0
0
QakBot, SocGholish e Raspberry Robin são os três carregadores de malware mais populares, responsáveis pela maioria dos incidentes observados entre 1º de janeiro e 31 de julho deste ano
QakBot, SocGholish e Raspberry Robin são os três carregadores de malware mais populares entre os cibercriminosos e já respondem por 80% dos ataques observados entre 1º de janeiro e 31 de julho deste ano, segundo a ReliaQuest. Levantamento feito pela empresa de segurança cibernética mostra que o QakBot, também conhecido como QBot, foi responsável por 30% dos incidentes, o SocGholish por 27% e o Raspberry Robin por 23%.
Segundo a ReliaQuest, nem todos os incidentes observados resultaram em comprometimento da rede, pois o carregador foi detectado e bloqueado antes que pudesse causar problemas.
Ativo desde 2009, o QakBot — QBot ou Quakbot — era inicialmente um trojan bancário, mas depois evoluiu para um carregador de malware que pode implantar cargas adicionais, roubar informações confidenciais e permitir movimentação lateral. Normalmente entregue por meio de e-mails de phishing, o QakBot foi associado ao grupo de ransomware BlackBasta, formado por ex-membros da gangue de ransomware Conti.
“O QakBot é uma ameaça persistente e em evolução usada para atingir de forma oportunista qualquer setor ou região. Seus operadores são capazes e engenhosos na adaptação às mudanças e provavelmente estarão aqui no futuro próximo”, observa a ReliaQuest.
Ativo desde ao menos 2018, o SocGholish — também conhecido como FakeUpdates — é implantado por meio de downloads drive-by, usando uma ampla rede de sites comprometidos que oferecem atualizações falsas. O carregador está vinculado ao grupo de crimes cibernéticos Evil, com sede na Rússia, que está ativo desde ao menos 2007, e ao broker (corretor) de acesso inicial (IAB) conhecido como Exotic Lily.
Durante o primeiro semestre, os operadores do SocGholish foram observados realizando ataques agressivos de watering hole (caça à vítima no bebedouro), aproveitando sites comprometidos de grandes organizações.
Já o Raspberry Robin, um worm do Windows observado inicialmente em setembro de 2021, se espalha principalmente por meio de dispositivos removíveis, como unidades USB, e tem sido vinculado a vários operadores de ameaças, incluindo o Evil e o Silence. Ele foi observado implantando uma ampla gama de famílias de ransomware e malware, incluindo Clop, LockBit, TrueBot e outros, em ataques direcionados a instituições financeiras, organizações governamentais e empresas de telecomunicações e manufatura, principalmente na Europa.
Além desses três carregadores, o Gootloader, Chromeloader, Guloader e Ursnif também estiveram amplamente ativos durante os primeiros sete meses deste ano, diz a ReliaQuest.
FONTE: CISO ADVISOR