Threats

Dridex, Qbot e AgentTesla foram as principais ameaças às organizações portuguesas

Durante o mês de dezembro 2021, e de acordo com a Check Point, 8% das organizações nacionais foram afetadas pelo trojan bancário Dridex e o setor jurídico foi, de uma forma geral, o setor mais atacado

17/01/2022

Dridex, Qbot e AgentTesla foram as principais ameaças às organizações portuguesas

A Check Point Research (CPR) publicou o Índice Global de Ameaças referente a dezembro de 2021. Num mês que viu surgir a vulnerabilidade no Apache Log4j, os investigadores relatam que o Trickbot é ainda o malware mais prevalente, apesar de, em dezembro, apresentar uma menor taxa de impacto de 1% entre as organizações de todo o mundo em comparação com o mês passado (em novembro, o impacto foi de 5%). Em Portugal, a lista de ameaças é ligeiramente diferente, com o trojan bancário Dridex a destacar-se entre as restantes. A nível nacional, ressalta ainda o setor jurídico, o mais visado em dezembro.

Este mês, “Apache Log4j Remote Code Execution” foi a vulnerabilidade mais explorada, afetando 48,3% das organizações de todo o mundo. A vulnerabilidade foi identificada primeiramente no Log4j do Apache – a biblioteca de logging mais popular do Java utilizada em muitos serviços de Internet e aplicações com mais de 400 mil descargas. A vulnerabilidade deu origem a uma nova praga e impactou quase metade de todas as empresas do mundo num curto espaço de tempo. Os atacantes podem explorar apps vulneráveis para executar cryptojackers e outros malware em servidores comprometidos. Até agora, a maioria dos ataques têm-se focado na mineração de criptomoeda às custas das vítimas, contudo, os atacantes mais avançados já começaram a agir agressivamente, procurando tirar proveito de alvos mais críticos.

O Log4j dominou as manchetes em dezembro. É uma das vulnerabilidades mais críticas que já testemunhámos, e devido à complexidade que exige fazer a patch, bem como à facilidade da sua exploração, é provável que fique connosco por muitos anos, a não ser que as organizações tomem ações imediatas para prevenir ataques”, afirma, em comunicado, Maya Horowitz, VP Research at Check Point Software.  “Este mês, vimos também o botnet Emotet subir do sétimo lugar do top de malware mais prevalentes para a segunda posição. Tal como suspeitávamos, não demorou muito para o Emotet construir uma base forte desde o seu ressurgimento em novembro. É evasivo e tem-se disseminado rapidamente através de e-mails de phishing com anexos maliciosos ou links. É hoje mais importante que nunca contar com uma solução de segurança para e-mail robusta para garantir que os utilizadores sabem identificar mensagens e anexos suspeitos”.

A CPR revelou ainda que, este mês, o setor jurídico foi o mais atacado em Portugal, seguido pela Educação/Investigação e, em terceiro lugar, a Saúde. Na Europa, os três setores mais afetados são, em primeiro lugar, Educação/Investigação, a Administração Pública/Indústria Militar e, em terceiro, as Utilities. A nível global, a indústria da Saúde é a mais visada, seguida pela Administração Pública/Indústria Militar e pelos serviços ISP/MSP.

Principais famílias de malware em Portugal e no mundo

Em dezembro de 2021, o Trickbot foi o malware mais popular, afetando 4% das organizações em todo o mundo, seguido pelo Emotet e Formbook, ambos com um impacto global de 3%. 

  1. Trickbot – Trojan bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.
  2. Emotet – Trojan avançado, auto-propagador e modular. O Emotet já foi utilizado como Trojan bancário, mas recentemente é utilizado para distribuir malware e outras campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser disseminado através de e-mails de spam de phishing contendo anexos ou links maliciosos. 
  3. Formbook – Info Stealer que coleta credenciais de vários navegadores, capturas de ecrã, monitoriza e regista as teclas digitadas, podendo ainda fazer download e executar ficheiros de acordo com comandos C&C.

Em Portugal, a lista de ameaças mais prevalentes foi um pouco diferente. Destacou-se o trojan bancário Dridex, com um impacto nacional de 8%. Seguiu-se o Qbot, responsável por impactar 7% das organizações portuguesas e, em terceiro lugar, o AgentTesla, que afetou 6% das empresas em Portugal.

Indústrias mais atacadas

Em Portugal, durante o último mês do ano, o setor jurídico foi a indústria mais atacada, seguida da educação e investigação e com a saúde a fechar o pódio.

Já na Europa, a educação e investigação foi a indústria mais atacada, seguida da administração pública e indústria militar e, por fim, as utilities. Em todo o mundo, a situação é semelhante à Europa, com a a educação e investigação a ser a indústria mais atacada com a administração pública e indústria militar em segundo. No entanto, a terceira indústria mais atacada a nível mundial foram os ISP/MSP.

Principais vulnerabilidades exploradas

Este mês, “Apache Log4j Remote Code Execution” é a vulnerabilidade mais comumente explorada, afetando 48.3% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que afeta 43,8% das organizações em todo o mundo. “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 41.5%.

  1. Apache Log4j Remote Code Execution (CVE-2021-44228) – Vulnerabilidade que permite a execução remota de código presente no Apache Log4j. A exploração bem-sucedida desta vulnerabilidade permitirá um atacante remoto executar código arbitrariamente no sistema infetado.
  2. Web Server Exposed Git Repository Information Disclosure – Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.
  3. HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um Header HTTP vulnerável para correr qualquer código no dispositivo da vítima.

Principais malwares móveis

  1. AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite um atacante remoto injetar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla o dispositivo.
  2. xHelper – Aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, utilizada para descarregar aplicações maliciosas e exibir anúncios. A aplicação é capaz de se esconder do utilizador, podendo reinstalar-se no caso do utilizador a desinstalar. 
  3. FluBot – Botnet para Android distribuído via mensagens SMS de phishing que imitam marcas de logística e entregas. Assim que o utilizador clica no link enviado, o FluBot é instalado e tem acesso a todas as informações sensíveis do telemóvel.

NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº5 Abril 2022

IT SECURITY Nº5 Abril 2022

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.