Ciberataques com Emotet atingem 11% das organizações portuguesas

Em Portugal 11% das empresas são vítimas de ciberataques com malware Emotet. Este malware evasivo é difícil de detetar, e utiliza múltiplos métodos para infetar redes. Investigadores da Check Point alertam que a Saúde é o setor atualmente mais atacado em Portugal.

Ciberataques com Emotet atingem 11% das organizações portuguesas. Foto: Rosa Pinto

Investigadores de segurança da empresa de soluções de cibersegurança, Check Point, alertam para o regresso do Emotet ao primeiro lugar da lista mundial, com o Trickbot “destronado” após um longo período na posição cimeira. O ranking português segue a tendência, com o Emotet a impactar 11% das organizações portuguesas.

Passados apenas dois meses e meio após o seu regresso, o Emotet volta ao lugar de topo. O botnet é habitualmente disseminado através de e-mails de phishing que contêm anexos ou links maliciosos. O seu crescimento foi impulsionado pela prevalência do Trickbot entre as ameaças mais frequentes. O Trickbot funciona como catalisador e contribui para a disseminação do malware. Entretanto, o Dridex já não consta do top 10 de ameaças, tendo sido substituído pelo Lokibot, um InfoStealer utilizado para obter dados pessoais, como credenciais de e-mail, palavras-passe para wallets de CryptoCoin e servidores FTP.

“Não surpreende que o Emotet esteja de volta em grande forma. É um malware evasivo, é difícil de detetar, e utiliza múltiplos métodos para infetar redes, o que contribui ainda mais para o crescimento desta ameaça. É pouco provável que este seja um problema resolvido a curto prazo,” afirmou Maya Horowitz, VP Research at Check Point Software.

A especialista acrescentou: “Este mês, vimos também o Dridex desaparecer do top10 de ameaças e o Lokibot a reaparecer. O Lokibot aproveita-se das vítimas nos seus momentos mais frágeis, sendo distribuído através de e-mails de phishing muito bem escritos. Estas ameaças, juntamente com a batalha em curso com a vulnerabilidade do Log4j, sublinham a importância de contar com as melhores soluções de segurança de rede, cloud, mobile e endpoints de utilizador”.

A Check Point Research revelou que este mês a Saúde é o setor mais atacado em Portugal, seguido da Educação/Investigação e, em terceiro lugar, o setor Utilities. Na Europa, o top é liderado pelo setor da Educação/Investigação, seguido da Administração Pública/Setor Militar e as Comunicações. No mundo, o setor da Educação/Investigação mantém-se o mais atacado, seguido da Administração Pública/Setor Militar e do setor ISP/MSP.

A vulnerabilidade “Apache Log4j Remote Code Execution” é ainda a mais comumente explorada, com impacto global de 47.4% das organizações, seguida da “Web Server Exposed Git Repository Information Disclosure”, que impactou 45% das organizações do mundo. Em terceiro lugar, a “HTTP Headers Remote Code Execution”, com um impacto global de 42%.

Top malware families
Este mês, o Emotet é o malware mais perigoso do mundo, com um impacto de 6% das organizações do mundo. É seguido de perto pelo Trickbot, com um impacto de 4%, e pelo Formbook, com um impacto de 3%.

Também em Portugal a lista é liderada pelo Emotet, com um impacto nacional de 11%. Seguem-se o AgentTesla, um trojan de acesso remoto que funciona como keylogger e que em Portugal impactou 4% das organizações; e o XMRig, um software de mineração de criptomoeda com um impacto de 3%.

1.↑ Emotet – Trojan avançado, auto-propagador e modular. O Emotet já foi utilizado como Trojan bancário, mas recentemente é utilizado para distribuir malware e outras campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser disseminado através de e-mails de spam de phishing contendo anexos ou links maliciosos.

2. Trickbot Trojan bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.

3.Formbook – Info Stealer que coleta credenciais de vários navegadores, capturas de ecrã, monitoriza e regista as teclas digitadas, podendo ainda fazer download e executar ficheiros de acordo com comandos C&C.

Indústrias mais atacadas em Portugal:

Este mês, o setor da Saúde foi o mais atacado em Portugal, seguido pela Educação/Investigação e, em terceiro, as Utilities.

1.Saúde

2.Educação/Investigação

3.Utilities

Indústrias mais atacadas na Europa:

Este mês, Educação/Investigação é o setor mais atacado a nível europeu, seguido pela Administração Pública/Indústria Militar e, em terceiro lugar, a indústria das Comunicações.

1.Educação/Investigação

2.Administração Pública/Indústria Militar

3.Comunicações

Indústrias mais atacadas no mundo:

Este mês, Educação/Investigação é o setor mais atacado globalmente, seguido pela Administração Pública/Indústria Militar e ISP/MSP.

1.Educação/Investigação

2.Administração Pública/Indústria Militar

3.ISP/MSP

Vulnerabilidades mais exploradas

Este mês, a “Apache Log4j Remote Code Execution” é a vulnerabilidade mais comumente explorada, afetando 47.4% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que afeta 45% das organizações em todo o mundo. “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 42%.

1.↔ Apache Log4j Remote Code Execution (CVE-2021-44228)Vulnerabilidade que permite a execução remota de código presente no Apache Log4j. A exploração bem-sucedida desta vulnerabilidade permitirá um atacante remoto executar código arbitrariamente no sistema infetado.

2.↔ Web Server Exposed Git Repository Information DisclosureVulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.
3.↔HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um Header HTTP vulnerável para correr qualquer código no dispositivo da vítima.

Principais malwares móveis

Este mês, o xHelper fica em primeiro lugar na lista de malware móveis mais prevalentes, seguido pelo AlienBot e pelo FluBot.

1.xHelper – Aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, utilizada para descarregar aplicações maliciosas e exibir anúncios. A aplicação é capaz de se esconder do utilizador, podendo reinstalar-se no caso do utilizador a desinstalar.

2.AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite um atacante remoto injetar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla o dispositivo.

3.FluBot – Botnet para Android distribuído via mensagens SMS de phishing que imitam marcas de logística e entregas. Assim que o utilizador clica no link enviado, o FluBot é instalado e tem acesso a todas as informações sensíveis do telemóvel.

O Índice de Impacto Global de Ameaças e o ThreatCloud Map da Check Point Software são proporcionados pela inteligência da ThreatCloud. A ThreatCloud fornece threat inteligence em tempo real derivada de centenas de milhões de sensores em todo o mundo, sobre redes, endpoints e dispositivos móveis. A inteligência é enriquecida por mecanismos IA e dados de investigação exclusivos da Check Point Research, área de Threat Intelligence da Check Point Software Technologies.