Saúde foi o setor mais afetado por ciberataques em Portugal

A Check Point Software publicou o seu Índice Global de Ameaças relativamente a janeiro de 2024 e, no mês em questão, os investigadores identificaram um novo sistema de distribuição de tráfego generalizado (TDS) chamado VexTrio, que ajudou mais de 60 afiliados por meio de uma rede de mais de 70 mil sites comprometidos. Entretanto, o LockBit3 foi nomeado o grupo de ransomware mais prevalente numa classificação recentemente introduzida no Índice, e a Educação continuou a ser o setor mais afetado a nível mundial.

Ativo desde, pelo menos, 2017, o VexTrio colabora com dezenas de associados para espalhar conteúdos maliciosos através de um TDS sofisticado. Utilizando um sistema semelhante ao das redes de afiliados de marketing legítimo, as atividades da VexTrio são muitas vezes difíceis de detetar e, apesar de estar ativa há mais de seis anos, a escala das suas operações tem passado largamente despercebida. Isto deve-se ao facto de haver poucos indícios que o liguem a agentes de ameaça específicos ou a cadeias de ataque, o que o torna um risco considerável para a cibersegurança devido a uma rede extensa e a operações avançadas.

“Os cibercriminosos evoluíram de meros hackers para arquitetos do engano, e o VexTrio é mais um lembrete de como a indústria se tornou comercialmente orientada”, disse Maya Horowitz, VP de Investigação da Check Point Software, em comunicado. “Para se manterem seguros, os indivíduos e as organizações devem dar prioridade às atualizações regulares de cibersegurança, empregar uma proteção robusta dos terminais e fomentar uma cultura de práticas online vigilantes. Ao mantermo-nos informados e proactivos, podemos fortificar coletivamente as nossas defesas contra os perigos em evolução colocados pelas ciberameaças emergentes”.

Pela primeira vez, o Índice da Check Point inclui agora uma classificação dos grupos de ransomware mais prevalentes, com base na atividade de mais de 200 sites fraudulentos. No mês passado, o LockBit3 foi o grupo de ransomware mais prevalente, responsável por 20% dos ataques publicados. Assumiu a responsabilidade por alguns incidentes notáveis em janeiro, incluindo um ataque à cadeia de sanduíches Subway e ao Hospital Saint Anthony em Chicago.

Além disso, a CPR revelou que a vulnerabilidade mais explorada a nível mundial é a “Injeção de comandos através de HTTP”, que afeta 44% das organizações, seguida da “Passagem de diretório de URL malicioso de servidores Web”, com um impacto de 41%, e da “Execução remota de código de cabeçalhos HTTP”, com um impacto global de 40%.

Principais famílias de malware a nível mundial

1. FakeUpdates – O FakeUpdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Grava os payloads no disco antes de os lançar. O FakeUpdates levou a um maior envolvimento através de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult;
2. Qbot - O Qbot AKA Qakbot é um malware multiuso que apareceu pela primeira vez em 2008. Foi concebido para roubar as credenciais de um utilizador, gravar as teclas premidas, roubar cookies dos navegadores, espiar as atividades bancárias e instalar malware adicional. Frequentemente distribuído por correio eletrónico de spam, o Qbot utiliza várias técnicas antiVM, antidepuração e antisandbox para dificultar a análise e evitar a deteção. Com início em 2022, surgiu como um dos trojans mais prevalecentes;
3. FormBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.

Principais famílias de malware em Portugal

1. FakeUpdates;
2. Qbot;
3. Nanocore – O NanoCore é um Trojan de Acesso Remoto que tem como alvo os utilizadores do sistema operativo Windows e foi observado pela primeira vez em 2013. Todas as versões do RAT contêm plugins e funcionalidades básicas, como captura de ecrã, mineração de criptomoedas, controlo remoto do ambiente de trabalho e roubo de sessões de webcam.

Principais indústrias atacadas a nível mundial

1. Educação/investigação;
2. Telecomunicações;
3. Administração pública/defesa.

Principais indústrias atacadas em Portugal

1. Saúde;
2. Transportes;
3. Telecomunicações.