Durante o período compreendido entre julho e dezembro de 2017, uma em cada cinco empresas foi vítima do criptojacking: ferramentas que permitem aos cibercriminosos apropriar-se da capacidade e dos recursos da sua CPU ou GPU para extrair criptomoedas, utilizando até 65% da capacidade do terminal do utilizador.

O relatório H2 2017 Global Threat Intelligence Trends proporciona uma visão geral detalhada sobre o panorama das ciberameaças nas principais categorias de malware - ransomware, malware bancário e malware móvel - e baseia-se em dados extraídos da inteligência da rede ThreatCloud da Check Point durante a segunda metade do ano de 2017.

Principais tendências de malware no segundo semestre de 2017

• Auge do criptojacking – Sendo os crypto-miners normalmente usados por indivíduos com o objetivo de minerar as suas próprias moedas, o crescente interesse público pelo dinheiro virtual veio abrandar o processo de mineração, que depende diretamente do número de proprietários destas moedas. Este abrandamento veio, por seu turno, provocar um aumento da potência computacional necessária para minerar crypto-moedas, o que fez com que os cibercriminosos criassem novas maneiras de reforçar a potência dos sistemas das suas incautas vítimas.
• Descida no número de exploit kits – Até há um ano atrás, os exploit kits eram um dos principais vetores de ataque em todo o mundo. No entanto, durante 2017, o seu uso decresceu de forma significativa, já que as plataformas que eram exploradas reforçaram a sua segurança. A rápida resposta às vulnerabilidades que foram sendo descobertas pelos fabricantes de segurança e pelos criadores de browsers, em conjunto com as atualizações automáticas das versões mais recentes, também vieram diminuir significativamente a vida útil de novos exploits.
• Aumento dos esquemas de burla e do malspam - Ao longo de 2017, a proporção entre as infeções baseadas em HTTP e SMTP mudou a favor do SMTP, dos 55% no primeiro semestre de 2017 para os 62% no segundo. O aumento da popularidade destes métodos de distribuição atraiu cibercriminosos especializados em ameaças que desenvolveram vários exploits de vulnerabilidades nos documentos, especialmente no Microsoft Office.
• O malware móvel aponta baterias às empresas - No último ano, fomos testemunhas de vários ataques dirigidos a empresas através de dispositivos móveis. Uma das formas de infeção é através do uso de smartphones como proxies, através do malware MilkyDoor, que rouba informações internas das redes empresariais. Outros cibercriminosos usam malware móvel como o Switcher por exemplo, que tenta atacar elementos da rede (como routers) para redirecionar o tráfego da rede para um servidor malicioso sob o controlo dos atacantes.

Maya Horowitz, diretora do grupo de inteligência de ameaças da Check Point, explica: "Na segunda metade de 2017 vimos os criptojackers assaltar as empresas e utilizadores de todo o mundo, passando a tornar-se no vetor de ataque favorito dos cibercriminosos para obter receitas ilícitas. Embora não se trate de um tipo de malware completamente novo, a crescente popularidade e o valor das criptomoedas levaram a um aumento significativo na sua distribuição. Além disso, verificámos que algumas tendências se mantiveram, como o ransomware, que já remonta a 2016 mas continua a liderar o mercado das ciberameaças, sendo utilizado tanto para ataques globais como dirigidos contra organizações específicas. Um quarto das infeções que vimos neste período exploravam vulnerabilidades descobertas há mais de uma década, e menos de 20% aproveitam-se de falhas na programação detetadas nos últimos dois últimos anos, pelo que é claro que ainda há muito a fazer até que as empresas estejam mesmo protegidas contra os cibercriminosos".

Top 3 malware do segundo semestre de 2017

1. Roughted (15,3%) – Fornecedor de malvertising à prova de bloqueadores de publicidade. É responsável por burlas, exploits e malware. Os cibercriminosos podem utilizá-lo para atacar qualquer tipo de plataforma e sistema operativo, e aproveita o facto de conseguir evitar os adblockers e os fingerprintings para lançar o melhor ataque possível.
2. Coinhive (8.3%) - Criptojacker desenhado para realizar mineração ilegal online da criptomoeda Monero sem o consentimento do utilizador que visita uma página web. Apareceu em setembro de 2017, mas já teve tempo de afetar 12% das empresas de todo o mundo.
3. Locky (7,9%) - Ransomware que se propaga principalmente através de emails de spam que contêm um instalador. Faz-se passar por um ficheiro anexo do Word ou Zip antes de instalar malware que encripta os ficheiros do utilizador.

Top Ransomware durante a segunda metade de 2017

1. Locky (30%) - Ransomware que se propaga principalmente através de emails de spam que contêm um instalador. Faz-se passar por um ficheiro anexo do Word ou Zip antes de instalar malware que encripta os ficheiros do utilizador.
2. Globeimposter (26%) – Distribui-se através de campanhas de spam, malvertising e exploit kits. Este ransomware agrega a extensão. crypt a cada ficheiro encriptado.
3. WannaCry (15%) - Ransomware que se propagou através de um ataque de grande escala em maio de 2017, utilizando um exploit do Windows SMB chamado EternalBlue, para se espalhar dentro das redes e entre elas.

Top Malware móvel na segunda metade de 2017

1. Hidad (55%) - Malware para Android que modifica aplicações e publica-as em lojas online de terceiros. É capaz de aceder aos principais detalhes de segurança incorporados no sistema operativo, o que permite a um atacante obter dados confidenciais do utilizador.
2. Triada (8%) - Backdoor modular para Android que se autoatribui privilégios de superutilizador para descarregar malware, e que o ajuda a integrar-se nos processos do sistema. Também falsifica URLs carregadas no browser.
3. Lotoor (8%) - Ferramenta de hacking que explora vulnerabilidades no sistema operativo Android para obter privilégios de root.

Top Malware bancário durante o segundo semestre de 2017

1. Ramnit (34%) – Trojan bancário que rouba credenciais bancárias, passwords FTP, cookies e dados pessoais.
2. Zeus (22%) – Trojan que afeta as plataformas do Windows e utiliza-as para roubar informação bancária através do registo das teclas premidas pela vítima e a captura de formulários preenchidos.
3. Tinba (16%) - Trojan bancário que rouba as credenciais da vítima usando web-inject. É ativado quando o utilizador tenta aceder ao seu banco online.

As estatísticas deste relatório baseiam-se em dados extraídos da rede de inteligência de ameaças Check Point ThreatCloud, a maior rede colaborativa que existe no combate ao cibercrime. A ThreatCloud fornece os dados de ataque mais atualizados e as tendências dos ciberataques através de uma rede global de sensores de ameaças. A sua base de dados identifica milhões de tipos de malware diariamente, e contém mais de 250 milhões de endereços analisados para a descoberta de bots, assim como mais de 11 milhões de assinaturas de malware e 5,5 milhões de websites infetados. Além disso, identifica milhões de variantes de malware todos os dias.

Para ler o relatório completo, clique aqui