Echobot lança ataque disseminado contra dispositivos IoT

A Check Point Research publicou o seu Índice de Impacto Global de Ameaças referente ao mês de agosto de 2019 e alerta as organizações para a nova variante do Mirai IoT Botnet, o Echobot, o qual lançou um ataque disseminado contra vários dispositivos IoT. Visto pela primeira vez em maio de 2019, o Echobot aproveitou-se de mais de 50 vulnerabilidades diferentes, causando um aumento acentuado na vulnerabilidade ‘Command Injection Over HTTP’ que afetou 34% das organizações globais.

O mês de agosto também viu a reativação do botnet Emotet com o lançamento de uma ofensiva a infraestruturas, depois deste ter desligado os seus servidores há dois meses. O Emotet foi o maior botnet a operar na primeira metade de 2019. Apesar de ainda não ser ter observado nenhuma grande campanha, é provável que este botnet vá ser utilizado para começar em breve campanhas de spam.

“O Echobot foi visto pela primeira vez a meio de maio, como uma nova variante do conhecido Botnet Mirai IoT, é importante notar o aumento acentuado na sua exploração, já que esta tem como alvo mais de 50 vulnerabilidades diferentes. O Echobot já afetou mais de 34% empresas no mundo inteiro, o que mostra quão importante é para as empresas garantir que todas a correções e atualizações para as redes, softwares e dispositivos IoT sejam efetuadas”, alerta Maya Horowitz, Director, Threat Intelligence & Research, Products na Check Point.

“Mais procurados” em Portugal

Durante este mês o XMRig continuou a liderar a lista mundial de Top Malware, depois seguiu-se o Jsecoin, onde ambos tiveram um impacto global de 7%. No terceiro lugar ficou o Dorkbot, o qual afetou mundialmente 6% das organizações. O top malware em Portugal foi o seguinte:

1. Jsecoin – O JavaScript miner pode ser incorporado em websites. Com o JSEcoin o minerador poder ser executado diretamente no browser, em troca de uma experiência de publicidade gratuita, moeda de jogo ou outros incentivos. Em agosto este malware registou um impacto de 7,08% a nível nacional.
2. AgentTesla – O AgentTesla é um RAT avançado que funciona como um keylogger e um ladrão de passwords que tem infetado computadores desde 2014. O AgentTesla é capaz de monitorizar e recolher o que vítima escreve no teclado, ficheiro que se encontrem na área de transferência do sistema, tirar screenshots e extrair credenciais pertencentes aos diversos softwares instalados no computador da vítima (incluindo o e-mail para aceder ao Google Chrome, Mozilla Firefox e Microsoft Outlook). O AgentTesla foi vendido abertamente como um RAT legítimo, com clientes a pagar 15$ -69$ dólares por licença de utilizador. Em agosto este malware registou um impacto de 6,27% a nível nacional.
3. XMRig – O software de mining CPU em open-source, usado para o processo de mineração da criptomoeda Monero, detetado pela primeira vez em Maio de 2017, registou um impacto de 5,31% a nível nacional.

Vulnerabilidades mais exploradas

Em agosto, a técnica SQL Injection manteve o primeiro lugar na lista de vulnerabilidades mais exploradas, seguido de perto pela vulnerabilidade OpenSSL TLS DTLS Heartbeat Information Disclosure, ambos afetaram mundialmente 39% das organizações. No terceiro lugar ficou o MVPower DVR Remote Code Execution, com um impacto global de 38%.

1. SQL Injection (diversas técnicas) – Esta vulnerabilidade faz injeção de queries de SQL nos inputs vindos do cliente para a aplicação, enquanto explora a vulnerabilidade no software da aplicação.
2. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Uma vulnerabilidade que divulga informações que se encontram no OpenSSL devido a um erro enquanto opera com os TLS/DTLS heartbeat packets. Um atacante pode utilizar esta vulnerabilidade para divulgar conteúdos que se encontram em memória num cliente conectado ou servidor.
3. MVPower DVR Remote Code Execution – Existe uma vulnerabilidade na execução remota de código nos dispositivos MVPower DVR. Um atacante pode explorar remotamente esta fraqueza para executar um código arbitrário no router afetado por meio de um pedido de solicitação de acesso.