A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, publicou o Índice Global de Ameaças referente ao mês de dezembro de 2023. Os pesquisadores da CPR informaram o retorno do Qbot, quatro meses depois de as autoridades policiais internacionais e dos Estados Unidos terem desmantelado a sua infraestrutura na Operação Duck Hunt em agosto de 2023. Enquanto isso, o downloader de JavaScript FakeUpdates saltou para o primeiro lugar no ranking global do final do ano.

Em dezembro do ano passado, o malware Qbot foi utilizado pelos cibercriminosos como parte de um ataque de phishing de escala limitada dirigido a organizações do setor de hotelaria. Na campanha, os pesquisadores da CPR descobriram que os hackers se fizeram passar pela Receita Federal dos Estados Unidos (o órgão IRS - Internal Revenue Service) e enviaram e-mails maliciosos contendo anexos PDF com URLs incorporadas ligadas a um instalador da Microsoft.

Uma vez ativado, este instalador desencadeava uma versão invisível do Qbot que se aproveitava de uma biblioteca Dynamic Link Library (DLL) incorporada. Anterior a agosto de 2023, o Qbot dominava o índice de ameaças, tanto globalmente como no Brasil, classificando-se como um dos três malwares mais prevalentes durante dez meses consecutivos. Embora não tenha voltado entre os Top 10 Malwares do índice, os próximos meses determinarão se o Qbot recuperará a notoriedade que tinha previamente.

Entretanto, o FakeUpdates continuou a sua ascensão ao topo depois de ter reaparecido no final de 2023, alcançando o primeiro lugar do ranking global com um impacto de 2%. O Nanocore também manteve uma posição entre os cinco primeiros durante seis meses consecutivos, ocupando o terceiro lugar em dezembro; e registraram-se novas entradas dos malwares Ramnit e Glupteba.

"Ver o Qbot de volta ao cenário menos de quatro meses depois de a sua infraestrutura de distribuição ter sido desmantelada é um lembrete de que, embora possamos interromper as campanhas de malware, os cibercriminosos por trás delas se adaptarão às novas tecnologias", alerta Maya Horowitz, vice-presidente de pesquisa da Check Point Software. "É por isso que as organizações são orientadas a adotar uma abordagem preventiva à segurança dos endpoints e a realizar a devida diligência sobre as origens e a intenção de um e-mail", completa Maya.

A equipe da CPR também revelou que "Apache Log4j Remote Code Execution (CVE-2021-44228) e "Web Servers Malicious URL Directory Traversal" foram as vulnerabilidades mais exploradas, afetando 46% das organizações em todo o mundo. A "Injeção de comandos Zyxel ZyWALL (CVE-2023-28771)" veio na sequência com um impacto global de 43%.

Principais famílias de malware

* As setas referem-se à mudança na classificação em comparação com o mês anterior.

O FakeUpdates e o Formbook foram os malwares mais prevalentes em dezembro de 2023, com um impacto de 2% nas organizações mundiais, seguidos pelo Nanocore, com um impacto global de 1%.

↑ FakeUpdates - Fakeupdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Ele grava as cargas no disco antes de iniciá-las. FakeUpdates levou a comprometimentos adicionais por meio de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.

↓ Formbook - É um infoStealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta credenciais de vários navegadores da Web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu C&C (Comando & Controle).

↑ Nanocore - É um Trojan de Acesso Remoto (RAT) que tem como alvo os usuários do sistema operacional Windows e foi observado pela primeira vez em 2013. Todas as versões do RAT contêm plugins e funcionalidades básicas, como captura de tela, mineração de criptomoedas, controle remoto do ambiente de trabalho e roubo de sessões de webcam.

A lista global completa das dez principais famílias de malware em dezembro de 2023 pode ser encontrada no blog da Check Point Software.

Principais setores atacados no mundo e no Brasil

Em dezembro de 2023, a Educação/Pesquisa continuou a ser o setor mais atacado a nível mundial, seguido das Comunicações e do Governo/Forças Armadas.

