Emotet foi a principal ameaça contra as organizações portuguesas em fevereiro de 2022

A Check Point Research (CPR) publicou o mais recente Índice Global de Ameaças referente a fevereiro de 2022. Os investigadores reportam que o Emotet se mantém como o malware mais prevalente, impactando 5% das organizações em todo o mundo, enquanto o Trickbot tem vindo a perder relevância, passando de segundo para sexto lugar no Índice de Ameaças.

O Trickbot é um botnet e trojan bancário que pode roubar detalhes financeiros, credenciais de contas, e informação de identificação pessoal, bem como espalhar lateralmente dentro de uma rede e albergar malware. Durante 2021, este apareceu no topo dos malwares mais prevalecentes durante sete meses. Ao longo das últimas semanas, a Check Point Research, notou a inexistência de novas campanhas de ataques Trickbot, levando a que agora este se posicione na sexta posição do Índice de Ameaças. A razão para tal pode estar a acontecer devido a alguns dos membros Trickbot se terem juntado ao grupo de ransomware Conti, como sugerido numa informação partilhada pelo grupo Conti.

Este último mês, a CPR testemunho os cibercriminosos a procurarem aproveitar-se do conflito Rússia-Ucrânia de modo a ludibriar pessoas para efetuarem o download de ficheiros maliciosos, e o malware mais prevalecente em Fevereiro foi o Emotet, que tem sido o veículo usado para o efeito, com e-mail que contém ficheiros maliciosos e títulos sugestivos.

“Neste momento, estamos a ver um variado número de malwares, incluindo o Emotet, a tirar proveito do interesse público à volta do conflito Rússia/Ucrânia, criando campanhas de e-mail com um título que engane as pessoas a fazer o download de ficheiros maliciosos. É importante confirmar sempre se o endereço de email do emissor é autêntico, validar se existem erros ortográficos nos e-mails e nunca abrir ficheiros que venham em anexo ou clicar em links a não ser que esteja totalmente certo de que é um e-mail seguro e válido”, refere, em comunicado, Maya Horowitz, VP Research na Check Point Software

A CPR revelou este mês que o setor de Educação e Investigação continua a ser o mais atacado a nível global, seguido do setor da Administração Pública/Indústria Militar e ISP/MSP. A “Web Server Exposed Git Repository Information Disclosure” é a vulnerabilidade mais explorada, impactando 46% das organizações globalmente, seguida da “Apache Log4j Remote Code Execution” que passou de primeira para segunda vulnerabilidade mais explorada e que ainda assim impacta 44% das organizações a nível mundial. A terceira vulnerabilidade mais explorada é “HTTP Headers Remote Code Execution”, com um impacto global de 41%.

Principais famílias de malware

Este mês, o Emotet mantém-se como o malware mais perigoso do mundo, com um impacto de 5% das organizações do mundo. É seguido de perto pelo Formbook, com um impacto de 3%, e pelo Glupteba, com um impacto de 2%.

Também em Portugal a lista é liderada pelo Emotet, com um impacto nacional de 6,04%. Seguem-se o Formbook, um infostealer que rouba credenciais e captura ecrãs, bem como regista as teclas usadas e que em Portugal impactou 3,64% das organizações; e o Crackonosh, um software de mineração de malware com um impacto de 3,23%.

1. Emotet – Trojan avançado, auto-propagador e modular. O Emotet já foi utilizado como Trojan bancário, mas recentemente é utilizado para distribuir malware e outras campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser disseminado através de e-mails de spam de phishing contendo anexos ou links maliciosos. 
2. Formbook – Info Stealer que coleta credenciais de vários navegadores, capturas de ecrã, monitoriza e regista as teclas digitadas, podendo ainda fazer download e executar ficheiros de acordo com comandos C&C.
3. Crackonosh – é um minerador de malware que pode ser injetado em produtos de software populares que tenham sido atacados e disponibilizados em plataformas de hosting de software pirata. De modo a alargar a base de potenciais vítimas, os operadores desta ameaça disponibilizam videojogos. A partir do momento em que o Crackonosh é iniciado, irá substituir serviços essenciais do Windows. Esta ameaça vem também equipada com rotinas de anti-deteção e pode eliminar soluções de anti-malware do sistema comprometido. 

Indústrias mais atacadas em Portugal

Este mês, em contraciclo com a tendência global, o setor de Sistemas de Informação foi o mais atacado em Portugal, seguido pelo setor da Administração Pública/Indústria Militar.

1. SI/VAR/Distribuidor
2. Vendedor de Software
3. Administração Pública/Indústria Militar

Indústrias mais atacadas na Europa

Este mês, Educação/Investigação mantém-se como o setor mais atacado a nível europeu, seguido pela Administração Pública/Indústria Militar e, em terceiro lugar, a indústria das Comunicações.

1. Educação/Investigação
2. Administração Pública/Indústria Militar
3. Comunicações

Vulnerabilidades mais exploradas

Este mês, a “Web Server Exposed Git Repository Information Disclosure” é a vulnerabilidade mais comumente explorada, afetando 46% das organizações globalmente, seguida por “Apache Log4j Remote Code Execution” que afeta 44% das organizações em todo o mundo. “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 41%.

1. Web Server Exposed Git Repository Information Disclosure – Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.
2. Apache Log4j Remote Code Execution (CVE-2021-44228) – Vulnerabilidade que permite a execução remota de código presente no Apache Log4j. A exploração bem-sucedida desta vulnerabilidade permitirá um atacante remoto executar código arbitrariamente no sistema infetado.
3. HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um Header HTTP vulnerável para correr qualquer código no dispositivo da vítima.