Agent Tesla foi o malware mais comum durante agosto em Portugal

A Check Point publicou o seu Índice Global de Ameaças para o mês de agosto de 2024. Este índice revelou que o ransomware continua a ser a principal ameaça entre os softwares maliciosos, com o RansomHub a manter a sua posição como a mais dominadora variante de ransomware.

Esta operação denominada de Ransomware-as-a-Service (RaaS) expandiu-se rapidamente e já causou danos a mais de 210 vítimas em todo o mundo, após o seu rebranding de ransomware Knight. Entretanto, o Ransomware Meow emergiu, passando da encriptação para vendas de dados roubados em mercados de fuga de dados.

No mês passado, o RansomHub consolidou a sua posição como a principal ameaça de ransomware, conforme detalhado num aviso declarado em conjunto pelos departamentos do FBI, CISA, MS-ISAC e HHS. Esta operação de RaaS tem atacado agressivamente e entre os seus principais alvos estão sistemas: Windows, macOS, Linux, e especialmente ambientes VMware ESXi, utilizando técnicas de encriptação sofisticadas.

O mês de agosto também foi palco da ascensão do ransomware Meow que aparece agora em segundo lugar na lista dos ransomware mais ameaçadores. Teve origem numa variante do ransomware Conti, e já denominado de Meow alterou o seu principal foco que era a encriptação, passando então a extrair dados, com o intuito de os vender em mercados de fuga de dados. Neste modelo, os dados roubados são vendidos ao maior licitador, ao invés de serem usados para extorquir a vítima.

“A consolidação do RansomHub como a maior ameaça dentro dos ransomwares em agosto enfatiza o nível de sofisticação crescente das operações de Ransomware-as-a-Service”, disse, em comunicado, Maya Horowitz, VP de Pesquisa da Check Point Software. “As organizações precisam de estar mais vigilantes do que nunca. A ascensão do ransomware Meow destaca a transição para os mercados de fuga de dados, sinalizando um novo método de cobrança e monetização para os operadores de ransomware, onde os dados roubados são agora cada vez mais vendidos a terceiros em vez de simplesmente serem publicados online ou usados para extorsão da vítima. À medida que estas ameaças evoluem, as empresas devem manter-se alerta, serem cada vez mais proativas em relação às suas medidas de segurança e melhorar continuamente as suas defesas contra ataques cada vez mais sofisticados”.

Principais famílias de malware em agosto

1. FakeUpdates – O FakeUpdates (também conhecido como SocGholish) é um downloader codificado em JavaScript. Encripta toda a carga útil no disco antes de a lançar. O Fake Updates levou a um maior compromisso através de vários malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer, and AZORult;
2. Androxgh0st – O Androxgh0st é um botnet que tem como alvo as plataformas Windows, Mac e Linux. Ao iniciar a infeção, explora várias vulnerabilidades, especificamente visando o PHPUnit, Laravel Framework e Apache Web Server. O malware rouba informações sensíveis, como informações de contas Twilio, credenciais SMTP, chave AWS, entre outros. Utiliza ficheiros Laravel para recolher as informações necessárias. Tem diferentes variantes que procuram informações diferentes;
3. Phorpiex – O Phorpiex é um botnet conhecido por distribuir outras famílias de malware por meio de campanhas de spam, bem como por alimentar campanhas de "Sextortion" em larga escala.

Principais famílias de malware em Portugal

1. AgentTesla - O AgentTesla é um RAT avançado que funciona como um keylogger e um ladrão de informações, capaz de monitorizar e recolher a entrada do teclado da vítima, o teclado do sistema, fazer capturas de ecrã e exfiltrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, o Mozilla Firefox e o cliente de e-mail Microsoft Outlook);
2. CloudEye - O CloudEye é um downloader que tem como alvo a plataforma Windows e é utilizado para descarregar e instalar programas maliciosos nos computadores das vítimas;
3. Qbot - O Qbot, também conhecido como Qakbot, é um malware sofisticado e multifuncional que surgiu como um trojan bancário em 2007. Ao longo dos anos, evoluiu para facilitar uma série de atividades cibercriminosas, incluindo o roubo de credenciais, a entrega de ransomware e o acesso backdoor a sistemas comprometidos. Um dos grupos mais dominantes por detrás desta versátil ameaça é o TA577, um famoso grupo de cibercriminosos que distribuiu habilmente o Qbot através de várias campanhas de phishing sofisticadas. Depois de uma tentativa significativa de eliminação pela polícia em agosto de 2023, o Qbot demonstrou uma resiliência e adaptabilidade notáveis. Desde dezembro de 2023, tem havido um ressurgimento notável, com os agentes da ameaça a experimentarem novas versões. Os principais métodos de distribuição do Qbot são as campanhas de phishing dirigidas a sectores específicos, a exploração de vulnerabilidades e a adaptação a vários vetores de infeção, incluindo a malvertising.

Principais indústrias atacadas em Portugal

1. Saúde;
2. Transportes;
3. Educação/Investigação.