Hackers descobrem novo método de cadeia de infecção para invadir dispositivos

Pesquisadores da Check Point Research identificaram um novo método de implantação do Trojan de Acesso Remoto (RAT) Remcos, contornando medidas de segurança comuns para obter acesso não autorizado aos dispositivos das vítimas

Imagem ilustrativa - Divulgação Check Point Software

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, publicou o Índice Global de Ameaças referente a março de 2024. No mês passado, os pesquisadores revelaram que hackers estavam utilizando arquivos de disco rígido virtual (VHD) para implantar Remcos, um Trojan de acesso remoto (RAT). Além disto, o Lockbit3 permaneceu como o grupo de ransomware mais prevalente em março, apesar da remoção pelas autoridades em fevereiro, e embora sua frequência nos 200 “sites da vergonha” (“shame sites”) de ransomware monitorados pela CPR tenha reduzido de 20% para 12%.

O Remcos é um malware conhecido desde 2016. Esta última campanha contorna medidas de segurança comuns para dar aos cibercriminosos acesso não autorizado aos dispositivos das vítimas. Apesar de suas origens legais para gerenciar remotamente sistemas Windows, os cibercriminosos logo começaram a capitalizar a capacidade da ferramenta de infectar dispositivos, capturar telas, registrar pressionamentos de teclas e transmitir dados coletados para servidores host designados.

Além disso, este RAT possui uma função de envio de mala direta que pode realizar campanhas de distribuição e, em geral, suas diversas funções podem ser usadas para criar botnets. No mês passado, subiu para a quarta posição na lista global e nacional dos principais malwares, em relação ao sexto lugar ocupado em fevereiro.

“A evolução das táticas de ataque destaca o avanço incessante das estratégias cibercriminosas”, comenta Maya Horowitz, vice-presidente de pesquisa da Check Point Software. "Isso ressalta a necessidade das organizações priorizarem medidas proativas. Ao permanecermos vigilantes, implantarmos uma proteção robusta de endpoints e promovermos uma cultura de conscientização sobre segurança cibernética, podemos fortalecer coletivamente nossas defesas contra as ameaças cibernéticas em evolução", reforça Maya.

Em relação ao índice de ransomware, a Check Point Research destaca insights de administração realizada por grupos de ransomware de dupla extorsão que publicaram informações das vítimas. O Lockbit3 mais uma vez lidera o ranking com 12% dos ataques publicados, seguido por Play com 10% e Blackbasta com 9%. Ao ingressar pela primeira vez entre os três primeiros da lista de ransomware, o Blackbasta assumiu a responsabilidade por um recente ataque cibernético ao Scullion Law, um escritório de advocacia escocês.
 
Quanto às vulnerabilidades, no mês passado, a mais explorada foi a "Web Servers Malicious URL Directory Traversal", afetando 50% das organizações a nível mundial, seguida de "Command Injection Over HTTP" com 48% de impacto e "HTTP Headers Remote Code Execution" com 43% de impacto.

Principais famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.
 
O FakeUpdates foi o malware mais prevalente em março de 2024 (manteve a liderança desde fevereiro), com um impacto de 6% nas organizações mundiais, seguido do Qbot com um impacto global de 3% e do Formbook, com um impacto global de 2%.

O Qbot preserva sua liderança do ranking no Brasil em março com impacto nacional de cerca de 8%, quase três vezes mais que o impacto global.

Principais setores atacados no mundo e no Brasil

Em março de 2024, a Educação/Pesquisa prosseguiu como o setor mais atacado a nível mundial, seguido pelo Governo/Forças Armadas e pelas Comunicações.

1.Educação/Pesquisa
2.Governo/Forças Armadas
3.Comunicações

No Brasil, os três setores no ranking nacional mais visados por ciberataques durante o mês de março foram:

1. Comunicações
2. Saúde
3. Transportes

Principais grupos de ransomware

Esta seção apresenta informações derivadas de quase 200 "sites de vergonha" de ransomware operados por grupos de ransomware de dupla extorsão. Os cibercriminosos utilizam estes sites para aumentar a pressão sobre as vítimas que não pagam o resgate imediatamente.

Os dados destes “sites da vergonha” têm as suas próprias tendências, mas ainda assim fornecem informações importantes sobre o ecossistema do ransomware, que é atualmente o risco número um às organizações.

O LockBit3 foi o grupo de ransomware mais prevalente no mês passado, responsável por 12% dos ataques publicados, seguido pelo Play com 10% e Blackbasta com 9%.

1.LockBit3 – LockBit3 é um ransomware que opera em um modelo RaaS e foi relatado pela primeira vez em setembro de 2019. O LockBit3 tem como alvo grandes empresas e entidades governamentais de vários países e não tem como alvo indivíduos na Rússia ou na Comunidade de Estados Independentes.

2. Play - Play é o nome de um programa do tipo ransomware. O malware classificado como tal opera criptografando dados e exigindo resgates para a descriptografia.

3. BlackBasta – O ransomware BlackBasta foi observado pela primeira vez em 2022 e opera como ransomware como serviço (RaaS). Os agentes de ameaças por trás dele têm como alvo principalmente organizações e indivíduos, explorando vulnerabilidades de RDP (Remote Desktop Protocol) e e-mails de phishing para entregar o ransomware.

Os principais malwares de março no Brasil

No mês passado, o ranking de ameaças do Brasil contou com o Qbot não largando a liderança do ranking (já indicada desde janeiro deste ano) com impacto de 7,93%; em segundo lugar, o cavalo de Troia AsyncRat cujo impacto foi de 3,29%; enquanto o NJRat também manteve seu terceiro lugar (como em fevereiro) com impacto de 3,23%.