Ransomware duplicou durante a segunda metade de 2016, segundo a Check Point

31504
0
Share:

A Check Point publica o seu novo relatório “H2 2016 Global Threat Intelligence Threats”, que revela que o número de ataques de ransomware duplicou durante a segunda metade de 2016, passando de 5,5% para 10,5% de todos os ataques.

Este relatório revela as táticas que os cibercriminosos utilizam para atacar as empresas, e dá uma visão detalhada sobre o ecossistema das ameaças nas principais categorias de malware – ransomware, banca e móvel. Baseia-se nos dados de inteligência de ataques procedentes do Mapa Mundial de Ciberameaças Threat Cloud da Check Point recolhidos entre julho e dezembro de 2016.

Tendências chave

De acordo com os investigadores da Check Point, as linhas que se destacam são:

O monopólio no mercado de ransomware – Durante 2016, observaram-se milhares de novas variantes de ransomware. No entanto, nos últimos meses houve uma mudança no ecossistema, que está cada vez mais centralizado. Agora, o mercado é dominado por um pequeno número de famílias que atacam organizações de todos os tamanhos.

Os ataques DDoS através de dispositivos IoT – Em agosto de 2016, foi descoberta a botnet Mirai, a primeira a atacar internet das cosas (IoT), e que infetou objetos conectados como câmaras de vídeo (DVR) e de vigilância (CCTV). Transformou estes dispositivos em bots, e utilizou-os para por em marcha múltiplos ataques de denegação de serviço (DDoS) de grande magnitude. Agora é evidente que existem objetos IoT vulneráveis em quase todos os lares, e que os ataques DDoS massivos que os exploram irão persistir.

As novas extensões de ficheiros usados ​​nas campanhas de spam – O vetor de infeção mais frequente utilizado em campanhas maliciosas de spam  foi o uso de descarregadores baseados ​men Windows Script Engine (wscript). Os instaladores em JavaScript (JS) e VBScript (VBS) dominaram o campo do mal-spam, juntamente com uns formatos similares embora menos conhecidos, como JSE, FSM e VBE.

As famílias de ransomware mais utilizadas durante a segunda metade do ano

 A percentagem de ataques de ransomware entre todos os ataques reconhecidos globalmente quase duplicou na segunda metade de 2016. As variantes detetadas mais comuns foram:

Locky – 41% – o terceiro ransomware mais comum entre janeiro e junho, que aumentou de forma exponencial durante a segunda metade do ano.

Cryptowall – 27% – Ransomware que começou como um clone do Cryptolocker, mas que acabou por superá-lo. Depois da queda do seu predecessor, o Cryptowall tornou-se num dos ransomwares mais proeminentes até à data. É conhecido pelo seu uso da encriptação AES e por levar a cabo as suas comunicações C&C através da rede anónima Tor. Distribui-se amplamente através de kits de exploit, malvertising e campanhas de phishing.

Cerber – 23% – o maior ransomware-as-a-service do mundo. Segue um esquema de franchising, em que os seus criadores recrutam afiliados para que distribuam o malware a troca de uma percentagem dos lucros.

Top 3 do malware móvel

Hummingbade – 60% – Malware de Android descoberto pela primeira vez pela equipa de investigação da Check Point. Estabelece um rootkit persistente no dispositivo, instala aplicações fraudulentas e com ligeiras modificações que podem permitir atividades maliciosas adicionais, como instalar um key-logger, roubar credenciais e ignorar os contentores de encriptação de correio eletrónico utilizados pelas empresas.

Triada – 9% – Backdoor modular para Android que atribui privilégios de superutilizador ao malware descarregado, e ajuda-o a penetrar nos processos do sistema. O Triada também já foi visto a falsificar URLs carregados no browser.

Ztorg  – 7% – Trojan que utiliza privilégios de root para descarregar e instalar aplicações no telemóvel sem o conhecimento do utilizador.

Top 3 de malware bancário

 Zeus – 33% – Trojan que tem como objetivo as plataformas Windows. Muitas vezes é usado para roubar informação bancária através da captura dos cliques feitos pelo utilizador no browser e da captura de formulários.

Tinba – 21% – Trojan bancário que rouba as credenciais da vítima através de web-injects, e que se ativa quando os utilizadores tentam aceder ao website do seu banco.

Ramnit 16% – Trojan que extrai credenciais bancárias, passwords FTP, cookies de sessão e dados pessoais.

As estatísticas deste estudo baseiam-se em dados extraídos do Mapa Mundial de Ciberameaças da ThreatCloud. A ThreatCloud da Check Point é a maior rede colaborativa de combate ao cibercrime, e proporciona os dados de ataque mais atualizados e as tendências dos ciberataques através de uma rede global de sensores de ameaças. A base de dados da ThreatCloud identifica milhões de tipos de malware diariamente, e contém mais de 250 milhões de endereços analisados para a descoberta de bots, assim como mais de 11 milhões de assinaturas de malware e 5,5 milhões websites infetados.


Share:
Patricia Fonseca

Deixe o seu comentário