Novidade no mundo dos ciberataques: descoberta grande operação de um “corretor” de tráfego web

Pesquisadores da Check Point Research descobriram um grande distribuidor de ciberameaças, o VexTrio, que atua como um “corretor” de tráfego para cibercriminosos distribuírem conteúdo malicioso; e no Brasil, o Qbot volta a todo vapor

Crédito: Imagem de Anja por Pixabay.

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, publicou o Índice Global de Ameaças referente ao mês passado.

Em janeiro de 2024, os pesquisadores da CPR identificaram um novo Sistema de Distribuição de Tráfego (TDS) chamado VexTrio, que ajudou mais de 60 afiliados por meio de uma rede de mais de 70 mil sites comprometidos. Enquanto isso, o LockBit3 foi nomeado o grupo de ransomware mais prevalente em uma classificação recém-introduzida no Índice Global de Ameaças da Check Point Software.

Ativo desde pelo menos 2017, o VexTrio colabora com dezenas de associados para disseminar conteúdo malicioso por meio de um TDS sofisticado. É uma enorme organização de TDS, com uma rede obscura de mais de 60 afiliados, e que tem desviado tráfego para sua web, operando sua própria rede TDS e colaborando com afiliados como ClearFake e SocGholish.

Ao utilizar um sistema semelhante às redes legítimas de marketing de afiliados, as atividades do VexTrio são muitas vezes difíceis de serem detectadas e, apesar de estar ativa há mais de seis anos, a escala das suas operações passou em grande parte despercebida. Isso ocorreu porque há pouco que o vincule a agentes de ameaças ou cadeias de ataque específicos, o que o torna um risco considerável para a segurança cibernética devido a uma rede extensa e operações avançadas.

“Os cibercriminosos evoluíram de meros hackers para arquitetos de fraudes, e o VexTrio é mais um lembrete de como o setor se tornou comercialmente orientado”, explica Maya Horowitz, vice-presidente de pesquisa da Check Point Software. "Para se manterem seguros, os indivíduos e as organizações devem dar prioridade às atualizações regulares de cibersegurança, empregar uma proteção robusta de endpoints e fomentar uma cultura de práticas online vigilantes. Ao permanecermos informados e proativos, podemos fortalecer coletivamente as nossas defesas contra os perigos crescentes representados pelas ameaças cibernéticas emergentes".

Pela primeira vez, o índice da Check Point Software inclui agora uma classificação dos grupos de ransomware mais prevalentes com base na atividade de mais de 200 sites fraudulentos. Em janeiro passado, o LockBit3 foi o grupo de ransomware mais prevalente, responsável por 20% dos ataques publicados. Eles assumiram a responsabilidade por alguns incidentes notáveis ocorridos em janeiro, incluindo um ataque à rede de lanchonetes Subway e ao Hospital Saint Anthony, em Chicago, nos Estados Unidos.

Principais famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.
 
O FakeUpdates foi o malware mais prevalentes em janeiro de 2024, com um impacto de 4% nas organizações no mundo, seguido pelo Qbot, com um impacto global de 3%, e o Formbook com 2% de impacto.

↔ FakeUpdates - Fakeupdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Ele grava as cargas no disco antes de iniciá-las. FakeUpdates levou a comprometimentos adicionais por meio de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.

↑ Qbot – Qbot AKA Qakbot é um cavalo de Troia bancário que apareceu pela primeira vez em 2008, projetado para roubar as credenciais bancárias e as teclas digitadas do usuário. Geralmente é distribuído por e-mails de spam e emprega várias técnicas antiVM, antidepuração e antisandbox para dificultar a análise e evitar a detecção. A partir de 2022, emergiu como um dos Trojans mais prevalentes.

↓ Formbook - É um infoStealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta credenciais de vários navegadores da Web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu C&C (Comando & Controle).

A lista global completa das dez principais famílias de malware em janeiro de 2024 pode ser encontrada no blog da Check Point Software.

Principais setores atacados no mundo e no Brasil

Em janeiro de 2024, a Educação/Pesquisa prosseguiu como o setor mais atacado a nível mundial, seguido pelo Governo/Forças Armadas e pela Saúde.

1.Educação/Pesquisa
2.Governo/Forças Armadas
3.Saúde

No Brasil, os três setores no ranking nacional mais visados por ciberataques durante o mês de janeiro foram:

1. Comunicações
2. Transportes
3. Governo/Forças Armadas

Principais vulnerabilidades exploradas

Em janeiro, a “Command Injection Over HTTP” foi a vulnerabilidade mais explorada, afetando 44% das organizações em todo o mundo, seguida por "Web Servers Malicious URL Directory Traversal" com impacto global de 41% e a "HTTP Headers Remote Code Execution", com 40%.

Principais malwares móveis

Em janeiro, o Anubis permaneceu em primeiro lugar como o malware móvel mais difundido, seguido por AhMyth e Hiddad.

Principais grupos de ransomware

Esta seção apresenta informações derivadas de mais de 200 “sites da vergonha” (“shame sites”), ou seja, sites de difamação administrados por grupos de ransomware de dupla extorsão, 68 dos quais postaram os nomes e informações das vítimas este ano. Os cibercriminosos usam esses sites para pressionar as vítimas que não pagam o resgate imediatamente. Os dados desses sites de difamação carregam seus próprios preconceitos, mas ainda fornecem informações valiosas sobre o ecossistema de ransomware, que atualmente é o risco número um às organizações.

No último mês, o LockBit3 foi o ransomware de maior destaque, responsável por 20% dos ataques realizados, seguido pelo 8Base com 10% e pelo Akira com 9%.

1.LockBit3 é um ransomware que opera em um modelo RaaS e foi relatado pela primeira vez em setembro de 2019. O LockBit3 tem como alvo grandes empresas e entidades governamentais de vários países e não tem como alvo indivíduos na Rússia ou na Comunidade de Estados Independentes.

2.8base – O grupo de ameaças 8Base é uma gangue de ransomware que está ativa pelo menos desde março de 2022. Ganhou notoriedade significativa em meados de 2023 devido a um aumento em suas atividades. Este grupo foi observado usando uma série de variantes de ransomware, sendo Phobos um elemento comum. A 8Base opera com um nível de sofisticação, evidenciado pelo uso de técnicas avançadas em seu ransomware. Os métodos do grupo incluem táticas de dupla extorsão.

3.Akira Ransomware, relatado pela primeira vez no início de 2023, tem como alvo sistemas Windows e Linux. Ele usa criptografia simétrica com CryptGenRandom e Chacha 2008 para criptografia de arquivos e é semelhante ao ransomware Conti v2 que vazou. O Akira é distribuído por vários meios, incluindo anexos de e-mail infectados e explorações em endpoints de VPN. Após a infecção, ele criptografa os dados e anexa uma extensão “. akira" nos nomes dos arquivos e, em seguida, apresenta uma nota de resgate exigindo pagamento pela descriptografia.

Os principais malwares de janeiro no Brasil

No mês passado, o ranking de ameaças do Brasil contou com a volta do Qbot à liderança do ranking com impacto de cerca de 12,75%; em segundo lugar, o Fakeupdates cujo impacto foi de 7,57% (mais que o global de 4,22%); enquanto o Chaes caiu para o terceiro lugar com impacto de 3,93%.