Saúde volta a ser dos setores mais atacados em Portugal

Tanto a nível mundial como em Portugal, o malware Qbot, desenhado para roubar credenciais bancárias, foi o que mais afetou as empresas no último mês do ano. O Índice Global de Ameaças de dezembro de 2022 da Check Point Research indica que o mês também ficou marcado pelo regresso do Glupteba, um Trojan botnet, ao Top 10 a nível mundial. Apesar da Google ter conseguido afetar de forma significativa, em dezembro de 2021, as operações da Glupteba, parece que o malware voltou em força no mês de dezembro, com uma nova variante modular. 

O botnet é utilizado como um downloader e infeta os dispositivos com outros malwares, o que pode significar que o malware pode ser utilizado para ataques de ransomware, por exemplo. O Glupteba pode também ser utilizado para roubar credenciais, sessões e cookies dos dispositivos infetados. Assim, podem aceder as plataformas das vítimas e roubar dados sensíveis ou outro tipo de ação. Este malware é normalmente utilizado para instalar funções de criptomineração.

Em dezembro, o Hiddad também apareceu, pela primeira vez em 2022, na lista dos três principais mobile malwares. O Hiddad é um malware de distribuição de anúncios, que visa dispositivos android. Este malware simula aplicações legítimas e depois é lançado nas lojas de aplicações não oficiais. A sua principal função é a de exibir anúncios, mas também pode obter acesso a detalhes chave de segurança integrados no sistema operativo.

“Um dos temas mais impressionantes que temos assistido nas nossas últimas pesquisas, é a frequência com que os malwares se disfarçam de softwares legítimos, para dar aos hackers os acessos aos dispositivos, sem levantar suspeitas. Por isso, é importante de realizar as devidas diligências, quando se está a realizar o download de um software na internet ou a clicar num link, mesmo que estes aparentem ser genuínos”, comenta Maya Horowitz, VP Research at Check Point Software.

Este mês, não houve alteração a nível dos principais setores atacados a nível mundial, sendo que a Educação/Investigação continua a ser a indústria mais atacada, seguida pelo Administração Pública/Defesa e por fim a saúde. Em Portugal, o setor da Utilities foi o mais atacado no mês de dezembro, seguido pelo setor das Saúde e por fim o setor Financeiro/Bancário.

Principais famílias a nível mundial

1. Qbot – O Qbot AKA Qakbot é um trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção.
2. Emotet – O Emolet é um trojan avançado, auto-propagador e modular. Já foi utilizado como trojan bancário, mas recentemente é utilizado para distribuir malware e outras campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser disseminado através de e-mails de spam de phishing contendo anexos ou links maliciosos.
3. XMRig – O XMRig é um software de mineração, que usa as capacidades da CPU, para minerar a criptomoeda Monero. Os criminosos utilizam com frequência o software open-source ao integrar o malware para minerar nos dispositivos das vítimas.

Principais famílias em Portugal

Portugal, segue a tendência mundial com o Qbot, que foi o malware mais difundido este mês, com 11,93% das empresas afetadas, seguido pelo XMRig e do Nanocore com 5,13% e 2,74%, respetivamente.

Principais vulnerabilidades exploradas 

1. Web Server Exposed Git Repository Information Disclosure – impacto de 46% das organizações a nível mundial. Foi relatada uma vulnerabilidade na divulgação de informação no Git Repository. Uma exploração bem-sucedida desta vulnerabilidade poderia permitir a divulgação não intencional de informação de conta
2. Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – impacto de 44%. Existe uma vulnerabilidade, transversal, de diretórios em diferentes servidores web, que se deve a um erro de validação de entrada num servidor web que não higieniza devidamente o URI para padrões de deslocação de diretórios. Uma exploração bem-sucedida permite aos atacantes remotos não autenticados revelar ou aceder a ficheiros arbitrários no servidor vulnerável.
3. Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – impacto de 43%. Foi relatada uma vulnerabilidade no HTTP. Um cibercriminoso pode explorar esta questão através do envio de um pedido especialmente elaborado para a vítima, e uma correta exploração permitiria executar um código arbitrário no dispositivo alvo.

No Top Mobile Malwares, no mês de dezembro, o Anubis manteve o primeiro lugar como o malware móvel mais difundido, seguido pelo Hydra e o Joker.