Analysis

Trickbot foi a ameaça que mais afetou as organizações portuguesas

A nível mundial, o Dridex continua a ser o malware mais popular, mas, em Portugal, é o Trickbot a ser responsável por impactar 8% das organizações

16/05/2021

Trickbot foi a ameaça que mais afetou as organizações portuguesas

A Check Point Research publicou o Índice Global de Ameaças de abril de 2021. Pela primeira vez, o Agent Tesla alcançou o segundo lugar do Índice, enquanto o trojan Dridex se mantém o malware mais temível da lista, depois de, em março, ter passado de sétimo para primeiro lugar. Em Portugal, o Trickbot foi a ameaça mais danosa, com um impacto de 8% das organizações portuguesas. 

Este mês, o Dridex – trojan que tem como alvo a plataforma Windows – disseminou-se através de uma campanha Malspam que utilizava o branding da QuickBooks para enviar notificações de pagamento e faturas falsas. O conteúdo do e-mail incitava o utilizador a fazer download de um documento Microsoft Excel em anexo no qual seguia o trojan.  

Este malware é utilizado muitas vezes como estágio inicial de infeção em operações de ransomware nas quais os hackers encriptam os dados de uma organização, exigindo, para a desencriptação, um resgate. Cada vez mais, estes hackers estão a utilizar métodos de dupla extorsão em que roubam informação sensível de uma organização e ameaçam a sua divulgação, caso não seja efetuado um pagamento. Em março, a Check Point Research reportou o aumento em 57% do número de ataques ransomware no início de 2021. Esta tendência tem vindo a agravar-se, completando um aumento de 107% em relação ao mesmo período do ano passado. Recentemente, a Colonial Pipeline, a maior operadora de combustíveis dos EUA, foi vítima de um ataque deste género e, em 2020, estima-se que o ransomware tenha custado às empresas cerca de 20 mil milhões de dólares, um valor quase 75% superior a 2019. 

Pela primeira vez, o Agent Tesla alcançou o segundo lugar da lista global de Top Malware. O Agent Testa é um Trojan de Acesso Remoto (RAT) ativo desde 2014 que funciona como keylogger, roubando palavras-passe. Este RAT consegue monitorizar e recolher o que a vítima escreve no seu teclado e sistema clipboard, bem como gravar screenshots e extrair as credenciais introduzidas para uma variedade de softwares do dispositivo (incluindo Google Chrome, Mozilla Firefox e Microsoft Outlook). Este mês, houve um aumento das campanhas do Agent Tesla, que se disseminavam via malspam. O conteúdo do e-mail requeria aos utilizadores o download de um ficheiro (de qualquer tipo) que poderia resultar na infeção do sistema com o Agent Tesla. 

Com o aumento acentuado do número de ataques ransomware em todo o mundo, não é surpresa que o Índice de Ameaças deste mês inclua esta tendência. Em média, a cada dez segundos, há uma organização no mundo a sofrer um ataque ransomware”, afirma Maya Horowitz, Director, Threat Intelligence & Research, Products na Check Point. “Recentemente, tem havido apelos aos governos para que se faça mais em relação a esta crescente ameaça, mas não há quaisquer sinais de abrandamento. Todas as organizações têm de estar conscientes dos riscos e garantir que contam com soluções anti-ransomware adequadas. No mesmo sentido, é crucial fornecer a todos os funcionários formação abrangente para a cibersegurança, para que estejam equipados com as qualificações necessárias para a identificação dos tipos de e-mails maliciosos que disseminam Dridex e outros malwares, já que é assim que grande parte dos ataques de ransomware se iniciam”.

A Check Point Research revelou ainda que a “Web Server Exposed Git Repository Information Disclosure” é a vulnerabilidade mais comummente explorada, impactando 46% das organizações a nível global. Segue-se a “HTTP Headers Remote Code Execution (CVE-2020-13756)”, com um impacto global de 45.5% e, em terceiro lugar, a “MVPower DVR Remote Code Execution”, responsável por impactar 44% das organizações do mundo.

Principais famílias de malware (abril 2021)

Este mês, o Dridex continua a ser o malware mais popular a nível global, impactando 15% das organizações. Em segundo e terceiro lugares, seguiram-se o Agent Tesla e o Trickbot, com um impacto global de 12% e 8% respetivamente. A nível nacional, em primeiro lugar esteve o Trickbot, responsável por impactar 8% das organizações. Seguiu-se o XMRig e o Dridex, com um impacto de 7% e 6%, respetivamente.  

  1. Dridex - O Dridex é um Trojan que ataca plataformas Windows e é alegadamente descarregado através de um anexo de e-mail de spam. A Dridex contacta um servidor remoto e envia informações sobre o sistema infetado. Também pode descarregar e executar módulos arbitrários recebidos do servidor remoto.
  2. Agent Tesla – O Agent Tesla é um Trojan de Acesso Remoto que funciona como keylogger e extrator de informação, que é capaz de monitorizar e coligir a digitação de teclado do utilizador, o sistema do teclado, capturar imaens de ecran, e extrair credenciais de diversos softwares instalados no dispositivo da vítima, incluindo Google Chrome, Mozilla Firefox e cliente de email Microsoft Outlook. 
  3. Trickbot - O Trickbot é um Trojan bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.

Principais vulnerabilidades exploradas (abril 2021)

Em abril, o “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade mais explorada, com um impacto global de 46% das organizações, seguido do “HTTP Headers Remote Code Execution (CVE-2020-13756)”, responsável por impactar 45,5% das organizações a nível mundial e do “MVPower DVR Remote Code Execution”, com um impacto de 44%. 

  1. Web Server Exposed Git Repository Information Disclosure – Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.
  2. HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – O HTTP Headers permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um HTTP Header vulnerável para correr qualquer código no dispositivo da vítima. 
  3. MVPower DVR Remote Code Execution – Uma vulnerabilidade na execução remota de código nos dispositivos MVPower DVR. Um atacante pode explorar remotamente esta fraqueza para executar um código arbitrário no router afetado por meio de um pedido de solicitação de acesso. 

Principais malwares para dispositivos móveis (abril 2021)

Este mês, o primeiro lugar é ocupado pelo xHelper. Segue-se o Triada e o Hiddad. 

  1. xHelper – É uma aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, em que é usada para descarregar aplicações maliciosas e exibir anúncios fraudulentos. A aplicação é capaz de se esconder dos programas de antivírus móveis e do utilizador, sendo capaz de se reinstalar no caso do utilizador o desinstalar. 
  2. Triada – É um Modular Backdoor para Android que garante privilégios de administrador mediante o download de malware.
  3. Hiddad – O Hiddad é um malware Android que reutiliza apps legítimas, lançando-as em lojas de terceiros. A sua principal função é a exibição de anúncios, mas pode também conceder acesso a detalhes chave de segurança do Sistema Operativo.  

O Índice de Impacto Global de Ameaças da Check Point e o ThreatCloud Map baseiam a sua informação no ThreatCloudTM da Check Point, a maior rede colaborativa de luta contra o cibercrime, que disponibiliza informação e tendências sobre ciberataques através de uma rede global de sensores de ameaças. A base de dados do ThreatCloud inclui mais de 3 mil milhões de websites e 600 milhões de ficheiros diariamente, identificando mais de 250 milhões de atividades de malware diariamente.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº21 Dezembro 2024

IT SECURITY Nº21 Dezembro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.