Echobot lança ataque generalizado contra dispositivos IoT

A Check Point Research, área de Inteligência em Ameaças da Check Point,  publicou seu mais recente Índice Global de Ameaças em agosto de 2019. A equipe de Pesquisa alerta as organizações de uma nova variante do Mirai IoT Botnet, o Echobot, que lançou ataques generalizados contra diversos dispositivos de IoT. Visto pela primeira vez em maio de 2019, o Echobot explorou mais de 50 vulnerabilidades diferentes, causando um aumento acentuado na vulnerabilidade ‘Injeção de comando por HTTP’, que impactou 34% das organizações em todo o mundo.

Agosto também viu a infraestrutura ofensiva da botnet Emotet se tornar ativa novamente, depois de encerrar seus serviços há dois meses. O Emotet foi a maior botnet em operação no primeiro semestre de 2019. Embora nenhuma grande campanha tenha sido observada até o momento, é provável que seja usada para iniciar campanhas de spam em breve.

“O Echobot foi visto pela primeira vez em meados de maio e, como uma nova variante do notório Mirai IoT Botnet, é importante observar o aumento acentuado das explorações, pois agora ele tem como alvo mais de 50 vulnerabilidades diferentes. A Echobot impactou 34% das empresas em todo o mundo, o que mostra como é vital para as organizações garantir que todas as correções e atualizações de suas redes, software e dispositivos de IoT sejam aplicadas ”, disse Maya Horowitz, diretora de Threat Intelligence & Research, Products da Check Point.

Os três principais malwares “mais procurados” de agosto de 2019:

* As setas estão relacionadas à alteração na classificação em comparação com o mês anterior.

Este mês, o XMRig continua liderando a lista dos principais malwares, seguido pelo Jsecoin, ambos com um impacto global de 7%. O Dorkbot está em terceiro lugar, impactando 6% das organizações em todo o mundo.

1. ↔ XMRig – O XMRig é um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero, visto pela primeira vez em maio em 2017.
2.    ↔ Jsecoin – Jsecoin é um minerador JavaScript que pode ser incorporado em sites. O JSEcoin pode ser executado diretamente nos navegadores dos usuários em troca de uma experiência sem anúncios, moeda no jogo e outros incentivos.
3.    ↔ Dorkbot – O Dorkbot é um worm baseado em IRC, projetado para permitir a execução remota de código por seu operador, bem como o download de malware adicional no sistema infectado.

Os três principais malwares para celular “Mais procurados” de agosto:

Este mês, o Lotoor é o malware Mobile com maior prevalência, seguido pelo AndroidBauts e Triada.

1. Lotoor – Ferramenta de hacking que explora vulnerabilidades no sistema operacional Android para obter privilégios de root em dispositivos móveis comprometidos.
2.    AndroidBauts – Adware destinado a usuários do Android que filtram IMEI, IMSI, localização GPS e outras informações do dispositivo e permite a instalação de aplicativos e atalhos de terceiros em dispositivos móveis.
3.    Triada – Backdoor modular para Android, que concede privilégios de superusuário a malware baixado, ajudando-os a incorporar nos processos do sistema. Triada também foi vista falsificando URLs no navegador.

Vulnerabilidades em agosto

Este mês, as técnicas de injeção SQL mantêm o primeiro lugar na lista das principais vulnerabilidades exploradas, seguidas de perto pela vulnerabilidade de OpenSSL TLS DTLS Heartbeat Information Disclosure, ambas impactando 39% das organizações em todo o mundo. Em terceiro lugar, a vulnerabilidade de execução remota de código do MVPower DVR com um impacto global de 38% das organizações em todo o mundo.

1. ↔ SQL Injection (várias técnicas) – Insere uma injeção de consulta SQL na entrada do cliente para o aplicativo, enquanto explora uma vulnerabilidade de segurança no software de um aplicativo.
2.   ↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Uma vulnerabilidade de divulgação de informações que existe no OpenSSL. A vulnerabilidade ocorre devido a um erro ao manipular pacotes de pulsação TLS / DTLS. Um invasor pode aproveitar essa vulnerabilidade para divulgar o conteúdo da memória de um cliente ou servidor conectado.
3. ↔ MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código em dispositivos MVPower DVR. Um invasor remoto pode explorar essa fraqueza para executar código arbitrário no roteador afetado por meio de uma solicitação criada.