FakeUpdates continua a ser a principal ameaça em Portugal

A Check Point Software publicou o seu Índice Global de Ameaças referente a maio de 2024. No mês passado, os investigadores descobriram uma campanha de malspam orquestrada pelo botnet Phorpiex. Os milhões de e-mails de phishing enviados continham o LockBit Black - baseado no LockBit3, mas não afiliado ao grupo de ransomware. Num desenvolvimento não relacionado, o atual grupo de Ransomware-as-a-Service (RaaS) Lockbit 3 aumentou a sua predominância após um curto período de inatividade na sequência de uma remoção global pelas autoridades policiais, sendo responsável por 33% dos ataques publicados.

Em Portugal, o FakeUpdates manteve-se na liderança dos malwares mais predominantes, com um impacto de 8,38% nas organizações, e o setor mais afetado voltou a ser o dos Cuidados de Saúde.

Os operadores originais do botnet Phorpiex encerraram e venderam o código-fonte em agosto de 2021. No entanto, em dezembro de 2021, a Check Point Research (CPR) descobriu que este havia ressurgido como uma nova variante chamada “Twizt”, operando num modelo peer-to-peer descentralizado. Em abril deste ano, a New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) encontrou evidências de que o botnet Phorpiex, que ficou em sexto lugar no índice de ameaças do mês passado, estava a ser usado para enviar milhões de e-mails de phishing como parte de uma campanha de ransomware LockBit3. Estes e-mails continham anexos ZIP que, quando os ficheiros .doc.scr eram executados, desencadeavam o processo de encriptação do ransomware. A campanha utilizou mais de 1.500 endereços IP únicos, principalmente do Cazaquistão, Uzbequistão, Irão, Rússia e China.

Entretanto, o Índice de Ameaças da Check Point destaca as perceções dos “shame sites” geridos por grupos de ransomware de dupla extorsão que publicam informações sobre as vítimas para pressionar os alvos que não pagam. Em maio, o LockBit3 reafirmou o seu domínio, sendo responsável por 33% dos ataques publicados. Seguiram-se o Inc. Ransom com 7% e o Play com uma taxa de deteção de 5%. A Inc. Ransom reivindicou recentemente a responsabilidade por um grande incidente cibernético que perturbou os serviços públicos da Câmara Municipal de Leicester, no Reino Unido, tendo alegadamente roubado mais de três terabytes de dados e provocado um encerramento generalizado do sistema.

“Embora os organismos responsáveis pela aplicação da lei tenham conseguido interromper temporariamente a cibergangue LockBit3, expondo um dos seus líderes e afiliados, para além de libertarem mais de sete mil chaves de desencriptação do LockBit, ainda não foi suficiente para eliminar completamente a ameaça. Não é surpreendente vê-los reagrupar-se e implementar novas táticas para continuar com as suas atividades”, diz em comunicado Maya Horitz, VP de Investigação da Check Point Software. “O ransomware é um dos métodos de ataque mais perturbadores utilizados pelos cibercriminosos. Depois de se infiltrarem na rede e extraírem informações, as opções são limitadas para o alvo, especialmente se não puderem pagar os pedidos de resgate. É por isso que as organizações devem estar atentas aos riscos e dar prioridade às medidas preventivas”.

Principais famílias de malware a nível mundial

1. FakeUpdates – O FakeUpdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Grava os payloads no disco antes de os lançar. O FakeUpdates levou a um maior envolvimento através de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult;
2. Androxgh0st – O Androxgh0st é um botnet que tem como alvo as plataformas Windows, Mac e Linux. Para a infeção inicial, o Androxgh0st explora várias vulnerabilidades, visando especificamente o PHPUnit, o Laravel Framework e o Apache Web Server. O malware rouba informações sensíveis, tais como informações da conta Twilio, credenciais SMTP, chave AWS, etc. Utiliza ficheiros Laravel para recolher as informações necessárias. Tem diferentes variantes que procuram informações diferentes;
3. Qbot – O Qbot AKA Qakbot é um malware multiuso que apareceu pela primeira vez em 2008. Foi concebido para roubar as credenciais de um utilizador, gravar as teclas premidas, roubar cookies dos navegadores, espiar as atividades bancárias e instalar malware adicional. Frequentemente distribuído por correio eletrónico de spam, o Qbot utiliza várias técnicas anti-VM, anti-depuração e anti-sandbox para dificultar a análise e evitar a deteção. Com início em 2022, surgiu como um dos cavalos de Troia mais prevalecentes.

Principais famílias de malware em Portugal

1. FakeUpdates;
2. CloudEyE – O CloudEye é um downloader que tem como alvo a plataforma Windows e é usado para descarregar e instalar programas maliciosos nos computadores das vítimas;
3. Androxgh0st.

Principais indústrias atacadas a nível mundial

1. Educação/Investigação;
2. Administração pública / defesa;
3. Telecomunicações.

Principais indústrias atacadas em Portugal

1. Cuidados de saúde;
2. Educação/Investigação;
3. Telecomunicações.