Relatório de ameaças da Avast destaca Log4j e ransomware

A Avast, provedora global em segurança digital e privacidade, divulgou nesta segunda-feira (31/1) seu relatório de ameaças do quarto trimestre de 2021, revelando uma exploração imediata da vulnerabilidade Log4j por mineradores de moedas, RATs, botnets, ransomware e APTs, colocando os departamentos do CISO sob pressão. Além disso, os pesquisadores de ameaças da Avast observaram o renascimento do botnet Emotet e um aumento de 40% nos mineradores de moedas, representando riscos para consumidores e empresas. As descobertas do quarto trimestre também mostram um aumento no adware, golpes de suporte técnico em desktops e golpes de assinatura e spyware em dispositivos Android, visando os consumidores. Ao mesmo tempo, a Avast viu menos atividade de ransomware e Trojan de Acesso Remoto (RAT).

“No final do ano, a vulnerabilidade Log4j, extremamente perigosa, onipresente e fácil de abusar, fez os departamentos do CISO suar, e com razão, pois foi armado por invasores que espalharam tudo, desde mineradores de moedas a bots e ransomware”, disse Jakub Kroustek, diretor de Pesquisa de Malware da Avast.

“Por outro lado, estamos felizes em relatar diminuições nos ataques de RAT, roubo de informações e ransomware. A atividade de RAT diminuiu graças aos feriados, com maus atores chegando a copiar o trojan de acesso remoto DcRat e renomeá-lo ‘SantaRat ‘. Observamos uma ligeira diminuição na atividade de roubo de informações, provavelmente devido a uma diminuição significativa nas infecções por meio do ladrão de senhas e informações Fareit, que caiu 61% em relação ao trimestre anterior”, observou Jakub Kroustek. “O estrago que o ransomware causou nos primeiros três trimestres de 2021 desencadeou uma cooperação coordenada de nações, agências governamentais e fornecedores de segurança para caçar autores e operadores de ransomware, e acreditamos que tudo isso resultou em uma diminuição significativa nos ataques de ransomware no quarto trimestre/2021. A taxa de risco de ransomware diminuiu impressionantes 28% em comparação com o terceiro trimestre de 2021. Esperamos ver uma continuação dessa tendência no primeiro trimestre de 2022, mas também estamos preparados para o contrário”,observou.

Grande ameaça

A vulnerabilidade Log4j, uma biblioteca de log Java, provou ser extremamente perigosa para as empresas devido à onipresença da biblioteca e à facilidade de exploração. Os pesquisadores da Avast observaram mineradores de moedas, RATs, bots, ransomware e grupos APT abusando da vulnerabilidade. Vários botnets abusaram da vulnerabilidade, incluindo o botnet Mirai. A maioria dos ataques de bots eram apenas sondas testando a vulnerabilidade, mas a Avast também notou várias tentativas de carregar código potencialmente malicioso. Por exemplo, alguns RATs foram espalhados usando a vulnerabilidade, sendo os mais prevalentes NanoCore, AsyncRat e Orcus. Um ransomware de baixa qualidade, chamado Khonsari, foi o primeiro ransomware que os pesquisadores viram explorando a vulnerabilidade.

Além de explorar a vulnerabilidade Log4j para espalhar RATs, os cibercriminosos exploraram a vulnerabilidade CVE-2021-40449, que foi usada para elevar permissões de processos maliciosos explorando o driver do kernel do Windows. Os invasores usaram essa vulnerabilidade para baixar e iniciar o MisarySnail RAT. Além disso, uma causa muito importante de altas detecções de NanoCore e AsyncRat foi causada por uma campanha maliciosa que abusava dos provedores de Nuvem Microsoft Azure e Amazon Web Service (AWS). Nesta campanha, os invasores de malware usaram o Azure e a AWS como servidores de download para suas cargas maliciosas para atacar empresas.

Além disso, os pesquisadores da Avast viram os maus atores por trás do Emotet reescrever várias de suas partes, revivendo suas máquinas e recuperando o mercado de botnets com a mais recente reencarnação do Emotet.

Outros golpes

A atividade de adware e rootkit para desktop aumentou no quarto trimestre de 2021. Os pesquisadores da Avast acreditam que essas tendências estão relacionadas ao rootkit Cerbu, que pode sequestrar as páginas iniciais do navegador e redirecionar os URLs do site de acordo com a configuração do rootkit. O Cerbu pode, portanto, ser facilmente implantado e configurado para adware, incomodando as vítimas com anúncios indesejados e capaz de adicionar um backdoor às máquinas das vítimas.

Enquanto o preço do Bitcoin aumentou no final de 2021, o número de mineradores de moedas que se espalharam aumentou 40%, geralmente por meio de páginas da Web infectadas e software pirata. O CoinHelper foi um dos mineradores de moedas predominantes muito ativos durante o quarto trimestre de 2021, visando principalmente usuários na Rússia e na Ucrânia. Coinminers abusam furtivamente do poder de computação de um usuário para minerar criptomoedas, o que pode causar altas contas de eletricidade e afetar a vida útil do hardware do usuário. Além disso, o CoinHelper coleta várias informações sobre suas vítimas, incluindo sua geolocalização, solução antivírus que eles instalaram e hardware que estão usando.

Os pesquisadores de ameaças da Avast também observaram um pico de golpes de suporte técnico, enganando o usuário a acreditar que eles têm um problema técnico e os enganando para ligar para uma linha direta onde serão enganados para pagar altas taxas de suporte ou conceder acesso remoto ao sistema.