A falha BlueKeep afeta cerca de 1 milhão de máquinas com acesso à internet pública, e um número ainda maior dentro das redes das organizações. Esta é uma vulnerabilidade crítica por não requerer interação por parte do utilizador para ser explorada. O RDP é um vetor de ataque estabelecido e bastante conhecido, que tem sido utilizado para instalar ransomware como é o caso do  Samsam e Dharma. A equipa de investigação da Check Point tem assistido a várias tentativas de scanning direcionadas à falha em questão provenientes de diferentes países a nível global, o que poderia constituir a fase de reconhecimento inicial de um ataque. Além disso, para os patches relevantes da Microsoft a Check Point disponibiliza proteção para a rede e contra endpoints para este tipo de ataque.

Maya Horowitz, Threat Intelligence e Research Director da Check Point afirma: “A maior ameaça a que assistimos no último mês é o Bluekeep. Mesmo não tendo assistido a nenhum ataque em que esteja a ser explorado, várias explorações de provas de conceito públicas têm sido desenvolvidas. Concordamos com a Microsoft e com outros observadores da indústria de cibersegurança em como o Bluekeep pode ser utilizado para lançar ciberataques numa escala semelhante ao que aconteceu em 2017 com as campanhas WannaCry e NotPetya. Um único computador que esteja vulnerável a esta falha poderá ser responsável pela infeção de uma rede inteira. Todos os computadores infetados com acesso à internet são passiveis de infetar qualquer outro dispositivo vulnerável no mundo inteiro – permitindo que o ataque se espalhe de forma exponencial e a um ritmo imparável. É crítico que as organizações se protejam a elas próprias – e aos outros – através da resolução desta falha urgentemente, antes que seja tarde demais”.

Outra notícia significativa sobre malware referente ao mês maio foi o anúncio feito pelos criadores do programa de afiliados GandCrab Ransomware-as-a-Service no último dia do mês, a dar conhecimento que iriam cessar operação e a pedir aos seus afiliados para parar de distribuir ransomware num período de 20 dias. A operação esteve ativa desde janeiro de 2018 e em apenas dois meses conseguiu afetar mais de 50,000 vítimas. Estima-se que o lucro obtido pelos seus criadores ronde os biliões de dólares. Presença assídua no Top 10 do Malware mais procurado, o Grandcrab foi frequentemente atualizado de forma a contornar as ferramentas de deteção.

O Top 3 dos “Mais Procurados” de Maio em Portugal

1. ↑ XMRig – O software mining CPU em open-source, usado para o processo de mineração da criptomoeda Monero, detetado pela primeira vez em Maio de 2017, registou um impacto de 9,68% a nível nacional.
2. ↑JavaScript – Um miner que pode ser incorporado em websites. Com JSEcoin é possível executar este miner diretamente no browser da vítima em troca de uma experiência sem publicidade, moeda de jogo entre outros incentivos.
3. ↓ Cryptoloot – É um malware de criptomineração que utiliza a energia e recursos existentes do CPU ou GPU para fazer mineração de criptomoedas adicionando transações para criar mais moedas. É um concorrente do Coinhive, tentando tirar-lhe quota de mercado ao pedir uma percentagem de resgate menor de receitas aos websites. Este teve um impacto nacional de 6,83%.

As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior.

Top Mobile Malware do Mundo durante o mês de maio de 2019

Este mês Lotoor é o malware mobile mais prevalecente, desde o dia 2 de abril. O Triada cai do 1º lugar para o 3º enquanto que Hiddad sobre do 3º para o 2º lugar do top.

1. ↑ Lotoor - Ferramenta de hacking que explora as vulnerabilidades dos sistemas operativos Android com o objetivo de ganhar privilégios de raíz em dispositivos móveis infetados.
2. ↑ Hiddad - Malware para Android que envolve as aplicações legítimas e depois lança-as numa loja de terceiros. A sua principal função é ativar publicidade, no entanto este malware também consegue aceder aos principais detalhes de segurança do Sistema Operativo, dando assim permissão ao atacante de obter informações sensíveis do utilizador.
3. ↓ Triada - É um Backdoor modular para Android que confere privilégios de super-utilizador para fazer download de malware e permite a sua incorporação nos processadores. O Triada já foi encontrado a fazer spoofing em URLs abertos nos browsers.

Top 3 das vulnerabilidades ‘Mais Exploradas’ em maio

Em maio assistimos ao regresso das tradicionais técnicas de ataque (provavelmente causadas pelo decréscimo na rentabilidade dos Criptominers), com técnicas de injeção de SQL a liderar o topo da lista de explorações de vulnerabilidades, com um impacto global de 49%. O Server Exposed Git Repository Information Disclosure e o OpenSSL TLS DTLS Heartbeat Information Disclosure ocupam o segundo e o terceiro lugar, impactando 44% e 41% das organizações a nível global, respetivamente. 

1. ↑ SQL Injection (several techniques) - Esta vulnerabilidade faz injeção de queries de SQL nos inputs vindos do cliente para a aplicação, enquanto explora a vulnerabilidade no software da aplicação.
2. ↑ Web Server Exposed Git Repository Information Disclosure - A divulgação da informação sobre uma vulnerabilidade foi reportada ao Git Repository. Uma exploração desta vulnerabilidade com sucesso consente a divulgação não intencional de informações confidenciais.
3. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) - Uma vulnerabilidade que divulga informações que se encontram no OpenSSL devido a um erro enquanto opera com os TLS/DTLS heartbeat packets. Um atacante pode utilizar esta vulnerabilidade para divulgar conteúdos que se encontram em memória num cliente conectado ou servidor.

O Índice de Impacto Global de Ameaças da Check Point e o ThreatCloud Map baseiam a sua informação no ThreatCloud^TM da Check Point, a maior rede colaborativa de luta contra o cibercrime, que oferece informação e tendências sobre ciberataques através de uma rede global de sensores de ameaças. A base de dados inclui mais de 250 milhões endereços que são analisados para descobrir bots, cerca de 11 milhões de assinaturas e 5,5 milhões de websites infetados. Além disso, identifica milhões de tipos de malware todos os dias.

Pode ver a lista completa das 10 principais famílias de maio no Blog da Check Point Security aqui sendo que o Threat Prevention Resources da Check Point está disponível aqui.