Qbot entre as principais ciberameaças às organizações portuguesas

A Check Point Research publicou o Índice Global de Ameaças de fevereiro de 2021. O Trickbot, que em janeiro foi a terceira ameaça mais comum a nível global, ascende pela primeira vez ao topo da lista, destronando o Emotet.  

No seguimento da operação internacional para demover o Emotet em janeiro, os investigadores da Check Point avançam que os grupos de cibercriminosos continuam a utilizar outras ameaças de topo, investindo na atualização das atividades maliciosas. Em fevereiro, o Trickbot foi distribuído através da disseminação de uma campanha de spam cujo objetivo era incitar os utilizadores dos setores jurídico e de seguros a fazer download de uma pasta .zip com um ficheiro JavaScript que, depois de aberto, tentava instalar um outro payload malicioso a partir de um servidor remoto. 

O Trickbot foi o quarto malware mais frequente a nível global durante o ano de 2020, com um impacto de 8%. Desempenhou um papel chave naquele que foi um dos mais falados e danosos ciberataques do ano passado, visando a Universal Health Services (UHS), organização de cuidados de saúde líder nos Estados Unidos. A UHS foi atacada pelo ransomware Ryuk e afirma ter gasto, em custos e receitas perdidas, mais de 67 milhões de dólares. O Trickbot foi utilizado pelos atacantes para identificar e coletar os dados dos sistemas da organização, posteriormente entregues ao payload de ransomware.  

“Os criminosos continuarão a utilizar todas as ameaças e ferramentas que tiverem disponíveis, e o Trickbot é popular devido à sua versatilidade e histórico de sucesso”, afirma Maya Horowitz, Director, Threat Intelligence & Research, Products na Check Point. “Como já suspeitávamos, mesmo quando uma grande ameaça é removida, há muitas outras que continuam a representar um grande risco para as organizações a nível global. Daí a importância de contar com sistemas de segurança robustos que protejam as redes corporativas e minimizem os riscos. Formação extensiva dos colaboradores é outro dos aspetos cruciais, para que estes tenham a capacidade de identificar o tipo de e-mails maliciosos que disseminam o Trickbot ou qualquer outro malware”, termina a responsável. 

A Check Point Research alerta ainda para a “Web Server Exposed Git Repository Information Disclosure”, a vulnerabilidade mais explorada globalmente, com um impacto de 48% das organizações, seguida da “HTTP Headers Remote Code Execution (CVE-2020-13756)”, responsável por impactar 46% das organizações de todo o mundo. Em terceiro lugar, a “MVPower DVR Remote Code Execution”, com um impacto de 45%.

Principais famílias de malware em fevereiro de 2021

Em fevereiro, o Trickbot foi o malware mais popular a nível global, com um impacto de 3% das organizações, seguido de perto pelo XMRig e Qbot, cada um com um impacto que rondou, igualmente, os 3%.

1. Trickbot - O Trickbot é um trojan bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.
2. XMRig - Software de mining CPU em open-source, usado para o processo de mineração da criptomoeda Monero, detetado pela primeira vez em maio de 2017.
3. Qbot - O Qbot é um trojan bancário detetado pela primeira vez em 2008 e criado com o objetivo de roubar credenciais bancárias e registos de teclas digitadas. Distribuído regularmente via e-mail, o Qbot utiliza várias técnicas anti-VM, anti-debugging e anti-sandbox, úteis para evitar deteção e análise.

Em Portugal, o cenário foi um pouco diferente. Em primeiro lugar, esteve o Qbot, com um impacto de 8% das organizações nacionais. Seguiu-se o XMRig, responsável por impactar 6% das organizações portuguesas e, na terceira posição, o Dridex, com um impacto de 4%.

Principais vulnerabilidades exploradas em fevereiro de 2021

Em fevereiro, o “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade mais explorada, com um impacto global de 48% das organizações, seguido do “HTTP Headers Remote Code Execution (CVE-2020-13756)”, responsável por impactar 46% das organizações a nível mundial e do “MVPower DVR Remote Code Execution”, com um impacto de 45%.

1. Web Server Exposed Git Repository Information Disclosure - Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.
2. HTTP Headers Remote Code Execution (CVE-2020-13756) - o HTTP Headers permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um HTTP Header vulnerável para correr qualquer código no dispositivo da vítima. 
3. MVPower DVR Remote Code Execution – Uma vulnerabilidade na execução remota de código nos dispositivos MVPower DVR. Um atacante pode explorar remotamente esta fraqueza para executar um código arbitrário no router afetado por meio de um pedido de solicitação de acesso. 

Principais famílias de malware em dispositivos móveis em fevereiro de 2021

Este mês, o Hiddad está na primeira posição como o malware móvel mais comum, seguido do xHelper e o Furball.

1. Hiddad - o Hiddad é um malware Android que reutiliza apps legítimas, lançando-as em lojas de terceiros. A sua principal função é a exibição de anúncios, mas pode também conceder acesso a detalhes chave de segurança do Sistema Operativo.  
2. xHelper - É uma aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, em que é usada para descarregar aplicações maliciosas e exibir anúncios fraudulentos. A aplicação é capaz de se esconder dos programas de antivírus móveis e do utilizador, sendo capaz de se reinstalar no caso do utilizador o desinstalar. 
3. FurBall - O FurBall é um MRAT (Mobile Remote Access Trojan) para Android, disseminado pelo APT-C-50, um grupo iraniano APT ligado ao governo do Irão. Foi utilizado em múltiplas campanhas datadas de 2017, estando ativo ainda hoje. As capacidades do FurBall incluem o roubo de mensagens SMS, registos telefónicos, gravação de ambiente e de chamadas, roubo de ficheiros media, acesso a localização e muito mais. 

O Índice de Impacto Global de Ameaças da Check Point e o ThreatCloud Map baseiam a sua informação no ThreatCloudTM da Check Point que disponibiliza informação e tendências sobre ciberataques através de uma rede global de sensores de ameaças. A base de dados do ThreatCloud inclui mais de 2,5 mil milhões de websites e 500 milhões de ficheiros diariamente, identificando mais de 250 milhões de atividades de malware diariamente.