Reading Time: 2 minutes

O Webroot destaca os principais ataques informáticos de 2018 na sua recente lista de malware e que apresenta os malware e as cargas de ataque mais prejudiciais para organizações e consumidores.

 

Botnets e Trojan Bankers

Emotet foi a botnet mais perigosa em 2019 e é baseada em trojan bankers. Aspira a aumentar o número de bots da rede, concentrando-se sobretudo na recolha de dados pessoais e credenciais. Os agentes de ameaças desenvolveram recentemente um módulo plug and play universal (UPnP) que permite que a Emotet transforme os routers das vítimas em potenciais nós de proxy para a sua infra-estrutura de comando e controlo (C2).

O Trickbot segue um plano de ataque semelhante, mas contém módulos adicionais (e atualizados com mais frequência). Foi visto como droper de ransomware. Imagine que todos os ficheiros das máquinas da sua rede são cifrados pelo ransomware de uma só vez!

O Zeus Panda tem uma funcionalidade semelhante ao Trickbot, mas possui métodos de distribuição mais interessantes, incluindo documentos do Word com macro, exploit kits e até mesmo serviços de gestão e monitorização remotos embutidos.

 

Cryptomining e cryptojacking

O método de distribuição do GhostMiner é a parte mais assustadora para as vítimas, porque elas não conhecem o seu ponto de entrada. O GhostMiner tem sido distribuído através de um exploit no Oracle WebLogic (CVE-2018-2628).

A técnica de persistência de Windows management instrumentation (WMI) do WannaMine é extremamente preocupante, e permite que ela permaneça sigilosa e difícil de localizar e remover.

Já o Coinhive, inicialmente inocente, foi rapidamente adicionado ao toolkit padrão dos criminosos que comprometem websites. Até mesmo proprietários de websites legítimos estão a utilizar o Coinhive sem saber o impacto que isso terá nos seus visitantes. Se o poder de processamento do computador (CPU) atingir 100% ao aceder a um website, pode ser Coinhive.

 

Ransomware

Crysis / Dharma anda de mãos dadas com o termo “RDP comprometido”. Este ransomware tem evoluído para permanecer uma das principais ameaças do mundo do ransomware como serviço (RaaS) e tem como alvo específico o vetor RDP. Os administradores de sistema retornam consistentemente ao trabalho após um fim de semana para encontrar uma ou mais das suas máquinas cifradas, geralmente sem conhecer a fonte.

O GandCrab é mais um RaaS. É especialmente destrutivo, pois é distribuído através de campanhas de spam, exploit kits e RDP. Outro facto interessante é que ele usa o TLD .bit (domínio de primeiro nível), não sancionado pela ICANN, fornecendo um nível adicional de sigilo.

O SamSam, inicialmente distribuído através de uma prova de conceito do JBoss, começou também a ser explorado via RDP e agora está a derrubar grandes infraestruturas (ou partes delas pelo menos).