A Check Point divulgou o Índice Global de Ameaças referente ao mês de janeiro de 2021. O destaque ficou por conta do Emotet que se manteve no primeiro lugar na lista de malware, pela segunda vez consecutiva, com um impacto global de 6% das organizações, mesmo depois de a Europol ter tomado controle do botnet no último dia 27 de janeiro.
A ação da polícia internacional fez decrescer o número de organizações impactadas pelo Emotet em 14%; em seus planos futuros consta a desinstalação em massa do malware dos dispositivos infectados prevista para 25 de abril. Mesmo assim, o Emotet mantém a sua posição de liderança no Índice Global de Ameaças, dado o seu vasto historial de infecção global. As campanhas maliciosas de spam utilizam diversas técnicas para disseminar o botnet, como links, documentos anexados ou arquivo zip protegidos por senha.
Identificado pela primeira vez em 2014, o Emotet tem sido atualizado regularmente pelos seus desenvolvedores de forma a manter a sua eficácia. O Departamento de Segurança Nacional dos Estados Unidos da América (CISA) estima que a resolução de um incidente envolvendo o Emotet custe às organizações mais de US$ 1 milhão.
“O Emotet é uma das variantes de malware mais onerosas e prejudiciais já vista. O esforço conjunto feito pelos organismos e meios legais para o derrubá-lo foi essencial, é uma grande conquista,” afirma Maya Horowitz, diretora de Pesquisa de Inteligência de Ameaças da divisão Check Point Research (CPR). “Contudo, novas ameaças surgirão inevitavelmente para o substituir, e as organizações ainda precisarão garantir com sistemas de segurança robustos a proteção de suas redes. Como sempre, um treinamento e a educação ampla aos colaboradores são essenciais para que sejam capazes de identificar os diferentes tipos de e-mails maliciosos que espalham cavalos de Troia e bots”, reforça Maya.
A Check Point Research também alerta que a “MVPower DVR Remote Code Execution” foi a vulnerabilidade explorada mais comum em janeiro, afetando 43% das organizações globalmente, seguida pela “HTTP Headers Remote Code Execution (CVE-2020-13756)” que impactou 42% das organizações em todo o mundo . A “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” apareceu em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 41%.
Principais famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.
Em janeiro deste ano, o Emotet continua sendo o malware mais popular, com um impacto global de 6% das organizações, seguido de perto pelo Phorpiex e o Trickbot – que impactaram 4% das organizações em todo o mundo cada um.
↔ Emotet – É um trojan avançado, auto propagável e modular. O Emotet era anteriormente um trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.
↑ Phorpiex – Um botnet conhecido por distribuir outras famílias de malware por meio de campanhas de spam, além de alimentar campanhas de extorsão do tipo “sextortion” em larga escala.
↓ Trickbot – É um trojan bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.
Principais vulnerabilidades exploradas
Em janeiro, a “MVPower DVR Remote Code Execution” foi a vulnerabilidade explorada mais comum, afetando 43% das organizações globalmente, seguida pela “HTTP Headers Remote Code Execution (CVE-2020-13756)” que impactou 42% das organizações em todo o mundo. A “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” ficou em terceiro lugar na lista de vulnerabilidades mais exploradas com um impacto global de 41%.
↔ MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada.
↔ HTTP Headers Remote Code Execution (CVE-2020-13756) – Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar código arbitrário na máquina da vítima.
↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Uma vulnerabilidade de desvio de autenticação que existe em roteadores Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permite que atacantes remotos obtenham informações confidenciais e o acesso não autorizado ao sistema infectado.
Principais malwares móveis
Em janeiro, Hiddad ocupa o primeiro lugar como o malware móvel mais prevalente no mês, seguido por xHelper e Triada.
1) Hiddad – Um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.
2) xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
3) Triada – Um backdoor modular para Android que concede privilégios de superusuário ao malware baixado.
