Aumentam os ataques de malware contra plataformas Windows, Mac e Linux

Os pesquisadores têm monitorado as atividades do ator de ameaça Androxgh0st desde seu surgimento em dezembro de 2022. Ao explorar vulnerabilidades como CVE-2021-3129 e CVE-2024-1709, os atacantes implantam web shells para controle remoto enquanto se concentram na construção de botnets para roubo de credenciais. Isto foi observado em um Conselho de Segurança Cibernética (CSA) criado em conjunto pelo FBI e pela CISA (US Cybersecurity and Infrastructure Security Agency).

Notavelmente, esse operador de malware foi associado à distribuição do ransomware Adhublika. Os atores do Androxgh0st demonstraram preferência por explorar vulnerabilidades em aplicativos Laravel para roubar credenciais de serviços baseados em nuvem como AWS, SendGrid e Twilio. Indicações recentes sugerem uma mudança de foco no sentido da construção de botnets para uma exploração mais ampla do sistema.

Enquanto isso, o Check Point Index destaca insights de “sites de vergonha” administrados por grupos de ransomware de dupla extorsão que publicam informações de vítimas para pressionar alvos não pagantes. O LockBit3 mais uma vez lidera o ranking com 9% dos ataques publicados, seguido por Play com 7% e 8Base com 6%. Ao retornar nos três primeiros lugares da lista, o 8Base alegou recentemente que se infiltrou nos sistemas de TI das Nações Unidas e fez exfiltração de recursos humanos e informações de compras.

Embora o LockBit3 permaneça em primeiro lugar, o grupo passou por vários contratempos. Em fevereiro deste ano, o site de vazamento de dados foi apreendido como parte de uma campanha de múltiplas agências denominada Operação Cronos, enquanto em abril, os mesmos órgãos internacionais de autoridades legais publicaram novos detalhes, identificando 194 afiliados usando LockBit3 com o desmascaramento e sanção do líder do grupo.

“A nossa investigação demonstrou que os esforços internacionais coletivos para desmantelar o LockBit3 parecem ter sido bem-sucedidos, reduzindo o seu impacto mundial em mais de 50% desde o início de 2024”, comenta Maya Horowitz, vice-presidente de pesquisa da Check Point Software. "Independentemente dos desenvolvimentos positivos recentes, as organizações devem continuar a priorizar a sua segurança cibernética, sendo proativas e fortalecendo a segurança da rede, dos endpoints e do e-mail. A implementação de defesas de múltiplas camadas e o estabelecimento de backup robusto, procedimentos de recuperação e planos de resposta a incidentes ainda são fundamentais para impulsionar a segurança cibernética resiliente", aponta Maya.

Quanto às vulnerabilidades, no mês passado, as mais exploradas foram as "Command Injection Over HTTP” e "Web Servers Malicious URL Directory Traversal", afetando 52% das organizações a nível mundial. Em seguida, no terceiro lugar, a “HTTP Headers Remote Code Execution" com um impacto global de 45%.

Principais famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.

O FakeUpdates foi o malware mais prevalente na lista global em abril de 2024 com um impacto de 6% nas organizações mundiais, seguido pelo Androxgh0st com um impacto global de 4% e do Qbot com um impacto global de 3%.

Top 3 global

↔ FakeUpdates - FakeUpdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Ele grava as cargas no disco antes de iniciá-las. FakeUpdates levou a comprometimentos adicionais por meio de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.

↑ Androxgh0st - Androxgh0st é um botnet direcionado às plataformas Windows, Mac e Linux. Para a infecção inicial, o Androxgh0st explora múltiplas vulnerabilidades, visando especificamente o PHPUnit, o Laravel Framework e o Apache Web Server. O malware rouba informações confidenciais, como dados da conta Twilio, credenciais SMTP, chave AWS, entre outros. Ele usa arquivos Laravel para coletar as informações necessárias. Possui diferentes variantes que procuram informações diferentes.

↓ Qbot – Qbot AKA Qakbot é um cavalo de Troia bancário que apareceu pela primeira vez em 2008, projetado para roubar as credenciais bancárias e as teclas digitadas do usuário. Geralmente é distribuído por e-mails de spam e emprega várias técnicas antiVM, antidepuração e antisandbox para dificultar a análise e evitar a detecção. A partir de 2022, emergiu como um dos Trojans mais prevalentes. ↓

A lista global completa das dez principais famílias de malware em abril de 2024 pode ser encontrada no blog da Check Point Software.

