A Check Point Research (CPR) divulgou o Índice Global de Ameaças referente ao mês de dezembro de 2020. O destaque ficou por conta do retorno do trojan Emotet ao primeiro lugar na lista de malware, impactando 7% das organizações em todo o mundo, após uma campanha de spam que atingiu mais de 100 mil usuários por dia durante a temporada de festas do final do ano passado.
Desta vez, o Emotet não aparece na lista do Brasil dos dez malwares do mês. O FritzFrog lidera o ranking brasileiro de dezembro, um botnet ponto a ponto (P2P) altamente sofisticado que tem violado ativamente servidores SSH (Secure Socket Shell) em todo o mundo. O malware combina um conjunto de propriedades que o tornam único e não tem arquivo, pois monta e executa cargas úteis na memória. O protocolo P2P do FritzFrog é proprietário e não se baseia em nenhuma implementação existente; este botnet cria um backdoor na forma de uma chave pública SSH, permitindo que os atacantes tenham acesso contínuo às máquinas das vítimas.
Emotet renovado
Em setembro e outubro de 2020, o Emotet estava consistentemente no topo do Índice Global de Ameaças da Check Point e estava vinculado a uma onda de ataques de ransomware . Mas, em novembro deixou de predominar, caindo para o 5º lugar na lista mensal. Os pesquisadores afirmam que, agora, o Emotet foi atualizado com novas cargas maliciosas e recursos aprimorados de evasão de detecção: a versão mais recente cria uma caixa de diálogo que ajuda a evitar a detecção pelos usuários. A nova campanha de spam malicioso do Emotet usa diferentes técnicas de entrega para distribuí-lo, incluindo links incorporados, anexos de documentos ou arquivos Zip protegidos por senha.
Identificado pela primeira vez em 2014, o Emotet tem sido atualizado regularmente por seus desenvolvedores para manter sua eficácia contra atividades maliciosas. O Departamento de Segurança Interna dos Estados Unidos estimou que cada incidente envolvendo o Emotet custa às organizações mais de US$ 1 milhão para retificar.
A equipe de pesquisa da Check Point também informa que a “MVPower DVR Remote Code Execution” é a vulnerabilidade explorada mais comum, afetando 42% das organizações globalmente, seguida pela “HTTP Headers Remote Code Execution (CVE-2020-13756)” que afeta 42% das organizações no mundo.
Principais famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.
Em dezembro de 2020, o Emotet voltou a ser o malware mais popular com um impacto global de 7% nas organizações, seguido de perto pelo Trickbot e Formbook, os quais impactaram 4% das organizações em todo o mundo cada um.
• ? Emotet – É um trojan avançado, auto propagável e modular. O Emotet era anteriormente um trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.
• ? Trickbot – É um trojan bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.
• ? Formbook – É um “ladrão” de informações que coleta credenciais de vários navegadores da web e imagens, monitora e registra pressionamentos de tecla e pode baixar e executar arquivos de acordo com seus pedidos de C&C.
Principais vulnerabilidades exploradas
No mês de dezembro, a “MVPower DVR Remote Code Execution” é a vulnerabilidade explorada mais comum, afetando 42% das organizações globalmente, seguida pela “HTTP Headers Remote Code Execution (CVE-2020-13756)” que afetou 42% das organizações em todo o mundo. A “Web Server Exposed Git Repository Information Disclosure” está em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 41%.
• ? MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada.
• ? HTTP Headers Remote Code Execution (CVE-2020-13756) – Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar código arbitrário na máquina da vítima.
• ? Web Server Exposed Git Repository Information Disclosure – Uma vulnerabilidade de divulgação de informações que foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.
Principais malwares móveis
Em dezembro, o Hiddad posiciona-se em 1º lugar na lista de malware móvel mais prevalente, seguido por xHelper e Triada.
1. Hiddad – Um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.
2. xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
3. Triada – Um backdoor modular para Android que concede privilégios de superusuário ao malware baixado.
Os principais malwares de dezembro no Brasil
O principal malware no Brasil em dezembro foi o botnet FritzFrog, cujo impacto nas organizações no mundo foi de 1,44%, ao passo que no Brasil o índice foi de 7,45% das organizações brasileiras impactadas.
O Índice de impacto de ameaças globais da Check Point e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, a maior rede colaborativa para combater o crime cibernético que fornece dados de ameaças e tendências de ataque de uma rede global de sensores de ameaças. O banco de dados da ThreatCloud inspeciona mais de 3 bilhões de sites e 600 milhões de arquivos diariamente e identifica mais de 250 milhões de atividades de malware todos os dias.
