Apache Log4j e Trickbot foram malwares mais predominantes em dezembro

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies, divulgou o Índice Global de Ameaças referente ao mês de dezembro de 2021. Em um mês em que a vulnerabilidade do Apache Log4j varreu a Internet, os pesquisadores relataram que o Trickbot ainda é o malware mais predominante, embora em uma taxa um pouco menor, afetando 4% das organizações em todo o mundo (5% em novembro). O recém ressurgente Emotet subiu rapidamente da sétima posição para o segundo lugar no ranking global.

No último mês de 2021, a “Apache Log4j Remote Code Execution” foi a vulnerabilidade mais explorada, afetando 48,3% das organizações globalmente. A vulnerabilidade foi relatada pela primeira vez em 9 de dezembro no pacote de log do Apache Log4j — a biblioteca de log Java mais popular. A vulnerabilidade causou uma nova praga, impactando quase metade de todas as empresas do mundo em um espaço de tempo muito curto. No Brasil, o impacto dessa vulnerabilidade correspondeu, até o momento, a 59% das redes corporativas que sofreram tentativas de exploração.

Os cibercriminosos são capazes de explorar aplicativos vulneráveis para executar cryptojackers e outros malwares em servidores comprometidos. Até agora, a maioria dos ataques se concentrava no uso de mineração de criptomoedas às custas das vítimas, no entanto, os hackers começaram a agir de forma agressiva e aproveitar a violação em alvos de alta qualidade.

“O Log4j dominou as manchetes em dezembro. É uma das vulnerabilidades mais sérias que já testemunhamos e, devido à complexidade de corrigi-la e à facilidade de exploração, é provável que permaneça conosco por muito tempo, a menos que as empresas tomem medidas imediatas para evitar ataques”, afirma Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies.

Segundo a pesquisa, Educação / Pesquisa é o setor mais atacado globalmente, seguido por Governo/Militar e ISP/MSP. A “Apache Log4j Remote Code Execution” tem sido a vulnerabilidade mais comum explorada, impactando 48,3% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que afeta 43,8% das organizações no mundo. A “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 41,5%.

Principais famílias de malware

• As setas referem-se à mudança na classificação em comparação com o mês anterior.

↔ Trickbot – É um trojan bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.

↑ Emotet – É um trojan avançado, auto propagável e modular. O Emotet era anteriormente um trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.

↔ Formbook – É um InfoStealer que coleta credenciais de vários navegadores da web, imagens, monitora e registra pressionamentos de tecla e pode baixar e executar arquivos de acordo com seus pedidos C&C.

No Brasil, os três setores mais visados em dezembro
foram:

1. Integradores de Sistema/VAR – Value Added Reseller/Distribuidores
2. Varejo/Atacado
3. Saúde

Principais vulnerabilidades exploradas

↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe uma vulnerabilidade de execução remota de código no Apache Log4j. A exploração bem-sucedida dessa vulnerabilidade pode permitir que um atacante remoto execute código arbitrário no sistema afetado.

↔ Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.

↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) — Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar um código arbitrário na máquina da vítima.

Principais malwares móveis

AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.

xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.

FluBot – É um malware de rede de bots Android distribuído por meio de mensagens SMS de phishing, na maioria das vezes se passando por marcas de entrega e logística. Assim que o usuário clica no link inserido na mensagem, o FluBot é instalado e obtém acesso a todas as informações confidenciais no telefone.

Os principais malwares de dezembro no Brasil

O principal malware no Brasil em dezembro de 2021 foi o Emotet, com 6,28% de impacto nas organizações. O Trickbot ocupou o segundo lugar (4,58%) no ranking nacional, enquanto o Glupteba (3,10%) continuou em terceiro.