0
0
O direcionamento da Web para vários serviços online quase dobrou durante a pandemia COVID-19,representando 46% do número total de páginas falsas da Web.
Cingapura, 18/09/2020 — O Grupo-IB, empresa global de caça e inteligência de ameaças com sede em Cingapura, evidendo a transformação do portfólio de ameaças no primeiro semestre de 2020. Não foi surpresa que o phishing da Web, direcionado a vários serviços online, quase dobrou durante a pandemia COVID-19: ela representou 46% do número total de páginas falsas da Web. O Ransomware, headliner do semestre anterior, saiu do palco: apenas 1% dos e-mails analisados pela Equipe de Resposta a Emergências de Computador (CERT-GIB) do Grupo IB continham esse tipo de malware. Cada terceiro e-mail, entretanto, continha spyware, que é usado por atores de ameaças para roubar dados de pagamento ou outras informações confidenciais para, em seguida, colocá-lo à venda na darknet ou chantagear seu proprietário.
Os downloaders, destinados à instalação de malwares adicionais e backdoors,que concedem aos cibercriminosos acesso remoto aos computadores das vítimas, também chegaram ao top-3. Eles são seguidos por trojans bancários, cuja participação na quantidade total de anexos maliciosos mostrou crescimento pela primeira vez em algum tempo.
E-mail aberto permite espionar
O relatório do CERT-GIB baseia-se em dados coletados e analisados pelo Polígono do Sistema de Detecção de Ameaças (TDS) como parte das operações de prevenção e detecção de ameaças distribuídas on-line no H1 2020. De acordo com os dados do CERT-GIB, no H1 2020, 43% dos e-mails maliciosos nos radares do Sistema de Detecção de Ameaças do Grupo-IB tinham anexos com spyware ou links que levassem ao seu download. Outros 17% continham downloaders, enquanto backdoors e trojans bancários ficaram em terceiro lugar com 16% e 15% de ações, respectivamente. O Ransomware, que no segundo semestre de 2019 se escondeu em cada segundo e-mail malicioso, quase desapareceu das caixas de correio nos primeiros seis meses deste ano com uma parcela de menos de 1%.
Essas descobertas confirmam o crescente interesse dos adversários em Big Game Hunting. De acordo com o recente white paper do Group-IB “Ransomware Uncovered: Attackers’s Latest Methods“: os operadores de ransomware mudaram de ataques em massa em indivíduos para redes corporativas. Assim, ao atacar grandes empresas, em vez de infectar o computador de um indivíduo separado imediatamente após o compromisso, os invasores usam a máquina infectada para se mover lateralmente na rede, aumentar os privilégios no sistema e distribuir ransomware no maior número possível de hosts.
As 10 principais ferramentas utilizadas em ataques rastreados pelo CERT-GIB no período de relatórios foram o Trojan RTM bancário (30%); o spyware LOKI PWS (24%), AgentTesla (10%), Hawkeye (5%) e Azorult (1%); e backdoors Formbook (12%), Nanocore (7%), Adwind (3%), Emotet (1%) e Netwire (1%). Os novos instrumentos detectados no primeiro semestre do ano incluíram o Quasar, uma ferramenta de acesso remoto baseada no código aberto; spyware Gomorrah que extrai credenciais de login de usuários de vários aplicativos; e 404 Keylogger, um software para coletar dados do usuário que é distribuído sob o modelo malware-as-a-service.
Quase 70% dos arquivos maliciosos foram entregues no computador da vítima com a ajuda de arquivos, outros 18% dos arquivos maliciosos foram mascarados como documentos de escritório (com extensões de arquivos .doc, .xls e .pdf), enquanto 14% mais foram disfarçados como arquivos e scripts executáveis.
Proteger web-phishing
Nos primeiros seis meses de 2020, o CERT-GIB bloqueou um total de 9.304 recursos da web de phishing, o que é um aumento de 9% em relação ao ano anterior. A principal tendência do período observado foi o aumento de duas vezes no número de recursos usando conexão SSL/TLS segura – seu montante cresceu de 33% para 69% em apenas meio ano.
Isso é explicado pelo desejo dos cibercriminosos de manter seu pool de vítimas – a maioria dos navegadores da Web rotulam sites sem conexão SSL/TLS como um priori perigoso, o que tem um impacto negativo na eficácia das campanhas de phishing. Especialistas do Grupo IB prevêem que a compartilhamento de phishing web com conexão insegura continuará a diminuir, enquanto sites que não suportam SSL/TLS se tornarão uma exceção.
Crônica pandêmica
Assim como foi o caso no segundo semestre de 2019, no primeiro semestre deste ano, serviços online como sites de comércio eletrônico acabaram sendo o principal alvo de web-phishers. À luz da pandemia global e do mergulho das empresas no mundo online, a participação dessa categoria de phishing aumentou para notável 46%. A atratividade dos serviços online é explicada pelo fato de que, ao roubar credenciais de login do usuário, os atores de ameaças também ganham acesso aos dados de cartões bancários vinculados a contas de usuários.
Os serviços online são seguidos pelos provedores de serviços de e-mail (24%), cuja participação, após um declínio em 2019, retomou o crescimento em 2020, e as organizações financeiras (11%). As principais categorias de alvos de phishing na Web também incluíram serviços de pagamento, armazenamentos em nuvem, redes sociais e sites de namoro.
A liderança em termos do número de recursos de phishing registrados tem sido persistentemente mantida por zona de domínio .com – ela representa quase metade (44%) de recursos de phishing detectados no período de revisão. Outras zonas de domínio populares entre os phishers incluíram .ru (9%), .br (6%), .net (3%) e .org (2%).
“O início deste ano foi marcado por mudanças no topo de ameaças urgentes que estão escondidas em e-mails maliciosos — comenta o vice-chefe do CERT-GIB, Yaroslav Kargalev.—, os operadores do Ransomware se concentraram em ataques direcionados, escolhendo grandes vítimas com maior capacidade de pagamento. A elaboração precisa desses ataques separados afetou o compartilhamento de ransomware nas principais ameaças distribuídas por e-mail em massa. Seu lugar foi tomado por backdoors e spyware, com a ajuda de quais atores de ameaça primeiro roubam informações confidenciais e depois chantageiam a vítima, exigindo um resgate, e, caso a demanda seja recusada, liberando a informação publicamente. O desejo dos operadores de ransomware de fazer uma boa pontuação provavelmente resultará no aumento do número de ataques direcionados. Como o phishing por e-mail continua sendo o principal canal de sua distribuição, a urgência de garantir a comunicação por correio é mais relevante do que nunca.”
Sobre o Grupo-IB
O Group-IB é um provedor de soluções com sede em Cingapura voltado para a detecção e prevenção de ataques cibernéticos e fraudes online. A liderança tecnológica do Grupo IB é construída sobre os 17 anos de experiência prática da empresa em investigações de crimes cibernéticos em todo o mundo e 60.000 horas de resposta a incidentes de segurança cibernética acumuladas em um dos maiores laboratórios forenses e um centro 24 horas fornecendo uma resposta rápida a incidentes cibernéticos — CERT-GIB.
FONTE: SECURITY AFFAIRS