0
0
Pesquisadores revelam que, em outubro, o Trickbot é o malware mais predominante no mundo, aparecendo em segundo lugar na lista mensal do Brasil; uma nova vulnerabilidade no Apache surge como uma das mais exploradas globalmente; e o Emotet está de volta
A Check Point divulgou o Índice Global de Ameaças referente ao mês de outubro de 2021. Os pesquisadores relataram que o botnet modular e o cavalo de Troia bancário, o Trickbot, permanece no topo da lista global de malware mais predominante, afetando 4% das organizações em todo o mundo, enquanto a “Apache HTTP Server Directory Traversal” entrou na lista das dez principais vulnerabilidades exploradas. A CPR também revela que o setor mais atacado no mundo é o de Educação / Pesquisa.
O Trickbot é um cavalo de Troia bancário que pode roubar credenciais financeiras e de contas, bem como as informações de identificação pessoal, além de se espalhar lateralmente em uma rede e disseminar um ransomware (este malware é frequentemente usado nos estágios iniciais de ataques de ransomware). Desde a queda do Emotet em janeiro deste ano, o malware Trickbot apareceu cinco vezes no topo da lista global de ameaças mais predominantes. Ele é constantemente atualizado com novos recursos, mais capacidades e vetores de distribuição, o que permite que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.
Vale aqui destacar que o botnet Emotet surpreendentemente retornou após a operação de sua desinstalação em massa. “O Emotet, o botnet de maior sucesso na história da cibersegurança está voltando após o famoso encerramento de sua operação global há quase dez meses. Ele é responsável pela explosão de ransomware direcionado que acompanhamos nos últimos três anos e seu retorno pode levar a um aumento ainda maior em tais ataques. Não é nenhuma surpresa que o Trickbot e sua infraestrutura estejam sendo usados para implementar o Emotet ressurgido recentemente. Isso encurtará o tempo que seria necessário para o Emotet construir uma base significativa o suficiente nas redes ao redor do mundo, e também será um sinal de que, como nos velhos tempos, Trickbot e Emotet estarão unidos como parceiros no cibercrime”, explica Lotem Finkelstein, diretor de Inteligência de Ameaças e Pesquisa da Check Point Software Technologies.
Em relação às vulnerabilidades, a “Apache HTTP Server Directory Traversal” é uma novidade na lista das dez vulnerabilidades exploradas no mês de outubro, ocupando o décimo lugar. Quando foi descoberta pela primeira vez, os desenvolvedores do Apache lançaram correções para CVE-2021-41773 no Apache HTTP Server 2.4.50. No entanto, o patch foi considerado insuficiente e ainda existe uma vulnerabilidade de Directory Traversal no servidor HTTP Apache. A exploração bem-sucedida desta vulnerabilidade pode permitir que um atacante acesse arquivos arbitrários no sistema afetado.
“A vulnerabilidade do Apache só veio à tona no início de outubro e já é uma das dez vulnerabilidades mais exploradas em todo o mundo, mostrando a rapidez com que os atacantes se movem. Esta vulnerabilidade pode fazer com que os atacantes mapeiem URLs para arquivos fora da raiz esperada do documento, lançando um patch traversal “, informa Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies.
“É fundamental que os usuários do Apache tenham as tecnologias de proteção adequadas implementadas. Em outubro, o Trickbot, que costuma ser usado para distribuição de ransomware, é mais uma vez o malware mais prevalente. Globalmente, uma em cada 61 organizações é afetada por ransomware todas as semanas. Esse é um número bastante impactante e as empresas precisam fazer mais em relação à segurança. Muitos ataques começam com um simples e-mail, portanto, educar os usuários sobre como identificar uma ameaça potencial é uma das defesas mais importantes que uma organização pode implementar”, reforça Maya Horowitz.
A divisão CPR também revelou que, em outubro, Educação/Pesquisa foi o setor mais atacado globalmente, seguido por Comunicações e Governo/Militar. A “Web Servers Malicious URL Directory Traversal” foi a vulnerabilidade mais comumente explorada, afetando 60% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que afeta 55% das organizações em todo o mundo. A “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 54% das organizações.
Principais famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.
Em outubro, o Trickbot foi o malware mais popular com um impacto global de 4% das organizações, seguido pelo XMRig que 3% das organizações em todo o mundo e o Remcos com 2%.
↔ Trickbot – É um trojan bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.
↑ XMRig – É um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017.
↑ Remcos – É um RAT que apareceu pela primeira vez em 2016. O Remcos se distribui por meio de documentos maliciosos do Microsoft Office que são anexados a e-mails de SPAM e é projetado para contornar a segurança UAC do Microsoft Windows e executar malware com privilégios de alto nível.
Principais setores atacados globalmente:
Em outubro, Educação/Pesquisa foi o setor mais atacado globalmente, seguido por Comunicações e Governo/Militar.
1) Educação/Pesquisa
2) Comunicações
3) Governo/Militar
Principais vulnerabilidades exploradas
Em outubro, a equipe da CPR também revelou que a vulnerabilidade mais comum explorada foi a “Web Servers Malicious URL Directory Traversal”, afetando 60% das organizações globalmente, seguida pela “Web Server Exposed Git Repository Information Disclosure”, que impactou 55% das organizações no mundo todo. A vulnerabilidade “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 54%.
↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Há uma vulnerabilidade de Directory Traversal em diferentes servidores da web. A vulnerabilidade se deve a um erro de validação de entrada em um servidor da web que não limpa adequadamente a URL para os padrões de passagem de diretório. A exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acessem arquivos arbitrários no servidor vulnerável.
↓ Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.
↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar um código arbitrário na máquina da vítima.
Principais malwares móveis
Em outubro, o xHelper permaneceu em primeiro lugar no índice de malware móvel mais prevalente, seguido por AlienBot e XLoader.
xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.
XLoader – É um cavalo de Troia bancário e um Android Spyware desenvolvido pelo grupo de hackers chinês Yanbian Gang. Este malware utiliza a técnica de spoofing de DNS para distribuir aplicativos Android infectados, a fim de coletar informações pessoais e financeiras.
Os principais malwares de outubro no Brasil
O principal malware no Brasil em outubro de 2021 foi o XMRig, com 5,17% de impacto nas organizações. O Trickbot ocupou o segundo lugar (4,44%) no ranking nacional, enquanto o Tofsee (3,28%) ficou em terceiro.
FONTE: SECURITY REPORT