Malware mais procurado em maio é o BlueKeep, diz CheckPoint

A Check Point Research, divisão de Inteligência de ameaças da CheckPoint,  publica seu mais recente Índice Global de Ameaças referente ao mês de maio de 2019. A equipe de pesquisa está alertando as organizações para verificar e corrigir quaisquer sistemas vulneráveis à falha ‘BlueKeep’ Microsoft RDP (CVE-2019-0708) em máquinas com Windows 7 e Windows Server 2008, para evitar o risco de serem exploradas por ataques de ransomware e criptomineração.

A falha do BlueKeep afeta quase 1 milhão de máquinas que são acessíveis à Internet pública, além de outra grande quantidade nas redes corporativas.A vulnerabilidade é crítica porque não requer interação do usuário para ser explorada.O RDP já é um vetor de ataque estabelecido e popular que foi usado para instalar ransomware, como SamSame Dharma.A equipe do Check Point Research está observando, atualmente, muitas tentativas de varredura para a falha, originárias de vários países no mundo, o que poderia ser a fase inicial de reconhecimento de um ataque.Além dos patches relevantes da Microsoft, a Check Point está fornecendo proteções de rede e de endpoints (terminais) para esse ataque.

Segundo Maya Horowitz, diretora de Inteligência de Ameaças e Pesquisa da Check Point, a maior ameaça vista pela equipe último mês é o BlueKeep.Mesmo que nenhum ataque tenha sido visto explorando isso, várias explorações públicas de prova de conceito foram desenvolvidas. A Check Point concorda com a Microsoft e outros observadores do setor de cibersegurança que o BlueKeep poderia ser usado para lançar ataques cibernéticos na escala das enormes campanhas como WannaCry e NotPetya de 2017.Um único computador com essa falha pode ser usado para fornecer uma carga maliciosa que infecta toda a rede.“Então, todos os computadores infectados com acesso à Internet podem contaminar outros dispositivos vulneráveis em todo o mundo, permitindo que o ataque se espalhe exponencialmente, em um ritmo incontrolável. Por isso, é fundamental que as organizações se protejam, corrigindo a falha agora, antes que seja tarde demais”, alerta Maya Horowitz.

Outras notícias importantes sobre malware em maio referem-se aos desenvolvedores do programa de afiliados GandCrab Ransomware-as-a-Service anunciando no último dia do mês que estavam paralisando a operação e que pediram a seus afiliados que parassem de distribuir o ransomware dentro de 20 dias.A operação está ativa desde janeiro de 2018 e, em apenas dois meses, infectou mais de 50.000 vítimas. O total de ganhos para seus desenvolvedores e afiliados é estimado em bilhões de dólares. Uma ameaça regular no Índice Top 10 dos Mais Procurados, o GandCrab foi atualizado com frequência com novos recursos para escapar das ferramentas de detecção.

Os três principais malwares “mais procurados” em maio de 2019 foram:

* As setas estão relacionadas com a mudança na classificação em comparação com o mês anterior.

Os três malwares mais proeminentes Cryptominers – Cryptoloot, XMRig e JSEcoin continuam no topo do ranking, cada um com um impacto global de 4%.

1. ↔ Cryptoloot- Criptominerador que usa o poder de CPU ou GPU (processador gráfico) da vítima e os recursos existentes para a criptomineração, adicionando transações ao blockchain e liberando nova moeda. Originalmente é um concorrente do Coinhive, oferecendo uma porcentagem menor de receita de sites.

1. ↔ XMRig– Software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda do Monero e visto pela primeira vez, em tempo real, em maio de 2017.

1. ↔ JSEcoin- Minerador de JavaScript que pode ser incorporado em sites. Com o JSEcoin é possível executar o minerador diretamente no navegador em troca de uma experiência sem anúncios, moeda do jogo e outros incentivos.

Os três principais malwares de maio para dispositivos móveis:

Em maio, o Lotoor é o malware móvel mais predominante, a partir do dia 2 de abril. Triada cai de 1º colocado para 3º colocado, enquanto Hiddad sobe de 3º para 2º colocado.

1.            ↑ Lotoor– Ferramenta hack que explora vulnerabilidades no sistema operacional Android, a fim de obter privilégios de root em dispositivos móveis comprometidos.

1.            ↑  Hiddad- Malware Android que reempacota aplicativos legítimos e os lança em uma loja de terceiros. Sua principal função é exibir anúncios, mas também é capaz de obter acesso aos principais detalhes de segurança incorporados ao sistema operacional, permitindo que um atacante obtenha dados confidenciais do usuário.

1. ↓  Triada– Backdoor modular para Android que concede privilégios de superusuário ao malware baixado, ajudando a incorporar-se aos processos do sistema. O Triada também foi visto falsificando URLs carregados no navegador.

As três vulnerabilidades mais exploradas de maio:

Em maio, vimos um retorno das técnicas tradicionais de ataque (provavelmente causadas pela diminuição da lucratividade dos criptomineradores), com as técnicas SQL Injections liderando a lista de vulnerabilidades de explorações principais com um impacto global de 49%. Web Server Exposed Git Repository Information Disclosure e Open SSL TLS DTLS Heart beat Information Disclosure estão posicionadas em segundo e terceiro lugares, afetando 44% e 41% das organizações em todo o mundo, respectivamente.

1. ↑  SQL Injection (várias técnicas) – Insere uma injeção de SQL query na entrada do cliente para o aplicativo, enquanto explora uma vulnerabilidade de segurança em um software aplicativo.

1. ↑ Web Server Exposed Git Repository Information Disclosure– Uma vulnerabilidade de divulgação de informações foi relatada no GitRepository. A exploração bem-sucedida desta vulnerabilidade pode permitir uma divulgação não intencional de informações da conta.

1. ↓ OpenSSL TLS DTLS Heart beat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Existe uma vulnerabilidade de divulgação de informações no OpenSSL. A vulnerabilidade é devida a um erro ao manipular pacotes de heartbeat do TLS/DTLS.  Um atacante pode aproveitar essa vulnerabilidade para divulgar o conteúdo da memória de um cliente ou servidor conectado.
2. O Mapa de Ameaças por país exibe o índice de risco globalmente (verde – baixo risco, vermelho – alto risco, cinza – dados insuficientes), demonstrando as principais áreas de risco e pontos críticos de malware em todo o mundo. Em maio, o Brasil está na posição 86ª no ranking (mesma posição de abril) com 44,7% de risco, num total de 147 países na lista.

    

   A seguir, a lista dos Top 10 malwares no Brasil no mês de maio:

O Índice Global da Check Point e seu Mapa de Ameaças na Nuvem são distribuídos pela Check Point Threat Cloud Intelligence, a maior rede de colaboração para combater o cibercrime, que fornece dados de ameaças e tendências de ataque de uma rede global de sensores de ameaças. O banco de dados Threat Cloud contém mais de 250 milhões de endereços analisados para a descoberta de bots, mais de 11 milhões de assinaturas de malware e mais de 5,5 milhões de sites infectados, e identifica milhões de tipos de malware diariamente.

A lista completa das Top 10 principais famílias de malware em maio pode ser encontrada no Blog da Check Point.