Ataques ransomware aumentam com troianos Trickbot e Emotet

Hospitais e organizações de saúde a nível global são o principal alvo do crescente aumento de ataques ransomware. Em Portugal o Emotet foi o malware mais prevalente com 36% o Dridex com 7%, o Zloader, um malware bancário de roubo de informações com 6%.

Ataques ransomware aumentam com troianos Trickbot e Emotet
Ataques ransomware aumentam com troianos Trickbot e Emotet

O mais recente Índice Global de Ameaças de outubro de 2020, da Check Point Research indica que os troianos Trickbot e Emotet são os malwares mais prevalentes, e que são responsáveis pelo aumento dos ataques ransomware dirigidos a hospitais e serviços de saúde a nível global.

Dados da área de Threat Inteligence da Check Point, empresa de cibersegurança, indicam que o número de ataques ransomware contra organizações de saúde e hospitais sofreu, em outubro, um aumento de 36% na região da Europa, Oriente Médio e África (EMEA). Uma tendência que também se verificou um pouco por todo o mundo, com a região Ásia-Pacífico (APAC) a registar um aumento de 33% e, nos Estados Unidos, com o setor de saúde a consolidar-se enquanto o mais atacado por ransomware, com uma subida de 71% em relação ao mês anterior.

Investigadores da Check Point alertam para o aumento exponencial dos ataques ransomware que se tem verificado desde que se iniciou a pandemia, num claro aproveitamento das possíveis falhas de segurança advindas das várias mudanças que ocorreram, e ocorrem, neste período. O alvo mais afetado tem sido o setor da saúde, por onde se têm disseminado os malwares TrickBot e Emotet. A Check Point alerta para a necessidade de todas as organizações de saúde tomarem medidas precauções de cibersegurança antes que estes agentes maliciosos causem danos reais.

Os investigadores alertam ainda para o “MVPower DVR Remote Code Execution”, a vulnerabilidade mais comummente explorada, impactando 43% das organizações a nível global, seguida da “Dasan GPON Router Authentication Bypass” e do “HTTP Headers Remote Code Execution (CVE-2020-13756)”, ambos responsáveis por um impacto mundial de 42% das organizações.

Top de famílias malware de outubro em Portugal

Este mês, o Emotet manteve-se como o malware mais popular do Índice, com um impacto nas organizações a nível global de 14% e em Portugal de 36%; o Trickbot, com um impacto global e nacional de 4% e o Hiddad, com um impacto global de 4% e nacional de 0,11%. No top nacional de famílias malware, em segundo lugar encontra-se o Dridex, com um impacto de 7%, seguido pelo Zloader, um malware bancário de roubo de informações com um impacto de 6% no conjunto de organizações portuguesas.

1. O Emotet – Um troiano modular e de autopropagação manteve o indice. O Emotet costumava ser usado como um troiano bancário e evoluiu para distribuidor de outros malwares ou de campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser espalhado através de e-mails de spam de phishing contendo anexos ou links maliciosos.

2. O Trickbot – Um troiano bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.

3. Hiddad – o Hiddad é um malware Android que reutiliza apps legítimas, lançando-as em lojas de terceiros, aumentou o índice de ação. A principal função é a exibição de anúncios, mas pode também conceder acesso a detalhes chave de segurança do Sistema Operativo.

Top de vulnerabilidades exploradas

Este mês o “MVPower DVR Remote Code Execution” foi a vulnerabilidade mais explorada, com um impacto global de 43% das organizações, seguido do “Dasan GPON Router Authentication Bypass” e do “HTTP Headers Remote Code Execution (CVE-2020-13756)responsáveis por impactar 42% das organizações em todo o mundo.

1. O MVPower DVR Remote Code Execution – Uma vulnerabilidade na execução remota de código nos dispositivos MVPower DVR, manteve o índice de ação. Um atacante pode explorar remotamente esta fraqueza para executar um código arbitrário no router afetado por meio de um pedido de solicitação de acesso.

2. O Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Vulnerabilidade de autenticação bypass que existe em routers Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permitirá a atacantes remotos a obtenção de informação sensível e o acesso não autorizado ao sistema infetado.

3. O HTTP Headers Remote Code Execution (CVE-2020-13756) – o HTTP Headers que permite a passagem de informações adicionais com uma solicitação http viu a sua acção crescer. Um atacante remoto pode utilizar um HTTP Header vulnerável para correr qualquer código no dispositivo da vítima.

Top de famílias malware em dispositivos móveis

Este mês, o Hiddad foi o mobile malware mais popular, seguido do xHelper e do Lotoor.

1. Hiddad – o Hiddad é um malware Android que reutiliza apps legítimas, lançando-as em lojas de terceiros. A sua principal função é a exibição de anúncios, mas pode também conceder acesso a detalhes chave de segurança do Sistema Operativo.

2. xHelper – É uma aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, em que é usada para descarregar aplicações maliciosas e exibir anúncios fraudulentos. A aplicação é capaz de se esconder dos programas de antivírus móveis e do utilizador, sendo capaz de se reinstalar depois do utilizador o ter desinstalado.

3. Lotoor – o Lotoor é uma ferramenta de ataque que explora vulnerabilidades em sistemas operativos Android com o objetivo de aceder a dispositivos móveis comprometidos.

O Índice de Impacto Global de Ameaças da Check Point e o ThreatCloud Map baseiam a sua informação no ThreatCloud da Check Point, a maior rede colaborativa de luta contra o cibercrime, que disponibiliza informação e tendências sobre ciberataques através de uma rede global de sensores de ameaças. A base de dados do ThreatCloud inclui mais de 2,5 mil milhões de websites e 500 milhões de ficheiros diariamente, identificando mais de 250 milhões de atividades de malware diariamente.

A lista completa das 10 principais famílias de malware de setembro pode ser encontrada no Blog da Check Point, e recursos de prevenção de ameaças estão disponíveis em: http://www.checkpoint.com/threat-prevention-resources/index.html