Índice Global de Ameaças da Check Point indica que 8% das organizações portuguesas foram afetadas pelo trojan Agent Tesla

 Os Investigadores, da multinacional de cibersegurança israelita, relatam que, mundialmente, o Trickbot permanece no topo da lista de malware, afetando 5% das organizações. Há a destacar ainda o reaparecimento do Emotet que regressa ao índice global para ocupar a sétima posição. Em Portugal, as tendências distinguiram-se do resto do mundo, com o Agent Tesla a encabeçar a lista, impactando 8% das organizações nacionais. 

A Check Point Research (CPR) rervela também que, a nível global, o setor mais visado é a Educação/Investigação. Esta tendência foi acompanhada tanto na Europa, como a nível nacional, onde este setor apresenta igualmente o maior número de ataques. 

Apesar dos grandes esforços da Europol e de vários agentes legais para, no início deste ano, derrubar definitivamente o Emotet, o notório botnet voltou à atividade em novembro e é já é o sétimo malware mais utilizado. Este mês, o Trickbot lidera o índice pela sexta vez e está até envolvido com a nova variante do Emotet, que tem vindo a ser instalada em máquinas infetadas utilizando a infraestrutura do Trickbot.

O Emotet está a ser disseminado através de e-mails de phishing que contêm ficheiros Word, Excel e Zip infetados que implantam o Emotet no dispositivo da vítima. Os assuntos atribuídos aos e-mails são, por norma, intrigantes, como eventos noticiosos atuais, faturas e memorandos corporativos falsos que incitam as vítimas a abri-los. Mais recentemente, o Emotet começou a disseminar-se também através de pacotes maliciosos do Windows App Installer que se fazem passar pelo software Adobe.

“O Emotet é um dos botnets de maior sucesso na história do ciberespaço e é responsável pela explosão de ataques de ransomware direcionados que testemunhamos nos últimos anos”, afirma Maya Horowitz, VP Research at Check Point Software. “O retorno do botnet em novembro é extremamente preocupante, pois pode levar a um aumento desses ataques. O facto de estar a utilizar a infraestrutura do Trickbot significa que o tempo que levaria ao Emotet para construir uma base significativa o suficiente em redes ao redor do mundo está a encurtar. Como está a ser espalhado por meio de e-mails de phishing com anexos maliciosos, é crucial que a consciencialização e educação do utilizador estejam no topo das prioridades das organizações quando se trata de cibersegurança. E qualquer pessoa que queira fazer o download do software da Adobe deve ter em conta, como acontece com qualquer outra aplicação, que deve fazê-lo apenas por meio de fontes oficiais.”

A CPR revelou ainda que, este mês, Educação/Investigação foi a indústria mais atacada globalmente, seguida pelas Comunicações e, em terceiro lugar, a Administração Pública/Indústria Militar. Na Europa, os três setores mais afetados são, em primeiro lugar, Educação/Investigação, as Utilities e, em terceiro, a indústria das Comunicações. Em Portugal, a realidade é similar, mantendo-se o setor da Educação/Investigação no topo, seguido pelo setor da Saúde e pelo setor jurídico. 

“Web Servers Malicious URL Directory Traversal” é ainda a vulnerabilidade mais comumente explorada, afetando 44% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que afeta 43,7% das organizações em todo o mundo. “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 42%.

Principais famílias de malware em Portugal

Este mês, o Trickbot é o malware mais popular, afetando 5% das organizações em todo o mundo, seguido pelo Agent Tesla e Formbook, ambos com um impacto global de 4%. 

  1. Trickbot – Trojan bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.
  2. Agent Tesla – Trojan de Acesso Remoto que funciona como keylogger e extrator de informação, que é capaz de monitorizar e coligir a digitação de teclado do utilizador, o sistema do teclado, capturar imagens de ecrã, e extrair credenciais de diversos softwares instalados no dispositivo da vítima, incluindo Google Chrome, Mozilla Firefox e Microsoft Outlook. 
  3. Formbook – Info Stealer que coleta credenciais de vários navegadores, capturas de ecrã, monitoriza e regista as teclas digitadas, podendo ainda fazer download e executar ficheiros de acordo com comandos C&C.
Nota: As setas estão relacionadas com as mudanças de posição no ranking comparativamente ao mês anterior.

Em Portugal, o top alterou-se ligeiramente em comparação com os registos globais. Destacou-se o Agent Tesla, com um impacto nacional de 8%. Seguiu-se o Formbook, responsável por impactar 5% das organizações portuguesas e, em terceiro lugar, o XMRig, um software de mineração de criptomoeda que afetou 4% das empresas em Portugal.

Principais indústrias atacadas em Portugal:

Este mês, Educação/Investigação é o setor mais atacado em Portugal, seguido pela Saúde e, em terceiro, o setor jurídico. 

  1. Educação/Investigação
  2. Saúde
  3. Setor jurídico

Principais indústrias atacadas na Europa:

Este mês, Educação/Investigação é o setor mais atacado a nível europeu, seguido pelo setor das Utilities e, em terceiro lugar, a indústria das Comunicações. 

  1. Educação/Investigação
  2. Utilities
  3. Comunicações

Principais indústrias atacadas globalmente: 

Este mês, Educação/Investigação é o setor mais atacado globalmente, seguido por Comunicações e Administração Pública/Indústria Militar. 

  1. Educação/Investigação
  2. Comunicações
  3. Administração Pública/Indústria Militar

Principais vulnerabilidades exploradas

Este mês, “Web Servers Malicious URL Directory Traversal” ainda é a vulnerabilidade mais comumente explorada, afetando 44% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que afeta 43,7% das organizações em todo o mundo. “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 42%.

  1. Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Existe uma vulnerabilidade de passagem de diretório em diferentes servidores web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor web que não higieniza devidamente o URL para os padrões de travessia de diretório. A sua exploração bem-sucedida permite aos atacantes remotos não autenticados revelar ou aceder a ficheiros arbitrários no servidor vulnerável.
  2. ↔ Web Server Exposed Git Repository Information Disclosure – Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.
  3.  HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um Header HTTP vulnerável para correr qualquer código no dispositivo da vítima. 

Principais malwares móveis

Este mês, o AlienBot fica em primeiro lugar nos malwares móveis mais prevalentes, seguido por xHelper e FluBot.

  1. AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite um atacante remoto injetar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla o dispositivo.
  1. xHelper – Aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, utilizada para descarregar aplicações maliciosas e exibir anúncios. A aplicação é capaz de se esconder do utilizador, podendo reinstalar-se no caso do utilizador a desinstalar. 
  2. FluBot – Botnet para Android distribuído via mensagens SMS de phishing que imitam marcas de logística e entregas. Assim que o utilizador clica no link enviado, o FluBot é instalado e tem acesso a todas as informações sensíveis do telemóvel.

O Índice de Impacto Global de Ameaças e o ThreatCloud Map da Check Point Software são proporcionados pela inteligência da ThreatCloud. A ThreatCloud fornece threat inteligence em tempo real derivada de centenas de milhões de sensores em todo o mundo, sobre redes, endpoints e dispositivos móveis. A inteligência é enriquecida por mecanismos IA e dados de investigação exclusivos da Check Point Research, área de Threat Intelligence da Check Point Software Technologies.




Deixe um comentário

O seu email não será publicado