Coinvhive permanece no top malware em Fevereiro de 2019

A Check Point Software Technologies Ltd. (NASDAQ: CHKP), fornecedor global líder em soluções de cibersegurança, publicou o seu Índice de Impacto Global de Ameaças referente ao mês de fevereiro de 2019. O índice revela que o Coinhive liderou, uma vez mais, o Índice de Impacto Global de Ameaças, pelo 15º mês consecutivo, apesar do anúncio da sua atividade poder vir a ser desativada a partir do dia 8 de março de 2019.

A equipa de investigação da Check Point também descobriu uma série de campanhas generalizadas que distribuíam o ransomware GandCrab. Entre os vários países que tinham como alvo destacam-se o Japão, a Alemanha, o Canadá e a Austrália. Estas operações começaram a surgir ao longo dos últimos dois meses, e a equipa de investigação da Check Point detetou uma nova versão do ransomware, que estava a ser distribuído numa das últimas campanhas. A nova versão do Gandcrab V5.2 inclui a maioria das características da sua versão anterior, mas conta com uma mudança no método de encriptação, que faz com que a ferramenta de desencriptação das últimas versões do ransomware, não funcionem.

Em Fevereiro, as variantes de malware mais prevalecente foram os criptominers. O Coinhive permanece no top dos malwares, a ter impactado 10% das organizações em todo o mundo. Este valor segue a tendência de queda do impacto global do Coinhive, que registou uma descida de 18% em outubro de 2018, para 12% em janeiro de 2019 e a ter registado ainda uma queda de mais 2% em fevereiro. Este decréscimo deve-se ao aumento do custo da mineração, em paralelo com a desvalorização da Monero. O Cryptoloot ascendeu ao segundo lugar do índice de fevereiro, substituindo o XMRig. A este seguiu-se o Emotet, um Trojan modular avançado, que tem a capacidade de se propagar sozinho e que vem substituir Jsecoin no terceiro lugar do índice.

Maya Horowitz, Threat Intelligence e Research Director da Check Point comenta: “Como pudemos assistir em janeiro, os agentes das ameaças continuam a explorar novas formas de disseminar malware, enquanto criam variantes novas ainda mais perigosas. A nova versão do Gandcrab prova uma vez mais que, apesar de existirem famílias de malware que se mantêm no topo da lista de malware durante vários meses aparentando permanecer estáticas, na realidade encontra-se em evolução e desenvolvimento a tentar escapar à sua deteção. Para combater esta situação de forma efetiva a nossa equipa de investigação faz o rastreio deste malware, de forma contínua baseando-se no ADN da sua família – a ser por isso essencial que as organizações mantenham as suas soluções de seguranças sempre atualizadas”.

O Top 3 dos “Mais Procurados” de fevereiro em Portugal:

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior.

1. ↑ Cryptoloot – É um malware de criptomineração que utiliza a energia e recursos existentes do CPU ou GPU para fazer minerar criptomoedas a adicionar transações para criar mais moedas. É um concorrente do Coinhive, a tentar tirar-lhe quota de mercado ao pedir uma percentagem de resgate menor de receitas aos websites. Este teve um impacto nacional de 19,09%.
2. ↓ Coinhive – É um Cryptominer desenhado para realizar mining online da criptomoeda Monero quando um utilizador entra numa página web sem autorização do utilizador. O JavaScript implementado utiliza elevados recursos de computação do utilizador final para minar moedas, impactando assim a performance dos dispositivos. Este cryptominer teve um impacto nacional de 16,46%.
3. ↑ Jsecoin – O JavaScript miner pode ser incorporado em websites. Com o JSEcoin o minerador poder ser executado diretamente no browser, em troca de uma experiência de publicidade gratuita, moeda de jogo ou outros incentivos.

Este mês o Lotoor é o malware Mobile mais prevalecente, a ter destronado o Hiddad do primeiro lugar da lista de top malware. O Triada permanece no terceiro lugar.

Top Mobile Malware do Mundo durante o mês de fevereiro de 2019

1. Lotoor – Ferramenta de hacking que explora as vulnerabilidades dos sistemas operativos Android com o objetivo de ganhar privilégios de raíz em dispositivos móveis infetados.
2. Hiddad – Malware Android que envolve as aplicações legítimas e depois lança-as numa loja de terceiros. A sua principal função é desativar publicidade, no entanto este malware também consegue aceder aos principais detalhes de segurança do OS, dando assim permissão ao atacante de ter informações sensíveis do utilizador.
3. Triada – É um Backdoor modular para Android que dá privilégios de super-utilizador para fazer download de malware e permite que seja incorporado nos processadores. O Triada já foi encontrado a fazer spoofing em URLs abertos nos browsers.

A equipa de investigação da Check Point também analisou as cibervulnerabilidades mais exploradas. Uma vez mais, o CVE-2017-7269 manteve-se no lugar cimeiro nesta lista de vulnerabilidades, com um impacto global de 45%. O OpenSSL TLS DTLS Heartbeat Information Disclosure é a segunda vulnerabilidade mais prevalecente com um impacto global de 40%, seguido pelos servidores PHPMyAdmin Misconfiguration Code Injection exploit, que impactaram 34% das organizações em todo o mundo.

Top 3 das vulnerabilidades ‘Mais Exploradas’ de fevereiro:

1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – Ao enviar um pedido para uma rede Microsoft Windows Server 2003 R2 através do Microsoft Internet Information Services 6.0, um atacante remoto pode executar um código arbitrário ou causar uma negação de condição de serviços no servidor atacado. Isto acontece principalmente por uma vulnerabilidade no overflow que resulta de uma validação imprópria de um cabeçalho longo de HTTP.
2. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Uma vulnerabilidade que divulga informações que encontra-se no OpenSSL devido a um erro enquanto opera com os TLS/DTLS heartbeat packets. Um atacante pode utilizar esta vulnerabilidade para divulgar conteúdos que se encontram em memória num cliente ligado ou servidor.
3. ↑ Web servers PHPMyAdmin Misconfiguration Code Injection – Uma vulnerabilidade de injeção de código reportada em PHPMyAdmin. A vulnerabilidade deve-se a uma falha na configuração do PHPMyADin. Um cibercriminoso remoto pode explorar esta vulnerabilidade através do envio de um pedido HTTP especialmente criado para o alvo a que se dirige.

O Índice de Impacto Global de Ameaças da Check Point e o seu ThreatCloud Map é alimentado por informação proveniente da Check Point ThreatCloud Intelligence, a maior rede colaborativa de luta contra o cibercrime, que oferece informação e tendências sobre ciberataques através de uma rede global de sensores de ameaças. A base de dados inclui mais de 250 milhões endereços que são analisados para descobrir bots, cerca de 11 milhões de subscrições e 5,5 milhões de websites infetados. Além disso, identifica milhões de tipos de malware todos os dias.

* Pode ver a lista completa das 10 principais famílias de janeiro no Blog da Check Point Security.

Mais informações sobre ferramentas para a prevenção de ameaças aqui.