Dridex, Qbot e AgentTesla foram as principais ameaças às organizações portuguesas

A Check Point Research (CPR) publicou o Índice Global de Ameaças referente a dezembro de 2021. Num mês que viu surgir a vulnerabilidade no Apache Log4j, os investigadores relatam que o Trickbot é ainda o malware mais prevalente, apesar de, em dezembro, apresentar uma menor taxa de impacto de 1% entre as organizações de todo o mundo em comparação com o mês passado (em novembro, o impacto foi de 5%). Em Portugal, a lista de ameaças é ligeiramente diferente, com o trojan bancário Dridex a destacar-se entre as restantes. A nível nacional, ressalta ainda o setor jurídico, o mais visado em dezembro.

Este mês, “Apache Log4j Remote Code Execution” foi a vulnerabilidade mais explorada, afetando 48,3% das organizações de todo o mundo. A vulnerabilidade foi identificada primeiramente no Log4j do Apache – a biblioteca de logging mais popular do Java utilizada em muitos serviços de Internet e aplicações com mais de 400 mil descargas. A vulnerabilidade deu origem a uma nova praga e impactou quase metade de todas as empresas do mundo num curto espaço de tempo. Os atacantes podem explorar apps vulneráveis para executar cryptojackers e outros malware em servidores comprometidos. Até agora, a maioria dos ataques têm-se focado na mineração de criptomoeda às custas das vítimas, contudo, os atacantes mais avançados já começaram a agir agressivamente, procurando tirar proveito de alvos mais críticos.

“O Log4j dominou as manchetes em dezembro. É uma das vulnerabilidades mais críticas que já testemunhámos, e devido à complexidade que exige fazer a patch, bem como à facilidade da sua exploração, é provável que fique connosco por muitos anos, a não ser que as organizações tomem ações imediatas para prevenir ataques”, afirma, em comunicado, Maya Horowitz, VP Research at Check Point Software.  “Este mês, vimos também o botnet Emotet subir do sétimo lugar do top de malware mais prevalentes para a segunda posição. Tal como suspeitávamos, não demorou muito para o Emotet construir uma base forte desde o seu ressurgimento em novembro. É evasivo e tem-se disseminado rapidamente através de e-mails de phishing com anexos maliciosos ou links. É hoje mais importante que nunca contar com uma solução de segurança para e-mail robusta para garantir que os utilizadores sabem identificar mensagens e anexos suspeitos”.

A CPR revelou ainda que, este mês, o setor jurídico foi o mais atacado em Portugal, seguido pela Educação/Investigação e, em terceiro lugar, a Saúde. Na Europa, os três setores mais afetados são, em primeiro lugar, Educação/Investigação, a Administração Pública/Indústria Militar e, em terceiro, as Utilities. A nível global, a indústria da Saúde é a mais visada, seguida pela Administração Pública/Indústria Militar e pelos serviços ISP/MSP.

Principais famílias de malware em Portugal e no mundo

Em dezembro de 2021, o Trickbot foi o malware mais popular, afetando 4% das organizações em todo o mundo, seguido pelo Emotet e Formbook, ambos com um impacto global de 3%. 

1. Trickbot – Trojan bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.
2. Emotet – Trojan avançado, auto-propagador e modular. O Emotet já foi utilizado como Trojan bancário, mas recentemente é utilizado para distribuir malware e outras campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser disseminado através de e-mails de spam de phishing contendo anexos ou links maliciosos. 
3. Formbook – Info Stealer que coleta credenciais de vários navegadores, capturas de ecrã, monitoriza e regista as teclas digitadas, podendo ainda fazer download e executar ficheiros de acordo com comandos C&C.

Em Portugal, a lista de ameaças mais prevalentes foi um pouco diferente. Destacou-se o trojan bancário Dridex, com um impacto nacional de 8%. Seguiu-se o Qbot, responsável por impactar 7% das organizações portuguesas e, em terceiro lugar, o AgentTesla, que afetou 6% das empresas em Portugal.

Indústrias mais atacadas

Em Portugal, durante o último mês do ano, o setor jurídico foi a indústria mais atacada, seguida da educação e investigação e com a saúde a fechar o pódio.

Já na Europa, a educação e investigação foi a indústria mais atacada, seguida da administração pública e indústria militar e, por fim, as utilities. Em todo o mundo, a situação é semelhante à Europa, com a a educação e investigação a ser a indústria mais atacada com a administração pública e indústria militar em segundo. No entanto, a terceira indústria mais atacada a nível mundial foram os ISP/MSP.

Principais vulnerabilidades exploradas

Este mês, “Apache Log4j Remote Code Execution” é a vulnerabilidade mais comumente explorada, afetando 48.3% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que afeta 43,8% das organizações em todo o mundo. “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 41.5%.

1. Apache Log4j Remote Code Execution (CVE-2021-44228) – Vulnerabilidade que permite a execução remota de código presente no Apache Log4j. A exploração bem-sucedida desta vulnerabilidade permitirá um atacante remoto executar código arbitrariamente no sistema infetado.
2. Web Server Exposed Git Repository Information Disclosure – Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.
3. HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um Header HTTP vulnerável para correr qualquer código no dispositivo da vítima.

Principais malwares móveis

1. AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite um atacante remoto injetar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla o dispositivo.
2. xHelper – Aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, utilizada para descarregar aplicações maliciosas e exibir anúncios. A aplicação é capaz de se esconder do utilizador, podendo reinstalar-se no caso do utilizador a desinstalar. 
3. FluBot – Botnet para Android distribuído via mensagens SMS de phishing que imitam marcas de logística e entregas. Assim que o utilizador clica no link enviado, o FluBot é instalado e tem acesso a todas as informações sensíveis do telemóvel.