Este relatório revela as táticas que os cibercriminosos utilizam para atacar as empresas, e dá uma visão detalhada sobre o ecossistema das ameaças nas principais categorias de malware – ransomware, banca e móvel. Baseia-se nos dados de inteligência de ataques procedentes do Mapa Mundial de Ciberameaças Threat Cloud da Check Point recolhidos entre julho e dezembro de 2016.

 

Tendências chave

 

De acordo com os investigadores da Check Point, as linhas que se destacam são:

 

• O monopólio no mercado de ransomware – Durante 2016, observaram-se milhares de novas variantes de ransomware. No entanto, nos últimos meses houve uma mudança no ecossistema, que está cada vez mais centralizado. Agora, o mercado é dominado por um pequeno número de famílias que atacam organizações de todos os tamanhos.

• Os ataques DDoS através de dispositivos IoT - Em agosto de 2016, foi descoberta a botnet Mirai, a primeira a atacar internet das cosas (IoT), e que infetou objetos conectados como câmaras de vídeo (DVR) e de vigilância (CCTV). Transformou estes dispositivos em bots, e utilizou-os para por em marcha múltiplos ataques de denegação de serviço (DDoS) de grande magnitude. Agora é evidente que existem objetos IoT vulneráveis em quase todos os lares, e que os ataques DDoS massivos que os exploram irão persistir.

• As novas extensões de ficheiros usados ​​nas campanhas de spam - O vetor de infeção mais frequente utilizado em campanhas maliciosas de spam  foi o uso de descarregadores baseados ​men Windows Script Engine (wscript). Os instaladores em JavaScript (JS) e VBScript (VBS) dominaram o campo do mal-spam, juntamente com uns formatos similares embora menos conhecidos, como JSE, FSM e VBE.

 

  

As famílias de ransomware mais utilizadas durante a segunda metade do ano

 

A percentagem de ataques de ransomware entre todos os ataques reconhecidos globalmente quase duplicou na segunda metade de 2016. As variantes detetadas mais comuns foram:

 

1. Locky - 41% - o terceiro ransomware mais comum entre janeiro e junho, que aumentou de forma exponencial durante a segunda metade do ano.
2. Cryptowall - 27% - Ransomware que começou como um clone do Cryptolocker, mas que acabou por superá-lo. Depois da queda do seu predecessor, o Cryptowall tornou-se num dos ransomwares mais proeminentes até à data. É conhecido pelo seu uso da encriptação AES e por levar a cabo as suas comunicações C&C através da rede anónima Tor. Distribui-se amplamente através de kits de exploit, malvertising e campanhas de phishing.
3. Cerber - 23% - o maior ransomware-as-a-service do mundo. Segue um esquema de franchising, em que os seus criadores recrutam afiliados para que distribuam o malware a troca de uma percentagem dos lucros.

 

Top 3 do malware móvel

 

1. Hummingbade - 60% - Malware de Android descoberto pela primeira vez pela equipa de investigação da Check Point. Estabelece um rootkit persistente no dispositivo, instala aplicações fraudulentas e com ligeiras modificações que podem permitir atividades maliciosas adicionais, como instalar um key-logger, roubar credenciais e ignorar os contentores de encriptação de correio eletrónico utilizados pelas empresas.
2. Triada - 9% - Backdoor modular para Android que atribui privilégios de superutilizador ao malware descarregado, e ajuda-o a penetrar nos processos do sistema. O Triada também já foi visto a falsificar URLs carregados no browser.
3. Ztorg  - 7% - Trojan que utiliza privilégios de root para descarregar e instalar aplicações no telemóvel sem o conhecimento do utilizador.

 

Top 3 de malware bancário

 

1. Zeus - 33% - Trojan que tem como objetivo as plataformas Windows. Muitas vezes é usado para roubar informação bancária através da captura dos cliques feitos pelo utilizador no browser e da captura de formulários.
2. Tinba - 21% - Trojan bancário que rouba as credenciais da vítima através de web-injects, e que se ativa quando os utilizadores tentam aceder ao website do seu banco.
3. Ramnit 16% - Trojan que extrai credenciais bancárias, passwords FTP, cookies de sessão e dados pessoais.

 

Maya Horowitz, diretora do Grupo de Inteligência de Ameaças da Check Point explica: “O relatório demonstra a natureza do ciber-panorama de hoje em dia, com o ransomware a crescer rapidamente. E isto acontece por funciona e gera importantes receitas aos ciberatacantes. As organizações estão a lutar para contrariar eficazmente este tipo de ofensivas”.

 

“Além disso, os nossos dados demonstram que um pequeno número de famílias são responsáveis pela maioria dos ataques, enquanto outros milhares de famílias de malware são quase invisíveis”, prossegue Horowitz.

 

As estatísticas deste estudo baseiam-se em dados extraídos do Mapa Mundial de Ciberameaças da ThreatCloud. A ThreatCloud da Check Point é a maior rede colaborativa de combate ao cibercrime, e proporciona os dados de ataque mais atualizados e as tendências dos ciberataques através de uma rede global de sensores de ameaças. A base de dados da ThreatCloud identifica milhões de tipos de malware diariamente, e contém mais de 250 milhões de endereços analisados para a descoberta de bots, assim como mais de 11 milhões de assinaturas de malware e 5,5 milhões websites infetados.