Educação foi o setor mais afetado em Portugal no mês de novembro

 Educação foi o setor mais afetado em Portugal no mês de novembro

AgentTesla continua a ser o que mais afeta as empresas portuguesas.

Check Point Research, área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, publicou o seu último Índice Global de Ameaças para Novembro de 2022. Este mês, assistimos à manutenção do AgentTesla como o que mais afetou as empresas tanto a nível nacional como internacional. O Qbot passou para o terceiro lugar pela primeira vez desde Julho de 2021, com um impacto global de 4%, e houve um notório aumento nos ataques de Raspberry Robin, um worm sofisticado que tipicamente utiliza unidades de USB para infetar as máquinas. Já o setor da educação/ investigação foi o mais afetado em Portugal no mês de novembro, destronando o setor da saúde. 

Em Julho de 2022, a Check Point Research (CPR) reportou uma diminuição significativa no impacto e atividade global do Emotet, suspeitando que a sua ausência seria apenas temporária. Como previsto, o trojan malware auto-propagador está agora novamente a ascender no índice, alcançando o segundo lugar como o malware mais difundido em Novembro, com um impacto de 4% nas organizações a nível global. Enquanto o Emotet começou como um trojan bancário, a sua conceção modular permitiu-lhe evoluir para um distribuidor de outros tipos de malwares, e é comumente difundido através de campanhas de phishing. A crescente prevalência do Emotet poderia ser parcialmente explicada por uma série de novas campanhas de malspam lançadas em Novembro, que se destinam a distribuir cargas de trojans bancários IcedID. 

Além disso, pela primeira vez desde Julho de 2021, o Qbot, um Trojan que rouba credenciais bancárias e keystrokes, alcançou o terceiro lugar na lista de Top malware, com um impacto global de 4% e de 6,47% a nível nacional. Os autores das ameaças por detrás do malware são criminosos que roubam dados financeiros, credenciais bancárias, e informação do browser de sistemas infetados e comprometidos. Assim que os agentes da ameaça Qbot conseguem infetar um sistema, instalam uma backdoor para conceder acesso aos operadores de ransomware, levando a ataques de dupla extorsão. Em Novembro, Qbot aproveitou a vulnerabilidade do Windows Zero-Day para proporcionar aos atores da ameaça acesso total às redes infetadas.

Este mês também assistiu a um aumento do Raspberry Robin, um worm sofisticado que utiliza unidades USB infetadas que contêm ficheiros de atalho do Windows que aparentam ser legítimos, mas que, na realidade, infecta as máquinas de uma vítima. A Microsoft descobriu que evoluiu de um worm amplamente distribuído para uma plataforma infetante para distribuir malware, ligado a outras famílias de malware e métodos alternativos de infeção para além da sua propagação original da unidade USB.

"Enquanto estes sofisticados malwares podem ficar adormecidos durante períodos mais calmos, as últimas semanas atuam como um forte lembrete de que não ficarão quietos por muito tempo. Não podemos dar-nos ao luxo de nos tornarmos complacentes, por isso é importante que todos permaneçam vigilantes ao abrir e-mails, clicar em links, visitar websites ou partilhar informações pessoais", afirma Maya Horowitz, VP Research na Check Point Software.

A CPR também revelou que "Web Servers Malicious URL Directory Traversal" é a vulnerabilidade mais comum explorada, com impacto em 46% das organizações a nível mundial, seguida de perto por "Web Server Exposed Git Repository Information Disclosure" com um impacto de 45%. Novembro também viu a Educação/Investigação permanecer em primeiro lugar como a indústria mais atacada a nível mundial

Principais famílias a nível mundial

*As setas estão relacionadas com a variação na classificação em comparação com o mês anterior.

O AgentTesla continua a ser o malware mais prevalecente este mês, com impacto em 6% das organizações a nível mundial, seguido por novas entradas Emotet com um impacto de 4% e depois Qbot com 4%.

1. ↔ AgentTesla O AgentTesla é um RAT avançado que funciona como keylogger e password stealer que se encontra ativo desde 2014. O AgentTesla pode monitorizar e recolher a entrada do teclado da vítima e a área de transferência do sistema, e pode gravar screenshots e capturar credenciais para uma variedade de software instalado numa máquina da vítima (incluindo Google Chrome, Mozilla Firefox e cliente de e-mail Microsoft Outlook). O AgentTesla é vendido em vários mercados online e fóruns de hacking.
2. ↑ Emotet O Emolet é um Trojan avançado, auto-propagador e modular. Já foi utilizado como Trojan bancário, mas recentemente é utilizado para distribuir malware e outras campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser disseminado através de e-mails de spam de phishing contendo anexos ou links maliciosos.
3. ↑ Qbot – O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção.

