As principais ciberameaças de junho

A Check Point Research (CPR) publicou o Índice Global de Ameaças referente a junho de 2021. O Trickbot é pelo segundo mês consecutivo o malware mais comum, a nível mundial. Em Portugal, à frente do Trickbot esteve apenas o XMRig, com um impacto de 8% das organizações nacionais. 

O Trickbot é um botnet e trojan bancário capaz de roubar informação bancária, credenciais de conta e informações pessoais, bem como disseminar-se numa rede e implantar ransomware. No mês passado, a CPR reportou que o número médio de ataques ransomware por semana aumentou 93% nos últimos 12 meses, avisando que os ataques de ransomware não começam, por norma, com ransomware. Por exemplo, nos ataques do ransomware Ryuk, o malware Emotet era utilizado para infiltrar a rede, posteriormente infetada com o top malware deste mês, o Trickbot. Só numa terceira fase era encriptada a informação com o ransomware. 

Desde que o botnet Emotet foi derrubado em janeiro, o trojan e botnet Trickbot adquiriu popularidade. Recentemente, foi associado a uma nova cadeia de ransomware chamada ‘Diavol’. O Trickbot é atualizado constantemente com novas funcionalidades e vetores de distribuição, que lhe permitem atender a múltiplos propósitos maliciosos. 

"Grupos bem conhecidos de ransomware, como o Ryuk e o REvil, recorrem primeiramente a várias formas de malware para completar as fases iniciais da infecção - uma delas é precisamente o Trickbot", afirma Maya Horowitz, Director, Threat Intelligence & Research, Products da Check Point. "As organizações têm de estar profundamente conscientes dos riscos e assegurar a existência de soluções adequadas. Para além do botnet e do trojan bancário, Trickbot, o top deste mês inclui uma grande variedade de diferentes tipos de malware incluindo botnets, infostealers, backdoors, RATs e malware móvel. É crucial que as organizações disponham das tecnologias certas para lidar com uma tão grande variedade de ameaças. Se o fizerem, a maioria dos ataques, mesmo os mais avançados como o REvil, podem ser evitados sem perturbar o fluxo de trabalho normal".

A CPR revelou ainda que a “HTTP Headers Remote Code Execution” foi a vulnerabilidade mais explorada este mês, seguida da “MVPower DVR Remote Code Execution”, responsável por impactar 45% das organizações a nível global. Em terceiro lugar, esteve a “Dasan GPON Router Authentication Bypass”, com um impacto global de 44%.

Principais famílias de malware em junho

Este mês, o Trickbot foi o malware mais popular, com um impacto de 7% das organizações a nível mundial. Seguiram-se o XMRig e o Formbook, com um impacto de 3% cada. 

Em Portugal, a lista alterou-se ligeiramente, com o XMRig a ocupar o primeiro lugar, com um impacto de 8% das organizações nacionais. Em segundo lugar, esteve o Trickbot, responsável por impactar 6% das organizações portuguesas. O Crackonosh, um malware de mineração de criptomoeda que se mantém nos dispositivos através da desinstalação de softwares de segurança e da desativação de atualizações do Windows, teve uma prevalência de 4% entre as organizações portuguesas.

1. Trickbot – O Trickbot é um Trojan bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.
2. XMRig – Software de mining CPU em open-source, usado para o processo de mineração da criptomoeda Monero, detetado pela primeira vez em Maio de 2017.
3. Formbook – Formbook é um Info Stealer que coleta credenciais de vários navegadores, capturas de ecrã, monitoriza e regista as teclas digitadas, podendo ainda fazer download e executar ficheiros de acordo com comandos C&C.

Principais vulnerabilidades exploradas 

Em junho, “HTTP Headers Remote Code Execution” foi a vulnerabilidade mais explorada, com um impacto global de 48% das organizações, seguido da “MVPower DVR Remote Code Execution”, responsável por impactar 45% das organizações a nível mundial. Seguiu-se a “Dasan GPON Router Authentication Bypass”, com um impacto global de 44%. 

1. HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – O HTTP Headers permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um HTTP Header vulnerável para correr qualquer código no dispositivo da vítima. 
2. MVPower DVR Remote Code Execution – Uma vulnerabilidade na execução remota de código nos dispositivos MVPower DVR. Um atacante pode explorar remotamente esta fraqueza para executar um código arbitrário no router afetado por meio de um pedido de solicitação de acesso. 
3. Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Vulnerabilidade de autenticação bypass que existe em routers Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permitirá a atacantes remotos a obtenção de informação sensível e o acesso não autorizado ao sistema infetado.

Principais malwares para dispositivos móveis

Este mês, o primeiro lugar foi ocupado pelo xHelper. Seguiu-se o Hiddad e o XLoader.

1. xHelper – É uma aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, em que é usada para descarregar aplicações maliciosas e exibir anúncios fraudulentos. A aplicação é capaz de se esconder dos programas de antivírus móveis e do utilizador, sendo capaz de se reinstalar no caso do utilizador o desinstalar. 
2. Hiddad – O Hiddad é um malware Android que reutiliza apps legítimas, lançando-as em lojas de terceiros. A sua principal função é a exibição de anúncios, mas pode também conceder acesso a detalhes chave de segurança do Sistema Operativo.  
3. XLoader – O XLoader é um Android Spyware e um Trojan Bancário desenvolvido pelo grupo de hackers chinês Yanbian Gang. Este malware utiliza a técnica de spoofing de DNS para distribuir apps de Android infetadas, de forma a recolher informação financeira e pessoal.