Ataques de ransomware duplicaram em 2016

O ransomware foi identificado como um dos ciberataques que mais tem proliferado nos últimos tempos e, apenas em 2016, a sua influência cresceu de 5,5% para 10,5% entre todos os ataques

Ataques de ransomware duplicaram em 2016

O “H2 2016 Global Threat Intelligence Trends Report” da Check Point, identifica as táticas que os cibercriminosos utilizam para atacar as empresas, e dá uma visão detalhada sobre o ecossistema das ameaças nas principais categorias de malware – ransomware, banca e móvel. O relatório tem por base os dados de inteligência de ataques procedentes do Mapa Mundial de Ciberameaças Threat Cloud da Check Point recolhidos entre julho e dezembro de 2016.

Deste modo, o relatório revela que durante 2016 foram observados milhares de novas variantes de ransomware. No entanto, nos últimos meses houve uma mudança no ecossistema, que está cada vez mais centralizado. Agora, o mercado é dominado por um pequeno número de famílias que atacam organizações de todos os tamanhos. Os ataques DDoS também se mantiveram ativos em 2016, mas a acompanharem a evolução do mercado e a focarem o alvo na IoT. Em agosto de 2016, inclusivamente, foi descoberta a botnet Mirai, a primeira a atacar a IoT, e que infetou objetos conetados como câmaras de vídeo (DVR) e de vigilância (CCTV). Transformou estes dispositivos em bots, e utilizou-os para colocar em marcha múltiplos ataques de DDoS de grande magnitude.

Durante o ano passado, o vetor de infeção mais frequente utilizado em campanhas maliciosas de spam  foi o uso de descarregadores baseados ​em Windows Script Engine (wscript). Os instaladores em JavaScript (JS) e VBScript (VBS) dominaram o campo do mal-spam, juntamente com uns formatos similares embora menos conhecidos, como JSE, FSM e VBE.

A nível das principais famílias de ransomware destacou-se o Locky, responsável por 41% das infeções por ransomware. Este foi o terceiro ransomware mais comum entre janeiro e junho, que aumentou de forma exponencial durante a segunda metade do ano. O segundo tipo de ransomware mais expressivo foi o Cryptowall (27%). Este ataque começou como um clone do Cryptolocker, mas acabou por superá-lo. Depois da queda do seu predecessor, o Cryptowall tornou-se num dos ransomwares mais proeminentes até à data. É conhecido pelo seu uso da encriptação AES e por levar a cabo as suas comunicações C&C através da rede anónima Tor. Distribui-se amplamente através de kits de exploit, malvertising e campanhas de phishing.

O Cerber (23%) completa o pódio das principais famílias de malware que atacaram em 2016. Este foi já considerado o maior ransomware-as-a-service do mundo: segue um esquema de franchising, em que os seus criadores recrutam afiliados para que distribuam o malware a troca de uma percentagem dos lucros.

A nível do malware móvel, a Check Point identificou o Hummingbade como o mais persistente. Este malware para Android foi responsável por 60% das contaminações e opera através do estabelecimento de um rootkit persistente no dispositivo, que instala aplicações fraudulentas e com ligeiras modificações que podem permitir atividades maliciosas adicionais, como instalar um key-logger, roubar credenciais e ignorar os contentores de encriptação de e-mail utilizados pelas empresas.

Logo de seguida encontra-se o Triada (9%), uma backdoor modular para Android que atribui privilégios de superutilizador ao malware descarregado, e ajuda-o a penetrar nos processos do sistema; e o Ztorg (7%), um trojan que utiliza privilégios de root para descarregar e instalar aplicações no telemóvel sem o conhecimento do utilizador.

O malware bancário também se destacou durante o ano passado e, de acordo com a Check Point, o mais influente foi o Zeus, que figurou 33% dos ataques realizados em 2016. O Zeus é um trojan cujo objetivo é infetar  plataformas Windows. Muitas vezes é usado para roubar informação bancária através da captura dos cliques feitos pelo utilizador no browser e da captura de formulários. A nível de malware bancário, o Tinba, um trojan que rouba as credenciais da vítima através de web-injects, e que se ativa quando os utilizadores tentam aceder ao website do seu banco, foi o segundo mais persistente (21%); seguido do Ramnit (16%), trojan que extrai credenciais bancárias, passwords FTP, cookies de sessão e dados pessoais.

Maya Horowitz, diretora do Grupo de Inteligência de Ameaças da Check Point explica: “O relatório demonstra a natureza do ciber-panorama de hoje em dia, com o ransomware a crescer rapidamente. E isto acontece por funciona e gera importantes receitas aos ciberatacantes. As organizações estão a lutar para contrariar eficazmente este tipo de ofensivas”.

“Além disso, os nossos dados demonstram que um pequeno número de famílias são responsáveis pela maioria dos ataques, enquanto outros milhares de famílias de malware são quase invisíveis”, prossegue a responsável.

Tags

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 7 Maio 2017

IT INSIGHT Nº 7 Maio 2017

NEWSLETTER

Receba todas as novidades na sua caixa de correio!