Emotet é o malware mais comum

Views: 327
0 0
Read Time:4 Minute, 49 Second

A HP anunciou que a equipe de pesquisa de ameaças da HP Wolf Security identificou um aumento de 27 vezes nas detecções resultantes de campanhas de spam maliciosos da Emotet no primeiro trimestre de 2022, em comparação com o quarto trimestre de 2021 – quando a Emotet fez sua primeira reaparição.

O mais recente relatório global de insights globais de ameaças à segurança do HP Wolf – que fornece análises de ataques de cibersegurança no mundo real – mostra que a Emotet fechou 36 lugares para se tornar a família de malware mais comum detectada neste trimestre (representando 9% de todos os malwares capturados). Uma dessas campanhas – que foi direcionada a organizações japonesas e envolveu o sequestro de segmentos de e-mail para enganar os destinatários a infectar seus PCs – foi a grande responsável por um aumento de 879% em . Amostras de malware XLSM (Microsoft Excel) capturadas em comparação com o trimestre anterior.

Ao isolar ameaças que escaparam das ferramentas de detecção e chegaram aos pontos finais do usuário, a HP Wolf Security tem uma visão específica das técnicas mais recentes usadas pelos cibercriminosos. Exemplos notáveis incluem:

  • Alternativas furtivas aos documentos maliciosos do Microsoft Office se tornando populares, à medida que as macros começam a ser eliminadas gradualmente: À medida que a Microsoft começou a desativar macros, a HP viu um aumento em formatos não baseados no Office, incluindo arquivos maliciosos do Java Archive (+476%) e arquivos JavaScript (+42%) em comparação com o último trimestre. Esses ataques são mais difíceis para as organizações se defenderem porque as taxas de detecção para esses tipos de arquivos são muitas vezes baixas, aumentando a chance de infecção.
  • Os sinais indicam o contrabando HTML em ascensão: O tamanho médio do arquivo das ameaças HTML cresceu de 3KB para 12KB, sugerindo um aumento no uso do contrabando HTML, uma técnica onde os cibercriminosos incorporam malware diretamente em arquivos HTML para contornar gateways de e-mail e evitar a detecção, antes de obter acesso e roubar informações financeiras críticas. Campanhas recentes foram vistas tendo como alvo bancos latino-americanos e africanos.
  • A campanha de malware “Two for One” leva a múltiplas infecções de RAT: Um ataque de script Visual Basic foi usado para iniciar uma cadeia de mortes resultando em múltiplas infecções no mesmo dispositivo, dando aos atacantes acesso persistente aos sistemas das vítimas com VW0rm, NjRAT e AsyncRAT.

“Nossos dados do 1º trimestre mostram que esta é de longe a maior atividade que vimos da Emotet desde que o grupo foi interrompido no início de 2021 – um sinal claro de que seus operadores estão se reagrupando, recuperando sua força e investindo no crescimento da botnet. A Emotet já foi descrita pela CISA como um dos malwares mais destrutivos e caros para remediar e seus operadores frequentemente colaboram com grupos de ransomware, um padrão que podemos esperar continuar. Portanto, seu ressurgir é uma má notícia para empresas e setor público”, explica Alex Holland, Analista Sênior de Malware da equipe de pesquisa de ameaças hp wolf security, HP.

“O Emotet também continuou a favorecer ataques macro-habilitados – talvez para obter ataques antes do prazo final de abril da Microsoft, ou simplesmente porque as pessoas ainda têm macros habilitadas e podem ser enganadas para clicar na coisa errada.”

As descobertas são baseadas em dados de muitos milhões de pontos finais executando a HP Wolf Security. A HP Wolf Security rastreia o malware abrindo tarefas arriscadas em máquinas microvirais (micro-VMs) isoladas para proteger o usuário e entender e capturar toda a cadeia de infecções tentada, mitigando ameaças que passaram por outras ferramentas de segurança. Até o momento, os clientes da HP clicaram em mais de 18 bilhões de anexos de e-mail, páginas da Web e downloads sem violações relatadas. Esses dados fornecem insights exclusivos sobre como os atores de ameaças usam malware na natureza.

Outras descobertas-chave

  • 9% das ameaças não tinham sido vistas antes no momento em que foram isoladas, com 14% dos malwares de e-mail isolados tendo contornado pelo menos um scanner de gateway de e-mail.
  • Levou mais de 3 dias (79 horas), em média, para ser conhecido por hash para outras ferramentas de segurança.
  • 45% dos malwares isolados pela HP Wolf Security eram formatos de arquivo office.
  • As ameaças usaram 545 diferentes famílias de malware em suas tentativas de infectar organizações, com Emotet, AgentTesla e Nemucod sendo os três primeiros.
  • Uma exploração do Microsoft Equation Editor (CVE-2017-11882) representou 18% de todas as amostras maliciosas capturadas.
  • 69% dos malwares detectados foram entregues por e-mail, enquanto os downloads na Web foram responsáveis por 18%. Os anexos mais comuns usados para entregar malware foram documentos (29%), arquivos (28%), executáveis (21%), planilhas (20%).
  • Os anexos mais comuns usados para fornecer malware foram planilhas (33%), executáveis e scripts (29%), arquivos (22%) e documentos (11%).
  • As iscas de phishing mais comuns foram transações comerciais como “Ordem”, “Pagamento”, “Compra”, “Solicitação” e “Fatura”.

“Neste trimestre, vimos um aumento significativo de 27% no volume de ameaças capturadas pela HP Wolf Security. À medida que os cibercriminosos ajustam suas abordagens em resposta às mudanças no cenário de TI, o volume e a variedade de ataques continuam aumentando, e torna-se mais difícil para as ferramentas convencionais detectarem ataques”, comenta o Dr. Ian Pratt, Chefe Global de Segurança para Sistemas Pessoais da HP.

“Com uma absorção de tipos e técnicas alternativas de arquivos sendo usadas para contornar a detecção, as organizações precisam mudar de curso e adotar uma abordagem em camadas para a segurança do ponto final. Aplicando o princípio de menor privilégio e isolando os vetores de ameaças mais comuns – de e-mail, navegadores ou downloads – tornando o malware entregue através desses vetores inofensivo. Isso reduz drasticamente a exposição de risco das organizações a ameaças cibernéticas.”

FONTE: HELPNET SECURITY

POSTS RELACIONADOS