Em fevereiro, houve um aumento de ataques direcionados a uma vulnerabilidade cujo objetivo é a propagação do botnet Mirai, notório por infectar dispositivos IoT e conduzir ataques de DDoS. A vulnerabilidade conhecida como a exploração "PHP php-cgi Query String Parameter Code Execution" ocupa o sexto lugar nas principais vulnerabilidades exploradas e impactou 20% das organizações em todo o mundo, em comparação com apenas 2% em janeiro de 2020.

A equipe de pesquisadores da CPR também alerta às organizações de que o Emotet, o segundo malware mais popular em fevereiro e a rede de bots mais difundida atualmente em operação, se espalhou com a adoção de dois novos métodos durante o mês de fevereiro. O primeiro trata-se de uma campanha de SMS phishing (smishing) destinada a usuários nos EUA: o SMS personifica mensagens de bancos populares, atraindo as vítimas para clicar em um link malicioso que faz o download do Emotet no dispositivo. O segundo método é o próprio Emotet que detecta e utiliza redes Wi-Fi próximas para se espalhar por ataques de força bruta, usando uma variedade de senhas Wi-Fi usadas com frequência. O Emotet é usado principalmente como distribuidor de ransomware ou outras campanhas maliciosas.

O Emotet impactou 7% das organizações em todo o mundo em fevereiro, em comparação aos 13% em janeiro, quando estava sendo disseminado por meio de campanhas de spam relacionadas ao tema do novo Coronavírus. Evidencia-se, assim, a rapidez com que os cibercriminosos mudam os temas dos seus ataques com o objetivo de maximizar as suas taxas de infecção.

“Como vimos em janeiro, as ameaças e explorações mais impactantes durante o mês de fevereiro foram os malwares versáteis como o XMRig e o Emotet. Os cibercriminosos parecem ter como objetivo construir as maiores redes possíveis de dispositivos infectados, que podem explorar e monetizar das mais variadas formas, desde a implementação de ransomware até o lançamento de ataques DDoS”, afirma Maya Horowitz, diretora de Threat Intelligence & Pesquisa e Produtos da Check Point. "Como os principais vetores de infecção são e-mails e mensagens SMS, as organizações devem assegurar que seus colaboradores sejam informados sobre como identificar diferentes tipos de spam malicioso e implementarem medidas de segurança que previnam ativamente que essas ameaças infectem suas redes."

Os três principais malwares "Mais procurados" de fevereiro de 2020:

* As setas estão relacionadas à alteração na classificação em comparação com o mês anterior.

Em fevereiro, o XMRig subiu para o primeiro lugar, impactando 7% das organizações em todo o mundo, seguido por Emotet e Jsecoin, impactando 6% e 5% das organizações, respectivamente.

1. ↑ XMRig - É um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017.
2. ↓ Emotet - É um Trojan avançado, auto propagável e modular. O Emotet era anteriormente um Trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.
3. ↑Jsecoin – Minerador de criptografia, baseado na web, projetado para o processo de mineração on-line da criptomoeda Monero quando um usuário visita uma determinada página web. O JavaScript implementado utiliza uma grande quantidade de recursos computacionais das máquinas dos usuários finais para extrair moedas, o que afeta o desempenho do sistema.

As vulnerabilidades "Mais exploradas" de fevereiro:

Este mês, o “MVPower DVR Remote Code Execution” foi a vulnerabilidade mais explorada, impactando 31% das organizações a nível global, seguida de perto pelo “OpenSSL TLS DTLS Heartbeat Information Disclosure”, em segunda posição e responsável por impactar 28% das organizações no mundo. Em terceira posição está o “PHP DIESCAN information disclosure” que impactou 27% das organizações.

1. ↔ Execução remota de código do MVPower DVR - Existe uma vulnerabilidade de execução remota de código nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa fraqueza para executar código arbitrário no roteador afetado por meio de uma solicitação de acesso criada.
2. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Existe no OpenSSL uma vulnerabilidade na divulgação de informação. Esta deve-se a um erro relativo aos TLS/DTLS heartbeat packets. O atacante pode utilizar esta vulnerabilidade para divulgar conteúdo da memória de um cliente ou servidor conectados.
3. ↔ Divulgação de informações do PHP DIESCAN - Uma vulnerabilidade de divulgação de informações relatada nas páginas PHP. A exploração bem-sucedida pode levar à divulgação de informações confidenciais do servidor.

Os três principais malwares para dispositivos móveis "Mais procurados":

Em fevereiro, o xHelper manteve a primeira posição como o malware mais predominante, seguido por Hiddad e Guerrilla.

1. ↔ xHelper - Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder dos programas antivírus móveis e do usuário e se reinstala se o usuário o desinstalar.
2. ↑ Hiddad – Malware para Android que recondiciona apps legítimos e lança novas versões para lojas de apps de terceiros. A sua principal função é difundir anúncios, mas pode também acessar detalhes das chaves de segurança do sistema operacional.
3. ↓ Guerrilla - Um Trojan Android encontrado incorporado em vários aplicativos legítimos, capaz de baixar cargas maliciosas adicionais. O Guerrilla gera receita de publicidade fraudulenta para os desenvolvedores de aplicativos.

Malwares "mais procurados" no Brasil em fevereiro:

* No Brasil, o XMRig impactou 18,26% em janeiro e 11,13% em fevereiro.
* No Brasil, o Emotet impactou 11,95% em janeiro e 8,35% em fevereiro.

Família de Malware / Impacto Global Fevereiro / Impacto no Brasil Fevereiro

XMRig* 7.34% / 11.13%
Emotet* 6.29% / 8.35%
Lokibot 3.95% / 3.55%
Trickbot 4.80% / 2.69%
Jsecoin 5.22% / 2.59%
Remcos 1.63% / 2.59%
Vidar 1.82% / 2.11%
AgentTesla 3.23% / 1.73%
NJRat 0.56% / 1.73%
RigEK 1.75% / 1.63%

O Índice de Impacto Global de Ameaças da Check Point e seu Mapa ThreatCloud são baseados na inteligência ThreatCloud da Check Point, a maior rede colaborativa para combater o cibercrime que fornece dados de ameaças e tendências de ataques de uma rede global de sensores de ameaças. A base de dados do ThreatCloud inspeciona mais de 2,5 bilhões de sites e 500 milhões de arquivos por dia e identifica mais de 250 milhões de atividades de malware diariamente.

A lista completa das 10 principais famílias de malware de fevereiro pode ser encontrada no Blog da Check Point.

Os recursos de prevenção de ameaças da Check Point estão disponíveis em: http://www.checkpoint.com/threat-prevention-resources/index.html