Cenário de segurança: ameaças que ganharam destaque no 2º trimestre de 2020 | WeLiveSecurity

Cenário de segurança: ameaças que ganharam destaque no 2º trimestre de 2020

Os especialistas em segurança da ESET apresentam uma visão geral do cenário de ameaças cibernéticas no mundo e, especialmente, no Brasil, durante o 2º trimestre de 2020.

Os especialistas em segurança da ESET apresentam uma visão geral do cenário de ameaças cibernéticas no mundo e, especialmente, no Brasil, durante o 2º trimestre de 2020.

Seis meses após o surto provocado pela Covid-19, vários países do mundo estão agora em processo de adaptação ao novo normal. Embora que o pânico inicial tendo sido “resolvido” e apesar de muitos países tenham relaxado suas restrições, os ataques cibernéticos que exploram a pandemia não mostraram sinais de desaceleração no segundo trimestre de 2020.

Nossos especialistas observaram um fluxo contínuo de campanhas usando a Covid-19 como uma isca em ataques na web ou por e e-mail, com golpistas tentando tirar o máximo proveito dessa crise sanitária. Globalmente, a telemetria da ESET também mostrou um aumento nos e-mails de phishing que se faziam passar pela DHL, um dos principais serviços de entrega de pacotes do mundo (com um aumento dez vezes maior que o primeiro trimestre) e direcionados a compradores on-line. O aumento dos ataques direcionados ao Remote Desktop Protocol (RDP) – cuja segurança permanece sendo negligenciada – continuou no segundo trimestre deste ano, com tentativas persistentes de estabelecer conexões RDP.

O cenário de ransomware foi uma das áreas que se desenvolveu mais rapidamente no segundo trimestre, com alguns operadores abandonando a tendência ainda bastante nova de doxing e vazamento de dados aleatórios e passando a leiloar os dados roubados na dark web e até mesmo formando “cartéis” para atrair mais compradores. No Brasil, a família de ransomware Crysis ocupa a primeira posição com o maior percentual de detecção (38,9%) no Brasil durante o segundo trimestre de 2020, seguida pela detecção identificada como Filecoder.XXX (18,5%) e WannaCryptor (10, 1%), mais conhecido como WannaCry. Na quarta posição está a família STOP (7,0%) e em quinto lugar a família Phobos (6,0%). Nesse período, essas cinco famílias de ransomware respondem por pouco mais de 80% das detecções desse tipo de código malicioso.

As 10 principais famílias de ransomware no Brasil durante o 2º trimestre de 2020 (% de detecções).

O ransomware também apareceu na plataforma Android sob o disfarce de um aplicativo de rastreamento de contatos da Covid-19 direcionado a usuários no Canadá. Os pesquisadores da ESET interromperam rapidamente essa campanha e forneceram um descriptografador para as vítimas. Entre muitas outras descobertas, nossos pesquisadores descobriram a Operação Inter(ter)ception, que tinha como alvo empresas militares e aeroespaciais de alto perfil; revelaram o modus operandi do elusivo grupo InvisiMole; e analisaram o Ramsay, um framework de espionagem cibernética projetada para comprometer redes isoladas. Na América Latina, os pesquisadores da ESET também descobriram a botnet VictoryGate usada principalmente para minerar criptomoedas e colaboraram para sua posterior interrupção.

Durante o 2º trimestre deste ano, cinco exploits concentraram pouco mais de 80% das detecções no Brasil: Win32/Exploit.CVE-2012-0143 (27,3%); seguido por LNK/Exploit.CVE-2010-2568 (24,5%), Genérico Java/ExploitGeneric detecção (18,8%), Win32/Exploit.CVE-2017-11882 (14,3%) e SMB/Exploit.DoublePulsar (3,7%).

As 10 principais famílias de exploits no Brasil, durante o 2º trimestre de 2020 (% de detecções).

Para saber mais informações sobre o cenário de segurança apresentado pelos especialistas da ESET, confira o Relatório de Ameaças (2º trimestre de 2020) que apresenta atualizações exclusivas para várias pesquisas exclusivas e inéditas da ESET, com um foco especial nas operações do grupo APT e muito mais.

