Malware contra estrutura de IoT e redes duplicam

O mais recente Índice de Impacto Global de Ameaças da Check Point revela que os ciberataques com alvo em vulnerabilidades IoT e em routers de rede duplicaram desde maio 2018. Nele é destacado o aumento significativo da exploração de alvos em três grandes vulnerabilidades. Estes ataques, estão ligados à propagação de malware de IoT como Mirai, IoTroop/Reaper e VPNFilter.

Durante o mês de julho de 2018, três vulnerabilidades de IoT entraram na lista dos Top 10 mais explorados: MVPower DVR router Remote Code Execution no #5; D_Link DSL-2750B router Remote Command Execution no #7; e Dasan GPON router Authentication Bypass no #10. Estas vulnerabilidades, atacaram um total de 45% das organizações no mundo. Ao comparar com junho de 2018, apenas 35% foram afetadas e em maio foram 21%.

“As vulnerabilidades conhecidas dão aos cibercriminosos uma entrada fácil e sem complicações às redes corporativas, permitindo que possam ser propagados ataques em maior escala,” comenta Maya Horowitz, Threat Intelligence Group Manager da Check Point. “As vulnerabilidades em IoT, em particular, são normalmente ‘o caminho com menos resistência’, já que se um dispositivo ficar comprometido é mais fácil infiltrar os demais dispositivos conectados. Como tal, é vital que as empresas apliquem as correções às vulnerabilidades conhecidas e quando novas aparecerem garantirem a segurança da rede.”

Os malware mais procurados

No impacto global de ameaças do mês passado o malware Coinhive manteve-se como malware mais prevalecente. Este impactou 19% das organizações a nível mundial. O Cryptoloot e o Dorkbot estiveram no segundo e terceiro local com um impacto mundial de 7% em ambos.

Em comparação com o mês de junho, os malware mais utilizados mantiveram os mesmo o lugar lugar:

1. Coinhive – É um Cripto-Miner desenhado para realizar mining online da criptomoeda Monero quando um utilizador entra na página web sem a autorização do utilizador. O JavaScript implementado utiliza elevados recursos de computação do utilizador final para minar moedas, impactando assim a performance dos dispositivos. Este causou um impacto nacional de 33%.
2. Cryptoloot – É um malware de Crypto-Miner que utiliza a energia e os recursos existentes do CPU ou GPU para fazer crypto mining adicionando transações para criar mais moedas. É um concorrente de Coinhive que tenta tirar-lhe o tapete ao pedir uma percentagem menor de receitas aos websites. Este causou um impacto nacional de 25%.
3. Roughted – É um Mavertising de grande escala utilizado para divulgar websites maliciosos e com conteúdos como burlas, adware, explorações e ransomware. Pode ser utilizado em qualquer plataforma e sistema operativo, também contornar os ad-blockers e impressões digitais. Este causou um impacto nacional de 20%.

O Lokibot, um banking Trojan para o Android e que rouba informações, foi o malware mais popular para atacar os telemóveis das organizações depois seguiram-se o Triada e a Guerilla.

Mobile Malware do Mundo mais utilizados em julho

1. Lokibot – É um Trojan bancário que tem como alvo smartphones Android e torna-se num ransomware depois da vítima tentar retirar-lhe o privilégio de administrador.
2. Triada – É um Backdoor modular para Android que dá privilégios de super-utilizador para fazer download de malwares e ajuda a que seja incorporado nos processadores. O Triada já foi encontrado a fazer spoofing nos URLs abertos nos browsers.
3. Guerilla – É um ad-clicker para Android que tem a habilidade de comunicar com um servidor command and control (C&C) remotamente, fazer download de plugins maliciosos e realizar um ad-clicking agressivo sem a permissão ou conhecimento do utilizador.

As vulnerabilidades ‘Mais Exploradas’ em julho

Os analistas da Check Point também analisaram as cibervulnerabilidades mais exploradas. Em primeiro lugar está o CVE-2017-7269 com um impacto global de 47%. Em segundo está o CVE-2017-5638 com um impacto global de 42%, e logo a seguir está a Divulgação de Informação OpenSSL TLS DTLS Heartbeat com um impacto de 41% nas organizações no mundo. 

1. WebDAV ScStoragePathFromUrl Buffer Overflow no Microsoft IIS (CVE-2017-7269) – Ao enviar um pedido criado na rede de Microsoft Windows Server 2003 R2 através do Microsoft Internet Information Services 6.0, um atacante remoto pode executar um código arbitrário ou causar uma negação de condição de serviços no servidor atacado. Isto acontece principalmente por uma vulnerabilidade no overflow que resulta de uma validação imprópria de um cabeçalho longo de HTTP.
2. Execução de Código Remoto Apache Struts2 Content-Type (CVE-2017-5638) – Existe uma vulnerabilidade na execução de código remoto dentro do Apache Struts2 quando se utiliza o interpretador de multipartes da Jakarta. Um atacante pode explorar esta vulnerabilidade ao enviar um tipo de conteúdo inválido como parte do pedido de upload de documento.
3. Divulgação de Informação OpenSSL TLS DTLS Heartbeat (CVE-2014-0160; CVE-2014-0346) ­– Existe uma vulnerabilidade divulgação de informação no OpenSSL. Esta vulnerabilidade deve-se a um erro quando se lida com os TLS/DTLS heartbeat packets. Um atacando pode aproveitar desta vulnerabilidade para divulgar conteúdos da memória de um cliente ou servidor conectado.

O Índice de Impacto Global de Ameaças da Check Point e o Mapa de Ciberameaças ThreatCloud alimentam-se de informação proveniente da Check Point ThreatCloud^TM.

Pode ver a lista completa das 10 principais famílias de julho no Blog da Check Point Security. Para ter mais informações sobre ferramentas para a prevenção de ameaças pode consultar: http://www.checkpoint.com/threat-prevention-resources/index.html