0
0
Novo surto de ataques usando a botnet dissemina o ransomware Avaddon. No Brasil, seu impacto foi maior que o global
A botnet Phorpiex, cujo novo surto de infecções afetou aproximadamente 4% das organizações em todo o mundo e pouco mais de 8% no Brasil, voltou a ser usada por cibercriminosos para disseminar ransomware, de acordo com o Índice Global de Ameaças referente ao mês de novembro da Check Point Research, braço de Inteligência em ameaças da Check Point Software. A última vez que a rede de bots havia figurado na lista de top malware foi em junho.
O Phorpiex foi relatado pela primeira vez em 2010 e, em seu auge, controlou mais de 1 milhão de hosts infectados. Conhecido por distribuir outras famílias de malware por meio de spam, bem como fomentar campanhas de spam de “sextortion” em grande escala e criptominer, o Phorpiex distribuiu novamente o ransomware Avaddon, conforme relataram originalmente os pesquisadores da Check Point no início deste ano.
O Avaddon é uma variante de ransomware-as-a-service (RaaS) relativamente nova, e seus operadores têm novamente recrutado afiliados para distribuir o ransomware oferecendo uma parte dos lucros. Ele foi distribuído por meio de arquivos JavaScript e Excel como parte de campanhas de malspam e é capaz de criptografar uma ampla variedade de tipos de arquivos.
“O Phorpiex é um dos botnets mais antigos e persistentes, e tem sido usado por seus criadores por muitos anos para distribuir outras cargas de transmissão de malware, como GandCrab e ransomware Avaddon, ou para golpes de ‘sextortion’. Esta nova onda de infecções, que prossegue atualmente, está espalhando outra campanha de ransomware, o que mostra o quão eficaz é uma ferramenta Phorpiex”, diz Maya Horowitz, diretora de inteligência e pesquisa de ameaças e produtos da Check Point.
“As organizações devem conscientizar e treinar os funcionários sobre como identificar possíveis malspam e ser cautelosos ao abrir anexos desconhecidos em e-mails, mesmo que pareçam vir de uma fonte confiável. Eles também devem garantir a implementação de segurança que os impeça ativamente de infectar suas redes”, aconselha ela.
A equipe de pesquisa da Check Point Research também alerta que a “HTTP Headers Remote Code Execution (CVE-2020-13756)” é a vulnerabilidade de execução remota de código explorada mais comum em novembro, afetando 54% das organizações globalmente, seguida por “MVPower DVR Remote Code Execution” impactando 48% das organizações em todo o mundo. Enquanto a vulnerabilidade “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” impactou 44% das organizações globalmente.
Principais famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.
Em novembro, o Phorpiex foi o malware mais popular com um impacto global de 4% das organizações, seguido de perto pelo Dridex e Hiddad, os quais impactaram pouco mais de 3% das organizações em todo o mundo.
↑ Phorpiex – Botnet conhecida por distribuir outras famílias de malware por meio de campanhas de spam, além de alimentar campanhas de extorsão do tipo “sextortion” em larga escala.
↑ Dridex – É um trojan bancário direcionado à plataforma Windows e é distribuído via campanhas de spam e kits de exploração, baixado por meio de um anexo de e-mail de spam. O Dridex entra em contato com um servidor remoto, envia informações sobre o sistema infectado e pode baixar e executar módulos adicionais para controle remoto.
↔ Hiddad – É um malware Android que “reempacota” aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança integrados ao sistema operacional.
Principais vulnerabilidades exploradas
No mês de novembro, a “HTTP Headers Remote Code Execution (CVE-2020-13756)” é a vulnerabilidade explorada mais comum, afetando 54% das organizações globalmente, seguida por “MVPower DVR Remote Code Execution” com impacto de 48% e “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” que afetou 44% das organizações em todo o mundo.
↑ HTTP Headers Remote Code Execution (CVE-2020-13756) – Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar código arbitrário na máquina da vítima.
↓ MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada.
↓Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Uma vulnerabilidade de desvio de autenticação que existe em roteadores Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permite que atacantes remotos obtenham informações confidenciais e o acesso não autorizado ao sistema infectado.
Principais malwares móveis
Em novembro, o Hiddad continua sendo o malware móvel mais prevalente, seguido por xHelper e Lotoor.
• Hiddad – Um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.
• xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
• Lotoor – Uma ferramenta de invasão que explora vulnerabilidades no sistema operacional Android para obter privilégios de root em dispositivos móveis comprometidos.
Os principais malwares de novembro no Brasil
O principal malware no Brasil em novembro, bem como em nível global, é o botnet Phorpiex, cujo impacto nas organizações no mundo foi de 3,65%, ao passo que no Brasil o índice foi de 8,31% das organizações brasileiras impactadas.
Outro dado relevante no Brasil é o de que, nos últimos seis meses, 67% dos arquivos maliciosos no país foram distribuídos via e-mail, sendo que o arquivo .xls foi o tipo predominantemente adotado (30,9%) nos ataques.
FONTE: CISO ADVISOR