Pandemia COVID-19 Origina Ciberataques Criminosos e Políticos em Todas as Redes, Cloud e Mobile no 1º Semestre de 2020

A Check Point Research, a área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, acaba de lançar o seu ’Cyber Attack Trends: 2020 Mid-Year Report’, que mostra como os atores de ameaças criminosas, políticas e de nação-estado exploraram a pandemia COVID-19 e temas a si relacionados para atingir organizações em todos os setores de atividade, incluindo governos, indústria, saúde, prestadores de serviços, infraestruturas críticas e consumidores.

Os ataque de phishing e de malware relacionados com o COVID-19 aumentaram dramaticamente de menos de 5 000 por semana em Fevereiro, para mais de 200 000 por semana em Abril. Também, em Maio e Junho, com os países a entrarem numa fase de desconfinamento, os agentes de ameaças voltaram a alterar os seus ataques referentes ao COIVD-19, resultando num aumento de 34% em todos os tipos de ciberataques a nível global no final de Junho em comparação com Março e Abril. 

Principais tendências reveladas por este relatório incluem:

·         Escalonamento da Guerra cibernática: os ciberataques nação-estado aumentaram de intensidade e severidade durante o 1º trimester enquanto os países procuravam juntar informação sobre ou para impedir a forma como os seus inimigos estam a lidar com a pandemia. Estes ataques estenderam-se a organizações humanitárias e de saúde como é o caso da Organização Mundial de Saúde, que reportou um aumento de 500% de ataques. 

·         Ataques de Dupla-extorsão: Em 2020, uma nova forma de ataque de ransomware que rapidamente foi adotada pelos atacantes para extrair elevadas quantidades de dados antes de os encriptar. As vítimas que recusam-se a pagar o resgate são ameaçadas com a divulgação dos dados, criando uma pressão adicional para aceitarem as exigências dos criminosos. 

·         Exploração Mobile: os agentes de ameaças têm procurado novos vetores de infeção mobile, melhorando as suas técnicas para ultrapassar as proteções de segurança e colocarem apps maliciosas nas lojas oficiais de aplicações. Num ataque inovador, estes agentes utilizam o sistema de Mobile Device Management (MDM) de uma grande organização internacional para distribuir malware para mais de 75% dos dispositivos móveis por si geridos.

·         Exposição na Cloud: A rápida passagem para clouds públicas durante a pandemia levou a um aumento de ataques focados em processos cloud críticos e aos dados aí arquivados. Os agentes de ameaças estão também a usar a infraestrutura cloud para alojar os ataques maliciosos. Em Janeiro, os investigadores da Check Point descobriram a primeira vulnerabilidade crítica no Microsoft Azure que poderia permitir aos hackers comprometer dados e apps de outros utilizadores Azure, mostrando como as clouds públicas não se encontram totalmente seguras.

“A resposta global à pandemia transformou e acelerou os modelos de ataque normais dos agentes de ameaças durante a primeira metade do ano, para explorar os receios em torno do COVID-19. Vimos também a emergir novas vulnerabilidades e vetores de ataques, que ameaçam a segurança das organizações de todos os setores de atividade,” refere Maya Horowitz, Director, Threat Intelligence & Research, Products da Check Point. “Os especialistas de segurança precisam estar alerta para estas ameaças em constante evolução de modo a que possam assegurar que as suas organizações têm os melhores níveis de segurança possível durante o resto do ano de 2020.”

Estas foram as variantes mais comuns durante o 1º Semestre de 2020:

