparação com o último trimestre. Tais ataques são mais difíceis de defender porque as taxas de deteção para estes tipos de ficheiros são frequentemente baixas, aumentando a probabilidade de infeção.
• Os sinais indicam que o contrabando de HTML está a aumentar: O tamanho médio dos ficheiros de ameaças HTML cresceu de 3KB para 12KB, sugerindo um aumento na utilização do contrabando de HTML, uma técnica em que os criminosos informáticos incorporam malware diretamente em ficheiros HTML para contornar gateways de correio eletrónico e escapar à deteção, antes de obterem acesso e roubarem informação financeira crítica. Campanhas recentes foram vistas tendo como alvo bancos latino-americanos e africanos.
• Campanhas de malware “dois em um” levam a múltiplas infeções RAT: Foi encontrado um ataque Visual Basic script a ser utilizado para múltiplas infeções no mesmo dispositivo, dando aos atacantes acesso persistente aos sistemas das vítimas com VW0rm, NjRAT e AsyncRAT."Os nossos dados do Q1 mostram que esta é de longe a maior atividade que vimos do Emotet desde que o grupo foi redescoberto no início de 2021. Um sinal claro de que os atacantes se estão a reagrupar, recuperando a sua força e investindo no crescimento do botnet". "O Emotet foi outrora descrito pela CISA como um dos programas maliciosos mais destrutivos e dispendiosos de combater. Os atacantes colaboram frequentemente com grupos de ransomware, um padrão que podemos esperar que continue. Portanto, o seu ressurgimento é uma má notícia tanto para as empresas como para o sector público", explica Alex Holland, Analista de Malware Sénior, equipa de investigação de ameaças de segurança da HP Wolf, HP Inc. "O seu ressurgimento é uma má notícia para as empresas e para o sector público". "O Emotet também continuou a favorecer os ataques com macros - talvez para conseguir ataques antes do prazo de Abril da Microsoft, ou simplesmente porque as pessoas ainda têm macros ativadas e podem ser enganadas ao clicar na coisa errada".

Os resultados baseiam-se em dados de muitos milhões de endpoints que executam o HP Wolf Security. A HP Wolf Security rastreia malware ao abrir tarefas em máquinas isoladas e micro-virtuais (microVMs) para proteger o utilizador e compreender e capturar toda a cadeia de infeção tentada, mitigando as ameaças que escaparam a outras ferramentas de segurança. Até à data, os clientes da HP clicaram em mais de 18 mil milhões de anexos de correio eletrónico, páginas web, e downloads sem quaisquer violações relatadas. Estes dados fornecem conhecimentos únicos sobre a forma como os agentes de ameaças utilizam malware no mundo real. Outras descobertas chave no relatório incluem:

• Nove por cento das ameaças não tinham sido vistas antes na altura em que foram isoladas, tendo catorze por cento do malware isolado contornado pelo menos um scanner de gateway de correio eletrónico.
• Foram necessários mais de 3 dias (79 horas), em média, para ser conhecido pelo identificador Hash a outros instrumentos de segurança.
• 45% do malware isolado pela HP Wolf Security era de formatos de ficheiro Office.
• As ameaças utilizaram 545 famílias diferentes de malware nas suas tentativas de infetar organizações, sendo Emotet, AgentTesla e Nemucod os três primeiros.
• Um exploit do Editor de Equações da Microsoft (CVE-2017-11882) foi responsável por 18% de todas amostras maliciosas capturadas.
• 69% do malware foi detetado como sendo entregue através de correio eletrónico, enquanto os downloads na web foram responsáveis por 18%. Os anexos mais comuns utilizados para entregar malware foram documentos (29%), arquivos (28%), executáveis (21%), e folhas de cálculo (20%).
• Os anexos mais comuns utilizados para infeção com malware foram folhas de cálculo (33%), executáveis e scripts (29%), arquivos (22%), e documentos (11%).
• As técnicas de phishing mais comuns foram transações comerciais, tais como "Order", "Payment", "Purchase", "Request" e "Invoice".

Neste trimestre, vimos um aumento significativo de 27% no volume de ameaças capturadas pela HP Wolf Security. À medida que os cibercriminosos aperfeiçoam as suas abordagens em resposta às mudanças no panorama das TI, o volume e a variedade de ataques continua a aumentar, tornando mais difícil para as ferramentas convencionais detetar ataques. O Dr. Ian Pratt, Chefe Global de Segurança para Sistemas Pessoais, da HP Inc diz que: "Com a adoção de tipos e técnicas alternativas de ficheiros a serem utilizados para contornar a deteção, as organizações precisam de mudar de rumo e adotar uma abordagem estratificada para a segurança dos endpoints. Aplicando o princípio do privilégio mínimo e isolando os vetores de ameaça mais comuns - do correio eletrónico, browsers, ou downloads - tornando o malware entregue através destes vetores inofensivo, as organizações podem reduzir drasticamente a sua exposição ao risco de ciberameaças”.