Em Portugal, o mês de junho registou nova liderança: o AgentTesla foi o malware mais predominantes, com um impacto de 14,31% nas organizações portuguesas, e o setor mais afetado foi o da Educação/Investigação.
No mês passado, o RansomHub tornou-se o grupo RaaS mais predominante, depois de as ações policiais contra o LockBit3, em fevereiro, o terem levado a perder a lealdade entre os seus afiliados. Como resultado, o LockBit3 registou um mínimo recorde de apenas 27 vítimas em abril, seguido de um número inexplicavelmente elevado de mais de 170 vítimas em maio e menos de 20 vítimas em junho, o que indica o seu potencial declínio.
Muitos afiliados do LockBit3 utilizam agora encriptadores de outros grupos RaaS, o que levou a um aumento dos relatos de vítimas por parte de outros agentes de ameaças. O RansomHub, que surgiu pela primeira vez em fevereiro de 2024 e é alegadamente uma reencarnação do ransomware Knight, registou um aumento significativo em junho, com quase 80 novas vítimas. Em particular, apenas 25% das vítimas publicadas são dos EUA, com números significativos do Brasil, Itália, Espanha e Reino Unido.
Noutros desenvolvimentos, os investigadores destacaram uma campanha recente do FakeUpdates (também conhecido como SocGholish), que foi classificado como o malware mais predominante, apresentando agora uma nova backdoor chamada BadSpace. A proliferação do FakeUpdates foi facilitada por uma rede de afiliados de terceiros, que redireciona o tráfego de sites comprometidos para páginas de destino do FakeUpdates. Estas páginas pedem aos utilizadores que descarreguem o que parece ser uma atualização do navegador. No entanto, este descarregamento contém na realidade um carregador baseado em JScript que subsequentemente descarrega e executa o backdoor BadSpace. O BadSpace utiliza técnicas sofisticadas de ofuscação e anti-sandbox para evitar a deteção e mantém a persistência através de tarefas programadas. A sua comunicação de comando e controlo é encriptada, tornando-a difícil de intercetar.
Parece que as ações contra o LockBit3 tiveram o impacto desejado. No entanto, como sugerido anteriormente, o seu declínio apenas abre caminho para que outros grupos assumam o controlo e continuem as suas campanhas de ransomware contra organizações a nível mundial.
Principais famílias de malware a nível mundial
*As setas estão relacionadas com a variação na classificação em comparação com o mês anterior.
O FakeUpdates manteve o primeiro lugar no mês passado, com um impacto global de 7% nas organizações mundiais, seguido do Androxgh0st, também na mesma posição, com 6% e do AgentTesla com 3%, que voltou ao pódio.
- ↔ FakeUpdates – O FakeUpdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Grava os payloads no disco antes de os lançar. O FakeUpdates levou a um maior envolvimento através de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
- ↔ Androxgh0st – O Androxgh0st é um botnet que tem como alvo as plataformas Windows, Mac e Linux. Para a infeção inicial, o Androxgh0st explora várias vulnerabilidades, visando especificamente o PHPUnit, o Laravel Framework e o Apache Web Server. O malware rouba informações sensíveis, tais como informações da conta Twilio, credenciais SMTP, chave AWS, etc. Utiliza ficheiros Laravel para recolher as informações necessárias. Tem diferentes variantes que procuram informações diferentes.
- ↑ AgentTesla - O AgentTesla é um RAT avançado que funciona como um keylogger e um ladrão de informações, capaz de monitorizar e recolher a entrada do teclado da vítima, o teclado do sistema, fazer capturas de ecrã e exfiltrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, o Mozilla Firefox e o cliente de e-mail Microsoft Outlook).
Principais Famílias Malware em Portugal
Em Portugal, o mês de junho registou nova liderança: o AgentTesla foi o malware mais predominantes, com um impacto de 14,31% nas organizações portuguesas, seguido do FakeUpdates, com 4,71% e do Formbook, com 4,23%.
- ↑ AgentTesla - O AgentTesla é um RAT avançado que funciona como um keylogger e um ladrão de informações, capaz de monitorizar e recolher a entrada do teclado da vítima, o teclado do sistema, fazer capturas de ecrã e exfiltrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, o Mozilla Firefox e o cliente de e-mail Microsoft Outlook)
- ↓ FakeUpdates – O Fakeupdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Grava os payloads no disco antes de os lançar. O Fakeupdates levou a um maior compromisso do sistema através de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
- ↑ Formbook – O FormBook é um Infostealer que visa o sistema operativo Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking underground devido às suas fortes técnicas de evasão e preço relativamente baixo. O FormBook recolhe credenciais de vários navegadores Web, recolhe capturas de ecrã, monitoriza e regista as teclas premidas, e pode descarregar e executar ficheiros de acordo com as ordens do seu C&C.