Confira também um resumo das principais ameaças que afetaram o Brasil durante o 2º trimestre deste ano. As ameaças são identificadas de acordo com o nome das assinaturas estabelecidas pelas soluções ESET:

  • Win32/VB

Win32/VB é uma detecção de malware escrito na linguagem de programação Visual Basic. Algumas características compartilhadas pelos códigos maliciosos detectados sob esta assinatura é que eles funcionam como um backdoor que pode ser controlado remotamente, além de realizar ações intrusivas para obter persistência. Esses códigos maliciosos coletam informações, capturam registros do teclado e podem enviar as informações a um computador remoto.

  • Win32/Ramnit

O Win32/Ramnit é um malware com características de vírus e worm, usado principalmente para roubar dados confidenciais relacionados a serviços bancários. A ameaça se propaga por meio de dispositivos USB e outras unidades removíveis e pode infectar o Master Boot Record (MBR) para garantir sua persistência. Ele infecta arquivos executáveis ​​e arquivos HTM/HTML, aumentando sua capacidade de propagação.

  • Win32/Exploit.CVE-2012-0143

A detecção Win32/Exploit.CVE-2012-0143 corresponde ao exploit usado para explorar a vulnerabilidade associada à corrupção no gerenciamento de memória dos aplicativos Microsoft Excel 2003 SP3 e Office 2008, que permite a execução remota de código. A exploração foi lançada pelo grupo cibercriminoso conhecido como ShadowBrokers, responsável por filtrar ferramentas de hacking da Agência de Segurança Nacional (NSA) dos Estados Unidos.

  • Win32/TrojanDownloader.Zurgop

Detecção de um trojan que tenta baixar outro código malicioso. Uma vez executado no sistema, a ameaça faz uma cópia de si mesma e cria chaves de registro para serem executadas a cada inicialização do sistema. Outras características desse trojan estão relacionadas à capacidade de detectar aplicativos de segurança no sistema, coletar informações do computador e atualização automática.

  • Win32/Spy.ClientMaximus

O Win32/Spy.ClientMaximus é um trojan bancário que se disfarça como uma DLL usada por programas legítimos. O código malicioso monitora as atividades da vítima ao acessar sites de bancos para, em seguida, obter acesso a outras funções bancárias. Mesmo que o criminoso não tenha armazenado dados de sessão ou login, ele pode manter uma sessão com o banco por meio da vítima ou pode esperar até que outra transação ocorra em um dos sites monitorados para obter mais informações financeiras.

  • Win32/Spy.Guildma

Guildma é um trojan bancário escrito em Delphi que busca obter informações confidenciais, principalmente dados bancários. Funciona como um backdoor, pois executa comandos enviados de computadores remotos. A ameaça usa longas cadeias de distribuição e técnicas de engenharia social para infectar dispositivos. Além disso, é composto de vários componentes e usa software e ferramentas legítimas dos sistemas operacionais.

  • Win32/GenKryptik

Win32/GenKryptik é uma assinatura genérica para identificar códigos maliciosos que usam técnicas de ofuscação e proteção de código, portanto, podem ser diferentes tipos de malware que incluem características que dificultam a análise. Por exemplo, essas técnicas incluem técnicas de ofuscação, Anti-Debugging, Anti-VM o Anti-Emulation.

  • JS/Bondat

JS/Bondat é um worm escrito na linguagem JavaScript que funciona como um vetor de infecção inicial que, posteriormente, baixa outros arquivos maliciosos com a capacidade de realizar várias ações maliciosas. A ameaça se espalha por meio de mídias removíveis usando a técnica LNK. Quando os usuários clicam nos arquivos LNK, o malware é executado e o arquivo original correspondente é aberto.

  • Win32/Agent

Win32/Agent é uma assinatura para identificar malware usado para a distribuição de spam, com mensagens que dependem totalmente das informações que o código malicioso baixa da Internet. Entre suas ações maliciosas, também é responsável por coletar informações do sistema operacional e endereços de e-mail, que posteriormente tenta enviar a um computador remoto. Ele também recebe instruções e comandos de execução no computador comprometido.

  • Win32/Packed

Win32/Packed é uma assinatura genérica para identificar o código malicioso compactado. Na realidade, pode ser qualquer tipo de malware que tenha sido encapsulado principalmente para proteger o código e tentar escapar das soluções de segurança. Em outras palavras, eles procuram ocultar sua presença de soluções antimalware e evitar que o código seja analisado.

Newsletter

Discussão