1.Educação/Pesquisa
2.Comunicações
3.Governo/Forças Armadas

No Brasil, os três setores no ranking nacional mais visados por ciberataques durante o mês de dezembro foram:

1. Utilities (média de 1.891 ataques semanais por organização nos últimos seis meses – julho a dezembro 2023)
2. Transportes (média de 1.744 ataques semanais por organização nos últimos seis meses – julho a dezembro 2023)
3. Governo/Forças Armadas (média de 1.951 ataques semanais por organização nos últimos seis meses – julho a dezembro 2023)

Principais vulnerabilidades exploradas

Em dezembro, "Apache Log4j Remote Code Execution (CVE-2021-44228)" e "Web Servers Malicious URL Directory Traversal" foram as vulnerabilidades mais exploradas, afetando 46% das organizações a nível mundial, seguidas da "Zyxel ZyWALL Command Injection (CVE-2023-28771)" com um impacto global de 43%.

1. ↑ Execução remota de código do Apache Log4j (Apache Log4j Remote Code Execution - CVE-2021-44228) - Existe uma vulnerabilidade de execução remota de código no Apache Log4j. A exploração bem-sucedida desta vulnerabilidade pode permitir que um atacante remoto execute código arbitrário no sistema afetado.
2. ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - Existe uma vulnerabilidade de passagem de diretório em diferentes servidores web. A vulnerabilidade se deve a um erro de validação de entrada em um servidor web que não limpa adequadamente o URI para os padrões de passagem de diretório. A exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acessem arquivos arbitrários no servidor vulnerável.
3. ↔ Zyxel ZyWALL Command Injection (CVE-2023-28771) - Existe uma vulnerabilidade de injeção de comando no Zyxel ZyWALL. A exploração bem-sucedida desta vulnerabilidade permitiria que atacantes remotos executassem comandos arbitrários do sistema operacional no sistema afetado.

Principais malwares móveis

Em dezembro, o Anubis permaneceu em primeiro lugar como o malware móvel mais difundido, seguido por AhMyth e Hiddad.

1.Anubis é um cavalo de Troia bancário projetado para smartphones Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.
2.AhMyth é um Trojan de acesso remoto (RAT) descoberto em 2017. Ele é distribuído por meio de aplicativos Android que podem ser encontrados em lojas de aplicativos e vários sites. Quando um usuário instala um desses aplicativos infectados, o malware pode coletar informações confidenciais do dispositivo e executar ações como keylogging, captura de tela, envio de mensagens SMS e ativação da câmera, que geralmente é usada para roubar informações confidenciais.
3.Hiddad é um malware Android que reembala aplicativos legítimos e os libera em uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.

Os principais malwares de dezembro no Brasil

Em dezembro, o ranking de ameaças do Brasil contou com o Chaes na liderança do ranking com impacto de cerca de 3%; em segundo lugar, o Fakeupdates cujo impacto foi de 2,76% (pouco a mais que o global de 2,32%); enquanto o Nanocore permaneceu em terceiro lugar com impacto de cerca de 2%.

 

O Índice de impacto de ameaças globais da Check Point Software e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, a maior rede colaborativa que fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e dispositivos móveis. A inteligência é enriquecida com mecanismos baseados em IA e dados de pesquisa exclusivos da divisão Check Point Research (CPR).

Sobre a Check Point Research

A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças. A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções. A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.

Acompanhe as redes sociais da Check Point Research via:

Sobre a Check Point Software Technologies Ltd.

A Check Point Software Technologies Ltd. é um fornecedor líder em soluções de cibersegurança para empresas privadas e governos em todo o mundo. O portfólio de soluções do Check Point Infinity protege organizações privadas e públicas contra os ataques cibernéticos de 5ª geração com uma taxa de detecção de malware, ransomware e outras ameaças que é líder de mercado. O Infinity compreende quatro pilares principais, oferecendo segurança total e prevenção contra ameaças avançadas em ambientes corporativos: Check Point Harmony, para usuários remotos; Check Point CloudGuard, para proteger nuvens automaticamente; Check Point Quantum, para proteger perímetros de rede e data centers, todos controlados pelo gerenciamento de segurança unificado mais abrangente e intuitivo do setor; e Check Point Horizon, uma suíte de operações de segurança que prioriza a prevenção. A Check Point Software protege mais de 100.000 organizações de todos os portes.

©2024 Check Point Software Technologies Ltd. Todos os direitos reservados.