A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, publicou o Índice Global de Ameaças referente a maio de 2024. No mês passado, pesquisadores descobriram uma campanha de malspam orquestrada pelo botnet Phorpiex. Os milhões de e-mails de phishing enviados continham LockBit Black – baseado no LockBit3, mas não afiliado ao grupo de ransomware.
Os operadores originais do botnet Phorpiex encerraram suas atividades e venderam o código-fonte em agosto de 2021. No entanto, em dezembro de 2021, a Check Point Research (CPR) descobriu que este malware havia ressurgido como uma nova variante chamada “Twizt”, operando em um modelo descentralizado peer-to-peer.
Em abril deste ano, a célula de integração de segurança cibernética e comunicações (New Jersey Cybersecurity and Communications Integration Cell – NJCCIC) de Nova Jersey, nos Estados Unidos, encontrou evidências de que o botnet Phorpiex, que aparece em sexto lugar no índice de Top Malware do mês passado, estava sendo usado para enviar milhões de e-mails de phishing como parte de uma campanha de ransomware LockBit3. Esses e-mails continham anexos ZIP que, quando os arquivos [.]doc[.]scr falsos eram executados, desencadeavam o processo de criptografia do ransomware. A campanha usou mais de 1.500 endereços IP únicos, principalmente do Cazaquistão, Uzbequistão, Irã, Rússia e China.
Com relação ao outro destaque de maio apontado pela equipe da CPR, os pesquisadores destacaram por meio do Check Point Index os insights de “sites de vergonha” administrados por grupos de ransomware de dupla extorsão que publicam informações de vítimas para pressionar alvos não pagantes.
Em maio passado, o grupo de ransomware como serviço (RaaS), o LockBit3, reafirmou seu domínio, sendo responsável por 33% dos ataques publicados, após uma breve pausa depois de uma operação global de autoridades policiais. O LockBit3 foi seguido pelos grupo de ransomware Inc. Ransom com 7% e pelo Play com uma taxa de detecção de 5%.
O Inc. Ransom recentemente reivindicou a responsabilidade por um grande incidente cibernético que interrompeu serviços públicos no Conselho da Cidade de Leicester, no Reino Unido, supostamente roubando mais de 3 terabytes de dados e causando uma paralisação generalizada do sistema.
“Embora as autoridades policiais tenham conseguido temporariamente interromper o grupo cibernético LockBit3 ao expor um de seus líderes e afiliados, além de liberar mais de 7.000 chaves de descriptografia LockBit, isso ainda não é suficiente para uma eliminação completa da ameaça. Não é surpreendente vê-los se reorganizar e implantar novas táticas para continuar suas atividades”, comenta Maya Horowitz, vice-presidente de pesquisa da Check Point Software.
“O ransomware é um dos métodos de ataque mais disruptivos empregados por cibercriminosos. Uma vez que eles infiltram a rede e extraem informações, as opções são limitadas para o alvo, especialmente se não puderem pagar as demandas de resgate. É por isso que as organizações devem estar atentas aos riscos e priorizar medidas preventivas.”
Principais famílias de malware
O FakeUpdates foi o malware mais prevalente na lista global em maio de 2024 com um impacto de 7% nas organizações mundiais, seguido pelo Androxgh0st com um impacto global de 5% e do Qbot com um impacto global de 3%.
Principais vulnerabilidades exploradas
Quanto às vulnerabilidades, em maio de 2024, a “Command Injection Over HTTP” foi a vulnerabilidade mais explorada, impactando 50% das organizações globalmente, seguida por “Web Servers Malicious URL Directory Traversal” com 47% e “Apache Log4j Remote Code Execution” com 46%.
Principais malwares móveis
No mês passado, o Anubis manteve-se em primeiro lugar como o malware móvel mais prevalente, seguido por AhMyth e Hydra.
Principais setores atacados no mundo e no Brasil
Em maio de 2024, a Educação/Pesquisa prosseguiu como o setor mais atacado a nível mundial, seguido pelo Governo/Forças Armadas e pela Comunicação.
1.Educação/Pesquisa
2.Governo/Forças Armadas
3.Comunicação
No Brasil, os três setores no ranking nacional mais visados por ciberataques durante o mês de maio foram:
1. Comunicações
2. Transportes
3. Governo/Forças Armadas
Principais grupos de ransomware
Esta seção apresenta informações derivadas de quase 200 “sites de vergonha” de ransomware operados por grupos de ransomware de dupla extorsão. Os cibercriminosos utilizam estes sites para aumentar a pressão sobre as vítimas que não pagam o resgate imediatamente.
Os dados destes “sites da vergonha” têm as suas próprias tendências, mas ainda assim fornecem informações importantes sobre o ecossistema do ransomware, que é atualmente o risco número um às organizações.
No mês passado, o LockBit3 foi o grupo de ransomware mais prevalente, responsável por 33% dos ataques publicados, seguido pelo Inc. Ransom com 7% e pelo Play com 5%.
1.LockBit3 – LockBit3 é um ransomware que opera em um modelo RaaS e foi relatado pela primeira vez em setembro de 2019. O LockBit3 tem como alvo grandes empresas e entidades governamentais de vários países e não tem como alvo indivíduos na Rússia ou na Comunidade de Estados Independentes.
2. Inc. Ransom – Inc. Ransom é uma operação de extorsão de ransomware que surgiu em julho de 2023, realizando ataques de spear-phishing e mirando em serviços vulneráveis. Os principais alvos do grupo são organizações na América do Norte e Europa em múltiplos setores, incluindo saúde, educação e governo. As cargas úteis (payloads) de ransomware do Inc. Ransom suportam vários argumentos de linha de comando e usam criptografia parcial com uma abordagem multi-threading (modelo de execução em massa de várias threads – número de tarefas que uma thread é capaz de executar por vez em um mesmo processo).
3. Play – Play é o nome de um programa do tipo ransomware. O malware classificado como tal opera criptografando dados e exigindo resgates para a descriptografia.
Os principais malwares de maio no Brasil
No mês passado, o ranking de ameaças do Brasil contou com o FakeUpdates na liderança do ranking pelo segundo mês consecutivo com impacto de 12,10% (cerca de o dobro do impacto global de 6%). O segundo e o terceiro lugares se alternaram em maio em que o Androxgh0st subiu para o segundo com impacto de 8,30% às organizações no país, e o Qbot ocupou o terceiro lugar cujo impacto foi de 7,55%.
O downloader FakeUpdates é um dos carregadores de malware mais populares entre os cibercriminosos. Escrito em JavaScript, a estrutura de distribuição de malware implanta sites comprometidos para induzir os usuários a executar atualizações falsas do navegador.
Notícia distribuída pela saladanoticia.com.br. A Plataforma e Veículo não são responsáveis pelo conteúdo publicado, estes são assumidos pelo Autor(a):
JULIANA VERCELLI
juliana.vercelli@inkcomunicacao.com.br