A Check Point Research, a área de Threat Intelligence da Check Point, acaba de lançar o seu ’Cyber Attack Trends: 2020 Mid-Year Report’, que mostra como os actores de ameaças criminosas, políticas e de nação-estado exploraram a pandemia COVID-19 e temas a si relacionados para atingir organizações em todos os sectores de actividade, incluindo governos, indústria, saúde, prestadores de serviços, infraestruturas críticas e consumidores.
Os ataque de phishing e de malware relacionados com o COVID-19 aumentaram dramaticamente de menos de 5 000 por semana em Fevereiro, para mais de 200 000 por semana em Abril. Também, em Maio e Junho, com os países a entrarem numa fase de desconfinamento, os agentes de ameaças voltaram a alterar os seus ataques referentes ao COIVD-19, resultando num aumento de 34% em todos os tipos de ciberataques a nível global no final de Junho em comparação com Março e Abril.
Principais tendências reveladas por este relatório incluem:
· Escalonamento da Guerra cibernética: os ciberataques nação-estado aumentaram de intensidade e severidade durante o 1º trimestre enquanto os países procuravam juntar informação sobre ou para impedir a forma como os seus inimigos estão a lidar com a pandemia. Estes ataques estenderam-se a organizações humanitárias e de saúde como é o caso da Organização Mundial de Saúde, que reportou um aumento de 500% de ataques.
· Ataques de Dupla-extorsão: Em 2020, uma nova forma de ataque de ransomware que rapidamente foi adoptada pelos atacantes para extrair elevadas quantidades de dados antes de os encriptar. As vítimas que recusam-se a pagar o resgate são ameaçadas com a divulgação dos dados, criando uma pressão adicional para aceitarem as exigências dos criminosos.
· Exploração Mobile: os agentes de ameaças têm procurado novos vectores de infecção mobile, melhorando as suas técnicas para ultrapassar as protecções de segurança e colocarem apps maliciosas nas lojas oficiais de aplicações. Num ataque inovador, estes agentes utilizam o sistema de Mobile Device Management (MDM) de uma grande organização internacional para distribuir malware para mais de 75% dos dispositivos móveis por si geridos.
· Exposição na Cloud: A rápida passagem para clouds públicas durante a pandemia levou a um aumento de ataques focados em processos cloud críticos e aos dados aí arquivados. Os agentes de ameaças estão também a usar a infraestrutura cloud para alojar os ataques maliciosos. Em Janeiro, os investigadores da Check Point descobriram a primeira vulnerabilidade crítica no Microsoft Azure que poderia permitir aos hackers comprometer dados e apps de outros utilizadores Azure, mostrando como as clouds públicas não se encontram totalmente seguras.
“A resposta global à pandemia transformou e acelerou os modelos de ataque normais dos agentes de ameaças durante a primeira metade do ano, para explorar os receios em torno do COVID-19. Vimos também a emergir novas vulnerabilidades e vectores de ataques, que ameaçam a segurança das organizações de todos os sectores de actividade,” refere Maya Horowitz, Director, Threat Intelligence & Research, Products da Check Point. “Os especialistas de segurança precisam estar alerta para estas ameaças em constante evolução de modo a que possam assegurar que as suas organizações têm os melhores níveis de segurança possível durante o resto do ano de 2020.”
Top malware durante o 1º Semestre de 2020
- Emotet (impactando 9% das organizações a nível global) – O Emotet é um troiano modular avançado de auto-propagação. O Emotet era originalmente um troiano bancário, mas recentemente tem sido usado enquanto distribuidor de outros malwares ou campanhas maliciosas. Utiliza múltiplos métodos para manter técnicas de evasão e de persistência de modo a evitar a sua detecção. Adicionalmente, pode ainda espalhar-se através de esquemas de spam de email phishing contendo anexos maliciosos ou links.
- XMRig (8%) – O XMRig é um software de mineração open-source em CPU para a criptomoeda Monero. Os agentes de ameaças muitas vezes abusam deste software open-source ao integrarem no seu malware para conduzir mineração ilegal nos dispositivos das vítimas.
- Agent Tesla (7%) – O AgentTesla é um troiano de acesso remoto avançado (RAT) em que as suas funções de keylogger e de roubo de passwords têm estado activas desde 2014. O AgentTesla pode monitorizar e coligir os inputs do teclado da vítima, do clipboard do sistema e pode gravar écrans e extrair credenciais de um largo conjunto de software instalado no equipamento da vítima (incluindo Google Chrome, Mozilla Firefox e do cliente de email Microsoft Outlook). O AgentTesla é vendido em diversos mercados online e fóruns de hacking.
Top de criptomineradores durante o 1º Semestre de 2020
- XMRig (responsável por 46% de toda a atividade de criptomineração a nível global) – O XMRig é um software de mineração open-source em CPU para a criptomoeda Monero, e foi visto pela primeira vez em Maio de 2017. Os agentes de ameaças muitas vezes abusam deste software open-source ao integrarem no seu malware para conduzir mineração ilegal nos dispositivos das vítimas.
- Jsecoin (28%) – Criptominerador baseado na web para efectuar mineração online não autorizada da criptomoeda Monero quando um utilizador visita um website específico. O Código de JavaScript utiliza grande volumes de recursos computacionais dos equipamentos do utilizador para mineração de moeda, impactando a performance do sistema. O JSEcoin parou a sua actividade em Abril de 2020.
- Wannamine (6%) – WannaMine é um criptominerador sofisticado para Monero que distribui o explorador EternalBlue. O WannaMine implementa um mecanismo de distribuição e técnicas persistentes ao aproveitar-se de subscrições de eventos permanentes do Windows Management Instrumentation (WMI).
Top mobile malware durante o 1º Semestre de 2020
- xHelper (responsável por 24% de todos os ataques de malware mobile) – xHelper é um malware Android que tipicamente apresenta anúncios de popup intrusivos e notificações de spam. É muito difícil de remover após a sua instalação devido às suas capacidades de reinstalação. Tendo sido visto pela primeira vez em Março de 2019, o xHelper já infectou mais de 45 000 dispositivos.
- PreAMo (19%) – PreAMo é um malware clicker para dispositivos de Android.
- Necro (14%) – Necro é um Troiano para Android. Consegue efectuar o download de outro malware, apresenta anúncios intrusivos, e cobra de forma fraudulenta por subscrições pagas.
Top malware bancário durante o 1º Semestre de 2020
- Dridex (responsável por 27% de todos os ataques de malware bancário) – O Dridex é um troiano bancário que atinge PCs Windows. É distribuído via campanhas de spam e Kits de exploração, e baseia-se em Webinjects para interceptar e redireccionar credenciais bancárias para um servidor controlado pelo atacante. O Dridex contacta um servidor remoto, envia informação sobre o sistema infectado, e também pode efectuar o download e executar módulos adicionais para controlo remoto.
- Trickbot (20%) – Trickbot é um troiano bancário modular focado na Plataforma Windows, e é distribuído essencialmente através de campanhas de spam ou outras famílias de malware como o Emotet.
- Ramnit (15%) – Ramnit é um troiano bancário modular descoberto em 2010. O Ramnit rouba a informação de uma sessão web, dando aos seus operadores a capacidade de roubar as credenciais da conta para todos os serviços usados pela vítima, incluindo contas bancárias, e contas de redes sociais e corporativas.