O Trickbot é um cavalo de Troia bancário que pode roubar credenciais financeiras e de contas, bem como as informações de identificação pessoal, além de se espalhar lateralmente em uma rede e disseminar um ransomware (este malware é frequentemente usado nos estágios iniciais de ataques de ransomware). Desde a queda do Emotet em janeiro deste ano, o malware Trickbot apareceu cinco vezes no topo da lista global de ameaças mais predominantes. Ele é constantemente atualizado com novos recursos, mais capacidades e vetores de distribuição, o que permite que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.

Vale aqui destacar que o botnet Emotet surpreendentemente retornou após a operação de sua desinstalação em massa. “O Emotet, o botnet de maior sucesso na história da cibersegurança está voltando após o famoso encerramento de sua operação global há quase dez meses. Ele é responsável pela explosão de ransomware direcionado que acompanhamos nos últimos três anos e seu retorno pode levar a um aumento ainda maior em tais ataques. Não é nenhuma surpresa que o Trickbot e sua infraestrutura estejam sendo usados para implementar o Emotet ressurgido recentemente. Isso encurtará o tempo que seria necessário para o Emotet construir uma base significativa o suficiente nas redes ao redor do mundo, e também será um sinal de que, como nos velhos tempos, Trickbot e Emotet estarão unidos como parceiros no cibercrime”, explica Lotem Finkelstein, diretor de Inteligência de Ameaças e Pesquisa da Check Point Software Technologies.

Em relação às vulnerabilidades, a "Apache HTTP Server Directory Traversal" é uma novidade na lista das dez vulnerabilidades exploradas no mês de outubro, ocupando o décimo lugar. Quando foi descoberta pela primeira vez, os desenvolvedores do Apache lançaram correções para CVE-2021-41773 no Apache HTTP Server 2.4.50. No entanto, o patch foi considerado insuficiente e ainda existe uma vulnerabilidade de Directory Traversal no servidor HTTP Apache. A exploração bem-sucedida desta vulnerabilidade pode permitir que um atacante acesse arquivos arbitrários no sistema afetado.

“A vulnerabilidade do Apache só veio à tona no início de outubro e já é uma das dez vulnerabilidades mais exploradas em todo o mundo, mostrando a rapidez com que os atacantes se movem. Esta vulnerabilidade pode fazer com que os atacantes mapeiem URLs para arquivos fora da raiz esperada do documento, lançando um patch traversal ”, informa Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies.

“É fundamental que os usuários do Apache tenham as tecnologias de proteção adequadas implementadas. Em outubro, o Trickbot, que costuma ser usado para distribuição de ransomware, é mais uma vez o malware mais prevalente. Globalmente, uma em cada 61 organizações é afetada por ransomware todas as semanas. Esse é um número bastante impactante e as empresas precisam fazer mais em relação à segurança. Muitos ataques começam com um simples e-mail, portanto, educar os usuários sobre como identificar uma ameaça potencial é uma das defesas mais importantes que uma organização pode implementar”, reforça Maya Horowitz.

A divisão CPR também revelou que, em outubro, Educação/Pesquisa foi o setor mais atacado globalmente, seguido por Comunicações e Governo/Militar. A “Web Servers Malicious URL Directory Traversal” foi a vulnerabilidade mais comumente explorada, afetando 60% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que afeta 55% das organizações em todo o mundo. A “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 54% das organizações.

Malwares - Brasil

O principal malware no Brasil em outubro de 2021 foi o XMRig, com 5,17% de impacto nas organizações. O Trickbot ocupou o segundo lugar (4,44%) no ranking nacional, enquanto o Tofsee (3,28%) ficou em terceiro.