Principais vulnerabilidades exploradas

Em abril de 2024, as vulnerabilidades mais exploradas foram as "Command Injection Over HTTP” e "Web Servers Malicious URL Directory Traversal", afetando 52% das organizações a nível mundial. Em seguida a essas, a “HTTP Headers Remote Code Execution" aparece em terceiro lugar com um impacto global de 45%.

↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) - Foi relatada uma vulnerabilidade de injeção de comando sobre HTTP. Um atacante remoto pode explorar esse problema enviando uma solicitação especialmente criada para a vítima. Uma exploração bem-sucedida permitiria que um invasor executasse um código arbitrário no computador de destino.

↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) - Há uma vulnerabilidade de passagem de diretório em diferentes servidores da Web. A vulnerabilidade ocorre devido a um erro de validação de entrada em um servidor da Web que não higieniza adequadamente o URI para os padrões de passagem de diretório. Uma exploração bem-sucedida permite que invasores remotos não autenticados divulguem ou acessem arquivos arbitrários no servidor vulnerável.

↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - Os cabeçalhos HTTP permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um cabeçalho HTTP vulnerável para executar um código arbitrário na máquina da vítima.

Principais malwares móveis

No mês passado, o Anubis manteve-se em primeiro lugar como o malware móvel mais prevalecente, seguido por AhMyth e Hiddad.

↔ Anubis - O Anubis é um malware de Trojan bancário projetado para telefones celulares Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade de Trojan de Acesso Remoto (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Ele foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.

↔ AhMyth - AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicativos Android que podem ser encontradas em lojas de apps e vários sites. Quando um usuário instala um destes aplicativos infectados, o malware pode recolher informações sensíveis do dispositivo e realizar ações como o registo de teclas, tirar capturas de tela, enviar mensagens SMS e ativar a câmara, que é normalmente utilizada para roubar informações sensíveis.

↑ Hiddad - O Hiddad é um malware para Android que reembala aplicativos legítimos e depois as lança numa loja de terceiros. A sua principal função é exibir anúncios, mas também pode obter acesso a detalhes de segurança importantes incorporados no sistema operacional.

Principais setores atacados no mundo e no Brasil

Em abril de 2024, a Educação/Pesquisa prosseguiu como o setor mais atacado a nível mundial, seguido pelo Governo/Forças Armadas e pela Saúde.

1.Educação/Pesquisa
2.Governo/Forças Armadas
3.Saúde

No Brasil, os três setores no ranking nacional mais visados por ciberataques durante o mês de abril foram:

1. Comunicações
2. Governo/Forças Armadas
3. Transportes

Principais grupos de ransomware

Esta seção apresenta informações derivadas de quase 200 "sites de vergonha" de ransomware operados por grupos de ransomware de dupla extorsão. Os cibercriminosos utilizam estes sites para aumentar a pressão sobre as vítimas que não pagam o resgate imediatamente.

Os dados destes “sites da vergonha” têm as suas próprias tendências, mas ainda assim fornecem informações importantes sobre o ecossistema do ransomware, que é atualmente o risco número um às organizações.

O LockBit3 foi o grupo de ransomware mais prevalente em abril de 2024, responsável por 09% dos ataques publicados, seguido pelo Play com 07% e 8Base com 06%.

1.LockBit3 – LockBit3 é um ransomware que opera em um modelo RaaS e foi relatado pela primeira vez em setembro de 2019. O LockBit3 tem como alvo grandes empresas e entidades governamentais de vários países e não tem como alvo indivíduos na Rússia ou na Comunidade de Estados Independentes.

2. Play - Play é o nome de um programa do tipo ransomware. O malware classificado como tal opera criptografando dados e exigindo resgates para a descriptografia.

3. 8Base – O grupo de ameaças 8Base é uma gangue de ransomware que está ativa pelo menos desde março de 2022. Ganhou notoriedade significativa em meados de 2023 devido a um aumento notável em suas atividades. Este grupo foi observado usando uma variedade de variantes de ransomware, sendo Phobos um elemento comum. A 8Base opera com um nível de sofisticação, evidenciado pelo uso de técnicas avançadas em seu ransomware. Os métodos do grupo incluem táticas de dupla extorsão.

Os principais malwares de abril no Brasil

No mês passado, o ranking de ameaças do Brasil contou com o FakeUpdates na liderança do ranking com impacto de 13,01% (pouco mais que o dobro do impacto global de 6%); em segundo lugar apareceu o Qbot cujo impacto foi de 8,77%; enquanto o Androxgh0st apareceu em terceiro lugar com impacto de 5,55% às organizações no país.