Top malware durante o 1º Semestre de 2020

1. Emotet (impactando 9% das organizações a nível global) – O Emotet é um troiano modular avançado de auto-propagação. O Emotet era originalmente um troiano bancário, mas recentemente tem sido usado enquanto distribuidor de outros malwares ou campanhas maliciosas. Utiliza múltiplos métodos para manter técnicas de evasão e de persistência de modo a evitar a sua deteção. Adicionalmente, pode ainda espalhar-se através de esquemas de spam de email phishing contendo anexos maliciosos ou links.
2. XMRig (8%) – O XMRig é um software de mineração open-source em CPU para a criptomoeda Monero. Os agentes de ameaças muitas vezes abusam deste software open-source ao integrarem no seu malware para conduzir mineração ilegal nos dispositivos das vítimas.
3. Agent Tesla (7%) – O AgentTesla é um troiano de acesso remoto avançado (RAT) em que as suas funções de keylogger e de roubo de passwords têm estado ativas desde 2014. O AgentTesla pode monitorizar e coligir os inputs do teclado da vítima, do clipboard do sistema e pode gravar écrans e extrair credenciais de um largo conjunto de software instalado no equipamento da vítima (incluindo Google Chrome, Mozilla Firefox e do cliente de email Microsoft Outlook). O AgentTesla é vendido em diversos mercados online e foruns de hacking.

Top de criptomineradores durante o 1º Semestre de 2020

1. XMRig (responsável por 46% de toda a atividade de criptomineração a nível global) – O XMRig é um software de mineração open-source em CPU para a criptomoeda Monero, e foi visto pela primeira vez em Maio de 2017. Os agentes de ameaças muitas vezes abusam deste software open-source ao integrarem no seu malware para conduzir mineração ilegal nos dispositivos das vítimas.
2. Jsecoin (28%) – Criptominerador baseado na web para efetuar mineração online não autorizada da criptomoeda Monero quando um utilizador visita um website específico. O Código de JavaScript utiliza grande volumes de recursos computacionais dos equipamentos do utilizador para mineração de moeda, imnpactando a performance do sistema. O JSEcoin parou a sua atividade em Abril de 2020.
3. Wannamine (6%) – WannaMine é um criptominerador sofisticado para Monero que distribui o explorador EternalBlue. O WannaMine implementa um mecanismo de distribuição e técnicas persistentes ao aproveitar-se de subscrições de eventos permanentes do Windows Management Instrumentation (WMI).

Top mobile malware durante o 1º Semestre de 2020 

1. xHelper (responsável por 24% de todos os ataques de malware mobile) – xHelper é um malware Android que tipicamente apresenta anúncios de popup intrusivos e notificações de spam. É muito difícil de remover após a sua instalação devido às suas capacidades de reinstalação. Tendo sido visto pela primeira vez em Março de 2019, o xHelper já infetou mais de 45 000 dispositivos.
2. PreAMo (19%) – PreAMo é um malware clicker para dispositivos de Android, first reported in April 2019. PreAMo generates revenue by mimicking the user and clicking on ads without the user’s knowledge. Discovered on Google Play, the malware was downloaded over 90 million times across six different mobile applications.
3. Necro (14%) – Necro é um Troiano para Android. Consegue efetuar o download de outro malware, apresenta anúncios intrusivos, e cobra de forma fraudulenta por subscrições pagas.

Top malware bancário durante o 1º Semestre de 2020 

1. Dridex (responsável por 27% de todos os ataques de malware bancário) – O Dridex é um troiano bancário que atinge PCs Windows. É distribuído via campanhas de spam e Kits de exploração, e baseia-se em Webinjects para intercetar e redirecionar credenciais bancárias para um servidor controlado pelo atacante. O Dridex contacta um servidor remoto, envia informação sobre o sistema infetado, e também pode efetuar o download e executar módulos adicionais para controlo remoto.
2. Trickbot (20%) – Trickbot é um troiano bancário modular focado na Plataforma Windows, e é distribuído essencialmente através de campanhas de spam ou outras famílias de malware como o Emotet.
3. Ramnit (15%) – Ramnit é um troiano bancário modular descoberto em 2010. O Ramnit rouba a informação de uma sessão web, dando aos seus operadores a capacidade de roubar as credenciais da conta para todos os serviços usados pela vítima, incuindo contas bancárias, e contas de redes sociais e corporativas. 

O ’Cyber Attack Trends: Annual Report 2020 H1’ apresenta uma visão detalhada do panorama das ciberameaças. Estas conclusões são baseadas em dados recolhidos a partir da ferramenta de inteligência Check Point ThreatCloud entre janeiro e Junho de 2020, realçando as principais táticas usados pelos cibercriminosos para atacar a economia. Poderá aceder a uma cópia integral deste relatório aqui.