Principais vulnerabilidades exploradas
No mês passado, a vulnerabilidade "Check Point VPN Information Disclosure" foi a mais explorada, afetando 51% das organizações a nível mundial, seguida de perto pela "Web Servers Malicious URL Directory Traversal" com 49% e pela "HTTP Headers Remote Code Execution" com um impacto global de 44%.
- ↑ Check Point VPN Information Disclosure (CVE-2024-24919) - Foi descoberta uma vulnerabilidade de divulgação de informação no Check Point VPN. A vulnerabilidade permite potencialmente a um atacante ler determinadas informações em Gateways ligados à Internet com acesso remoto VPN ou acesso móvel ativado.
- ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - Existe uma vulnerabilidade de passagem de diretório em diferentes servidores Web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor Web que não limpa corretamente o URL para os padrões de passagem de diretórios. Uma exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acedam a ficheiros arbitrários no servidor vulnerável.
- ↑ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) - Os cabeçalhos HTTP permitem que o cliente e o servidor passem informações adicionais com um pedido HTTP. Um atacante remoto pode usar um cabeçalho HTTP vulnerável para executar código arbitrário na máquina da vítima.
Top Mobile Malwares
No mês passado, o Joker ficou em primeiro lugar como o malware móvel mais predominante, seguido do Anubis e do AhMyth.
- ↑ Joker – Um Spyware android no Google Play, concebido para roubar mensagens SMS, listas de contactos e informações do dispositivo. Além disso, o malware assina a vítima silenciosamente para serviços premium em sites de publicidade.
- ↓ Anubis - O Anubis é um malware Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade de Trojan de Acesso Remoto (RAT), keylogger, capacidades de gravação de áudio e várias características de ransomware. Foi detetado em centenas de aplicações diferentes disponíveis na Google Store.
- ↓ AhMyth – O AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicações Android que podem ser encontradas em lojas de aplicações e vários sites. Quando um utilizador instala uma destas aplicações infetadas, o malware pode recolher informações sensíveis do dispositivo e executar ações como o registo de teclas, tirar screenshots, enviar mensagens SMS e ativar a câmara, que é normalmente utilizada para roubar informações sensíveis.
Principais indústrias atacadas a nível global
No mês passado, o setor Educação/Investigação manteve-se em primeiro lugar, seguido do setor Administração Pública/Defesa. Entrou ainda para o terceiro lugar do pódio do setor dos Cuidados de Saúde.
- Educação/Investigação
- Administração Pública/Defesa
- Cuidados de Saúde
Principais indústrias atacadas em Portugal
Em Portugal, houve alterações no pódio das principais indústrias atacadas em junho: o setor mais atacado foi o da Educação/Investigação, seguido do setor dos Transportes e do setor das Finanças/Banca.
- Educação/Investigação
- Transportes
- Finanças/Banca
Principais grupos de Ransomware
Os dados baseiam-se em informações de "shame sites" de ransomware geridos por grupos de ransomware de dupla extorsão que publicaram informações sobre as vítimas. O RansomHub foi o grupo de ransomware mais predominante no mês passado, responsável por 21% dos ataques publicados, seguido do Play com 8% e do Akira com 5%.
- RansomHub - O RansomHub é uma operação de Ransomware-as-a-Service (RaaS) que surgiu como uma versão rebranded do anteriormente conhecido ransomware Knight. Aparecendo com destaque no início de 2024 em fóruns clandestinos de cibercrime, o RansomHub rapidamente ganhou notoriedade pelas suas campanhas agressivas visando vários sistemas, incluindo Windows, macOS, Linux e, particularmente, ambientes VMware ESXi. Este malware é conhecido por empregar métodos de encriptação sofisticados.
- Play - O Play ransomware, também conhecido como PlayCrypt, é um ransomware que surgiu pela primeira vez em junho de 2022. Este ransomware tem como alvo um amplo espetro de empresas e infra-estruturas críticas na América do Norte, América do Sul e Europa, tendo afetado aproximadamente 300 entidades até outubro de 2023. O Play Ransomware obtém normalmente acesso às redes através de contas válidas comprometidas ou explorando vulnerabilidades não corrigidas, como as das VPNs SSL da Fortinet. Uma vez lá dentro, emprega técnicas como a utilização de LOLBins para tarefas como a exfiltração de dados e o roubo de credenciais.
- Akira - O ransomware Akira, relatado pela primeira vez no início de 2023, tem como alvo sistemas Windows e Linux. Utiliza encriptação simétrica com CryptGenRandom() e Chacha 2008 para encriptação de ficheiros e é semelhante ao ransomware Conti v2 que foi divulgado. O Akira é distribuído por vários meios, incluindo anexos de correio eletrónico infetados e explorações em endpoints VPN. Após a infeção, encripta os dados e acrescenta uma extensão ".akira" aos nomes dos ficheiros, apresentando depois uma nota de resgate que exige o pagamento da desencriptação.