O malware Trickbot permanece na liderança do índice global de ameaças pelo segundo mês consecutivo

O Trickbot é um botnet e cavalo de Troia bancário capaz de roubar informações financeiras, credenciais de contas e dados pessoais, bem como disseminar-se numa rede e implantar um ransomware. Em junho, a CPR relatou que o número médio semanal de ataques globais de ransomware aumentou 93% nos últimos 12 meses, e também alertou que esses ataques geralmente não começam com ransomware. Por exemplo, nos ataques de ransomware Ryuk, o malware Emotet foi usado para se infiltrar na rede e o Trickbot para infectá-la antes de o ransomware finalmente criptografasse os dados.

Desde que o botnet Emotet foi retirado do ar em janeiro deste ano, o botnet e cavalo de Troia bancário Trickbot ganhou popularidade. Ele também foi recentemente associado a uma nova cepa de ransomware chamada “Diavol”. O Trickbot é constantemente atualizado com novas capacidades, novos recursos e vetores de distribuição, o que permite que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas de multifuncionais.

“Grupos de ransomware bem conhecidos, como Ryuk e REvil, primeiro contam com várias formas de malware para os estágios iniciais da infecção e, neste caso, com o principal malware de junho, o Trickbot”, afirma Maya Horowitz, diretora de Pesquisa de Inteligência de Ameaças da divisão Check Point Research (CPR).

“As organizações precisam permanecer cientes dos riscos e garantir que as soluções adequadas estejam disponíveis. Além do botnet e cavalo de Troia bancário, Trickbot, a lista de junho inclui uma grande variedade de diferentes tipos de malware, incorporando botnets, infostealers, backdoors, RATs e dispositivos móveis. É crucial que as organizações tenham as tecnologias certas para lidar com uma grande variedade de ameaças. Se o fizerem, a maioria dos ataques, mesmo os mais avançados como REvil, podem ser evitados sem interromper o fluxo normal de negócios”, destaca Maya Horowitz.

A CPR também revelou que, em junho, a “HTTP Headers Remote Code Execution” foi a vulnerabilidade mais comum explorada, impactando 47% das organizações globalmente, seguida por “MVPower DVR Remote Code Execution” que afetou 45% das organizações em todo o mundo . A “Dasan GPON Router Authentication Bypass” ocupou o terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 44%.

Principais famílias de malware

* As setas referem-se à mudança na classificação em comparação com o mês anterior.

Em junho, o Trickbot foi o malware mais popular com um impacto global de 6,84% das organizações, seguido por XMRig e Formbook, sendo que cada um afetou 3% das organizações em todo o mundo.

1. ↔ Trickbot - É um cavalo de Troia bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.

2. ↔ XMRig - É um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017.

3. ↔ Formbook – É um “ladrão” de informações que coleta credenciais de vários navegadores da web e imagens, monitora e registra pressionamentos de tecla e pode baixar e executar arquivos de acordo com seus pedidos de C&C.

Principais vulnerabilidades exploradas

Em junho, a equipe da Check Point Research também revelou que a vulnerabilidade mais comum explorada foi a “HTTP Headers Remote Code Execution”, afetando 47% das organizações globalmente, seguida pela “MVPower DVR Remote Code Execution”, que impactou 45% das organizações no mundo todo. A vulnerabilidade “Dasan GPON Router Authentication Bypass” ocupou o terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 44%.

↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar um código arbitrário na máquina da vítima.

↑ MVPower DVR Remote Code Execution - Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada.

↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Uma vulnerabilidade de desvio de autenticação que existe em roteadores Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permite que atacantes remotos obtenham informações confidenciais e o acesso não autorizado ao sistema infectado.

Principais malwares móveis

Em junho, o xHelper ocupou o primeiro lugar no índice de malware móvel mais prevalente, seguido por Hiddad e XLoader.

1. xHelper - Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
2. Hiddad - Um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.
3. XLoader - É um cavalo de Troia bancário e um Android Spyware desenvolvido pelo grupo de hackers chinês Yanbian Gang. Este malware utiliza a técnica de spoofing de DNS para distribuir aplicativos Android infectados, a fim de coletar informações pessoais e financeiras.

Os principais malwares de junho no Brasil

O principal malware no Brasil em junho de 2021 foi o Proxy (que também ocupou o primeiro lugar no índice nacional em maio), um cavalo de Troia que tem como alvo a plataforma Windows. Este malware envia informações do sistema a um atacante remoto e configura um servidor proxy no sistema da vítima. O Proxy lidera a lista nacional de junho com um índice de 9,73%; enquanto o Trickbot e o XMRig inverteram suas posições em relação a maio, ocupando agora, respectivamente, o terceiro lugar com impacto de 7% e o segundo lugar com 8,48%.

O Índice de impacto de ameaças globais da Check Point e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, a maior rede colaborativa para combater o crime cibernético que fornece dados de ameaças e tendências de ataque de uma rede global de sensores de ameaças. O banco de dados da ThreatCloud inspeciona mais de 3 bilhões de sites e 600 milhões de arquivos diariamente e identifica mais de 250 milhões de atividades de malware todos os dias.