Uma análise Check Point: os malware mais procurados de julho

Durante o mês de julho de 2018, três vulnerabilidades de IoT entraram na lista dos Top 10 mais explorados: MVPower DVR router Remote Code Execution no #5; D_Link DSL-2750B router Remote Command Execution no #7; e Dasan GPON router Authentication Bypass no #10. Estas vulnerabilidades, atacaram um total de 45% das organizações no mundo. Ao comparar com junho de 2018, apenas 35% foram afetadas e em maio foram 21%.

“As vulnerabilidades conhecidas dão aos cibercriminosos uma entrada fácil e sem complicações às redes corporativas, permitindo que possam ser propagados ataques em maior escala,” comenta Maya Horowitz, Threat Intelligence Group Manager da Check Point. “As vulnerabilidades em IoT, em particular, são normalmente ‘o caminho com menos resistência’, já que se um dispositivo ficar comprometido é mais fácil infiltrar os demais dispositivos conectados. Como tal, é vital que as empresas apliquem as correções às vulnerabilidades conhecidas e quando novas aparecerem garantirem a segurança da rede.”

“Para se conseguir proteger de vulnerabilidades tanto conhecidas como desconhecidas é essencial que as empresas integrem estratégias de cibesegurança de multicamadas que protejam tanto contra ciberataques de famílias de malware já conhecidas como contra novas ameaças,” adicionou Horowitz.

No impacto global de ameaças do mês passado o malware Coinhive manteve-se como malware mais prevalecente. Este impactou 19% das organizações a nível mundial. O Cryptoloot e o Dorkbot estiveram no segundo e terceiro local com um impacto mundial de 7% em ambos.

Veja o Top 3 de malware em Portugal durante o mês de julho de 2018:
*As setas significam as mudanças em comparação com o mês anterior.

1. ↔ Coinhive – É um Cripto Miner desenhado para realizar mining online da criptomoeda Monero quando um utilizador entra na página web sem a autorização do utilizador. O JavaScript implementado utiliza elevados recursos de computação do utilizador final para minar moedas, impactando assim a performance dos dispositivos. Este causou um impacto nacional de 33%.
2. ↔ Cryptoloot – É um malware de Cripto Miner que utiliza a energia e os recursos existentes do CPU ou GPU para fazer crypto mining adicionando transações para criar mais moedas. É um concorrente de Coinhive que tenta tirar-lhe o tapete ao pedir uma percentagem menor de receitas aos websites. Este causou um impacto nacional de 25%. 
3. ↔ Roughted – É um Mavertising de grande escala utilizado para divulgar websites maliciosos e com conteúdos como burlas, adware, explorações e ransomware. Pode ser utilizado em qualquer plataforma e sistema operativo, também contornar os ad-blockers e impressões digitais. Este causou um impacto nacional de 20%. 

O Lokibot, um banking Trojan para o Android e que rouba informações, foi o malware mais popular para atacar os telemóveis das organizações depois seguiram-se o Triada e a Guerilla.

Veja o Top Mobile Malware do Mundo durante o mês de julho de 2018:

1. Lokibot – É um Trojan bancário que tem como alvo smartphones Android e torna-se num ransomware depois da vítima tentar retirar-lhe o privilégio de administrador.
2. Triada – É um Backdoor modular para Android que dá privilégios de super-utilizador para fazer download de malwares e ajuda a que seja incorporado nos processadores. O Triada já foi encontrado a fazer spoofing nos URLs abertos nos browsers.
3. Guerilla – É um ad-clicker para Android que tem a habilidade de comunicar com um servidor command and control (C&C) remotamente, fazer download de plugins maliciosos e realizar um ad-clicking agressivo sem a permissão ou conhecimento do utilizador. 

Os analistas da Check Point também analisaram as cibervulnerabilidades mais exploradas. Em primeiro lugar está o CVE-2017-7269 com um impacto global de 47%. Em segundo está o CVE-2017-5638 com um impacto global de 42%, e logo a seguir está a Divulgação de Informação OpenSSL TLS DTLS Heartbeat com um impacto de 41% nas organizações no mundo.

Top vulnerabilidades ‘Mais Exploradas’ durante o mês de julho de 2018:

1. ↔ WebDAV ScStoragePathFromUrl Buffer Overflow no Microsoft IIS (CVE-2017-7269) – Ao enviar um pedido criado na rede de Microsoft Windows Server 2003 R2 através do Microsoft Internet Information Services 6.0, um atacante remoto pode executar um código arbitrário ou causar uma negação de condição de serviços no servidor atacado. Isto acontece principalmente por uma vulnerabilidade no overflow que resulta de uma validação imprópria de um cabeçalho longo de HTTP. 
2. ↑ Execução de Código Remoto Apache Struts2 Content-Type (CVE-2017-5638) – Existe uma vulnerabilidade na execução de código remoto dentro do Apache Struts2 quando se utiliza o interpretador de multipartes da Jakarta. Um atacante pode explorar esta vulnerabilidade ao enviar um tipo de conteúdo inválido como parte do pedido de upload de documento. 
3. ↑ Divulgação de Informação OpenSSL TLS DTLS Heartbeat (CVE-2014-0160; CVE-2014-0346) – Existe uma vulnerabilidade divulgação de informação no OpenSSL. Esta vulnerabilidade deve-se a um erro quando se lida com os TLS/DTLS heartbeat packets. Um atacando pode aproveitar desta vulnerabilidade para divulgar conteúdos da memória de um cliente ou servidor conectado. 

O Índice de Impacto Global de Ameaças da Check Point e o Mapa de Ciberameaças ThreatCloud alimentam-se de informação proveniente da Check Point ThreatCloudTM, a maior rede colaborativa de luta contra o cibercrime, que oferece informação e tendências sobre ciberataques através de uma rede global de sensores de ameaças. A base de dados inclui mais de 250 milhões endereços que são analisados para descobrir bots, cerca de 11 milhões de assinaturas e 5,5 milhões de websites infetados. Além disso, identifica milhões de tipos de malware todos os dias.