A McAfee mapeou as tendências de malwares, ransomwares e outras ameaças no terceiro trimestre de 2017 e identificou que o mercado atingiu a marca histórica de 57,6 milhões de novas amostras de malwares, quatro novas amostras por segundo, apresentando desenvolvimentos, como o novo malware sem arquivo (fileless) que utiliza macros maliciosos, uma nova versão do ransomware Locky chamada de Lukitus e novas variações dos cavalos de Troia Trickbot e Emotet.
“O terceiro trimestre revelou que o modelo de ameaças dos atacantes continua a se beneficiar dos recursos dinâmicos e inofensivos das tecnologias de plataformas como o PowerShell, uma imprudência estável por parte de vítimas individuais de phishing, e o que parece ser um fracasso igualmente estável das organizações para corrigir vulnerabilidades conhecidas com atualizações de segurança disponíveis”, afirma Raj Samani, Cientista Chefe da McAfee.
No terceiro trimestre de 2017, os criminosos cibernéticos continuaram a aproveitar as vulnerabilidades do Microsoft Office, como o CVE-2017-0199, que aproveitou uma vulnerabilidade no Microsoft Office e no WordPad para permitir a execução remota de código através de arquivos especialmente elaborados. Para executar este ataque, muitos aproveitaram uma ferramenta disponível através do GitHub, que oferece uma rota fácil para criar um ataque de backdoor sem configuração complexa.
Novas variações do cavalo de Troia bancário Trickbot com código que incluía o exploit EternalBlue responsável pelos surtos dos ransomwares WannaCry e NotPetya no segundo trimestre. Apesar dos esforços contínuos da Microsoft para conter o EternalBlue com patches de segurança, os autores do novo Trickbot ainda possuem a técnica comprovada para serem efetivos. Eles combinaram isso com novos recursos, como roubo de criptomoeda e novos métodos de entrega, e tornaram essas novas versões do Trickbot os cavalos de Troia bancários mais ativos no terceiro trimestre.
“Uma vez que as vulnerabilidades são descobertas e divulgadas, elas são como um modelo para as partes maliciosas que procuram desenvolver ameaças sofisticadas que possam explorar essas vulnerabilidades”, disse Steve Grobman, Diretor de Tecnologia da McAfee.
“O ano de 2017 será lembrado como o momento em que essas vulnerabilidades foram exploradas para orquestrar eventos cibernéticos de larga escala, incluindo os surtos dos ransomwares WannaCry e NotPetya, e quebra de sigilo de alto nível, como na Equifax. Somente investindo mais na descoberta e na correção de vulnerabilidades cibernéticas, os fornecedores de tecnologia, governos e empresas poderão estar um passo à frente dos criminosos cibernéticos que trabalham intensamente para descobrir e tirar proveito delas”.
As ameaças sem arquivo continuaram a ser uma preocupação crescente no terceiro trimestre, com o crescimento de 119% do malware do PowerShell. Muito proeminente nesta categoria foi o cavalo de Troia bancário Emotet, que se espalhou pelo mundo através de grandes campanhas de spam e atraiu usuários para baixar documentos do Microsoft Word. Este ato ativa inadvertidamente uma macro do PowerShell que baixa e instala o malware nos sistemas.
“Embora muitos ataques cibernéticos continuem dependendo da exploração de vulnerabilidades básicas de segurança, exposições e comportamentos de usuários, as ameaças sem arquivo utilizam os recursos do nosso próprio sistema”, afirma Vincent Weafer, Vice-Presidente do McAfee Labs. “Ao utilizar aplicativos confiáveis ou obter acesso a ferramentas operacionais do sistema nativo, como o PowerShell ou o JavaScript, os invasores avançaram o desenvolvimento para assumir o controle de computadores sem baixar arquivos executáveis, pelo menos nos estágios iniciais do ataque”.
Um dos principais desenvolvimentos no espaço do ransomware foi o surgimento de Lukitus, uma nova versão do ransomware Locky. O ransomware foi distribuído por mais de 23 milhões de e-mails de spam dentro das primeiras 24 horas do ataque. No geral, as novas amostras de ransomware aumentaram 36%. O número total de amostras de ransomware cresceu 44% nos últimos quatro trimestres para 12,3 milhões de amostras.
A equipe de pesquisa de ameaças avançadas da McAfee descobriu que DragonFly 2.0, o malware descoberto no início de 2017 no setor de energia, visou organizações além das descobertas originais, incluindo os setores farmacêuticos, de serviços financeiros e contábeis. Esses ataques foram iniciados através de e-mails de phishing, atraindo destinatários para clicar em links que baixam o cavalo de Troia e fornecem aos invasores o acesso à rede.
“Os agentes envolvidos nos ataques do DragonFly 2.0 têm a reputação de iniciar ataques para realizar reconhecimento do funcionamento interno de setores específicos, com os setores de energia e farmacêutico confirmados como principais prioridades”, disse Christiaan Beek, cientista líder e Engenheiro Principal da McAfee. “A propriedade intelectual e as informações privilegiadas que eles obtêm ao ter acesso a setores específicos são de enorme valor econômico”.
Incidentes de Segurança. O McAfee Labs contou 263 incidentes de segurança divulgados publicamente no terceiro trimestre, uma redução de 15% em relação ao segundo trimestre. Mais de 60% de todos os incidentes de segurança divulgados publicamente no terceiro trimestre aconteceram no continente americano.
Alvos do setor vertical. A saúde e os setores públicos representaram mais de 40% do total de incidentes no terceiro trimestre.
Vetores de ataque. O sequestro de contas conduziu os vetores de ataque divulgados, seguido por vazamentos, malware, DDoS e ataques direcionados.
Malware móvel. O malware móvel total continuou a crescer, atingindo 21,1 milhões de amostras. Novos malwares móveis aumentaram 60% em relação ao segundo trimestre, em grande parte devido a um aumento rápido no ransomware que bloqueia a tela de dispositivos com o sistema operacional Android.
Malware em geral. As novas amostras de malware aumentaram no terceiro trimestre para 57,5 milhões, um aumento de 10%. O número total de amostras de malware cresceu 27% nos últimos quatro trimestres para quase 781 milhões de amostras.
Malware sem arquivo. Enquanto o crescimento do malware do JavaScript desacelerou 26% no terceiro trimestre, o malware do PowerShell mais do que duplicou com 119%.
Ransomware. As novas amostras de ransomware aumentaram 36% no terceiro trimestre. O número total de novas amostras de ransomware cresceu 14% no último trimestre para 12,2 milhões de amostras.
Malware de Mac. As amostras de malware do sistema operacional Mac aumentaram 7% no terceiro trimestre.
Malware de macro. O malware de macro total continuou a crescer, aumentando 8% no terceiro trimestre.
Campanhas de spam. O botnet Gamut continua a ser o botnet de spam mais predominante durante o terceiro trimestre, com o botnet Necurs não muito atrás. O Necurs proliferou várias campanhas do ransomware Ykcol (Locky) durante todo o trimestre com temas como “Status da Fatura”, “Seu Pagamento” e “E-mail: [Números Aleatórios] JPG”.