Principais Famílias Malware em Portugal

 Portugal, segue a tendência mundial com o AgentTesla, que foi o malware mais difundido este mês, com 14,71% das empresas afetadas, seguido pelo Snake e do Qbot com 8,82% e 6,47% respetivamente.

1. ↑AgentTesla- O AgentTesla é um RAT avançado que funciona como keylogger e password stealer que se encontra ativo desde 2014. O AgentTesla pode monitorizar e recolher a entrada do teclado da vítima e a área de transferência do sistema, e pode gravar screenshots e capturar credenciais para uma variedade de software instalado numa máquina da vítima (incluindo Google Chrome, Mozilla Firefox e cliente de e-mail Microsoft Outlook). O AgentTesla é vendido em vários mercados online e fóruns de hacking.
2. ↑ Snake - O Snake é um .NET keylogger modular que rouba credenciais, detectado pela primeira vez em finais de Novembro de 2020; a sua principal funcionalidade é registar as teclas dos utilizadores e transmitir os dados recolhidos aos autores das ameaças. As infeções feitas com o Snake representam uma grande ameaça à privacidade e segurança online dos utilizadores, uma vez que o malware pode roubar praticamente todo o tipo de informação sensível sendo tambem um keylogger particularmente evasivo e persistente.
3. ↑ Qbot – O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção

Principais indústrias atacadas a nível mundial

Este mês, a Educação/Investigação continua a ser a indústria mais atacada a nível mundial, seguida pelo Administração Pública/Defesa e por fim a saúde.

1. Educação/Investigação
2. Administração Pública/Defesa
3. Saúde

Principais indústrias atacadas em Portugal

Em Portugal o setor da Educação foi o mais atacado no mês de novembro, seguido pelo setor das Utilities e por fim o setor Financeiro/Bancário

Educação/investigação

1. Utilities
2. Financeiro/Bancário
3. Principais vulnerabilidades exploradas 

Este mês, o "Web Servers Malicious URL Directory Traversal" foi a vulnerabilidade mais frequentemente explorada, com impacto em 46% das organizações a nível mundial, seguido pelo "Web Server Exposed Git Repository Information Disclosure" com um impacto de 45%. O "HTTP Headers Remote Code Execution" é ainda a terceira vulnerabilidade mais explorada, com um impacto global de 42%.

1. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260)-Existe uma vulnerabilidade, transversal, de diretórios em diferentes servidores web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor web que não higieniza devidamente o URI para padrões de deslocação de diretórios. Uma exploração bem-sucedida permite aos atacantes remotos não autenticados revelar ou aceder a ficheiros arbitrários no servidor vulnerável.
2. ↔ Web Server Exposed Git Repository Information Disclosure - Foi relatada uma vulnerabilidade na divulgação de informação no Git Repository. Uma exploração bem-sucedida desta vulnerabilidade poderia permitir a divulgação não intencional de informação de conta.
3. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - Os headers HTTP deixam o cliente e o servidor passar informações adicionais com um pedido HTTP. Um atacante remoto pode utilizar um HTTP Header vulnerável para executar um código arbitrário na máquina da vítima.

Top Mobile Malwares

Este mês, o Anubis manteve o primeiro lugar como o malware móvel mais difundido, seguido pelo Hydra e o Joker.

1. Anubis - Anubis é um malware de Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger e capacidades de gravação de áudio, bem como várias funcionalidades de resgate. Foi detetado em centenas de diferentes aplicações disponíveis na Loja Google.
2. Hydra - Hydra é um Trojan bancário concebido para roubar credenciais financeiras, solicitando às vítimas permissões perigosas.
3. AlienBot - AlienBot é um Trojan bancário para Android, comercializado no underground como Malware-as-a-Service (MaaS). Suporta keylogging, sobreposições dinâmicas para roubo de credenciais, bem como colheita de SMS para desvio 2FA. Capacidades adicionais de controlo remoto são fornecidas utilizando um módulo TeamViewer.

O Índice de Impacto da Ameaça Global da Check Point e o seu Mapa ThreatCloud é impulsionado pela inteligência ThreatCloud da Check Point. A ThreatCloud fornece inteligência de ameaça em tempo real derivada de centenas de milhões de sensores em todo o mundo, através de redes, endpoints e telemóveis. A inteligência é enriquecida com motores baseados em IA e dados de pesquisa exclusivos da Check Point Research, o braço de inteligência e pesquisa da Check Point Software Technologies.  

A lista completa das dez principais famílias de malware em Novembro pode ser encontrada no blogue Check Point.