HP: Emotet é o malware mais detectado em 2022

A HP informou que a equipe de pesquisa da HP Wolf Security identificou, no primeiro trimestre de 2022, um aumento de 27% nas detecções de ameaças ofensivas de spam do Emotet, em comparação com o quarto trimestre de 2021 – quando a ameaça reapareceu.

O mais recente relatório global HP Wolf Security Threat Insights, que apresenta análises de ataques cibernéticos no mundo, mostra que o Emotet escalou 36 posições para se tornar a família de malware mais detectada neste trimestre (representando 9% de todos os malware capturados). Uma dessas investidas mirou organizações japonesas e envolveu o sequestro de e-mails para enganar os destinatários e fazê-los infectar seus PCs, tornando-se responsável por um aumento de 879% nas amostras de malware em .XLSM (Microsoft Excel) capturadas em relação ao trimestre anterior.

Por isolar ameaças que driblaram as ferramentas de detecção e chegaram aos endpoints dos usuários, a HP Wolf Security obteve informações específicas sobre as mais novas táticas usadas pelos criminosos cibernéticos. Entre os exemplos mais relevantes, estão:

Alternativas furtivas aos documentos maliciosos do Microsoft Office
Desde que a Microsoft começou a desabilitar as macros, a HP tem percebido um aumento em outros formatos que não os do Office, incluindo arquivos do Java Archive (+476%) e JavaScript (+42%), em comparação ao trimestre anterior. É mais difícil para as organizações se defenderem contra esses ataques, porque as taxas de detecção desses tipos de arquivo costumam ser baixas, aumentando as chances de infecção.

Há indícios de que o contrabando de HTML está em alta
O tamanho médio dos arquivos envolvidos em contrabando de HTML passou de 3KB para 12KB, sugerindo um aumento no uso desse tipo de ataque – técnica em que os criminosos inserem o malware diretamente em arquivos HTML para passar pelos gateways de e-mail e evitar a detecção, obtendo acesso e roubando informações financeiras importantes. Recentemente, foram identificadas ofensivas cujo alvo eram bancos latino-americanos e africanos.

Campanha de malware “dois em um” gera múltiplas infecções por RAT
Foi descoberto um script de Visual Basic que estava sendo usado para iniciar ataques cibernéticos em cadeia, ocasionando múltiplas infecções em um mesmo dispositivo e dando aos invasores acesso permanente aos sistemas das vítimas via VW0rm, NjRAT e AsyncRAT.

“Nossos dados do primeiro trimestre mostram que esta é, de longe, a maior atividade do Emotet desde que o grupo foi desmantelado, no início de 2021 – um sinal claro de que seus operadores estão se reagrupando, se restabelecendo e investindo para fazer o botnet crescer. O Emotet já foi descrito pela CISA (Agência de Cibersegurança dos EUA) como sendo um dos malware mais destrutivos e que custam mais para serem remediados, e os operadores desse grupo costumam colaborar com grupos de ransomware, um padrão que podemos esperar que continuará. Então, o ressurgimento do Emotet é uma má notícia tanto para empresas como para o setor público”, explica Alex Holland, analista sênior de malware da equipe de pesquisa de ameaças da HP Wolf Security na HP Inc. “O Emotet também seguiu favorecendo ataques habilitados por macros – talvez para conseguir fazer os vírus entrarem antes do prazo da Microsoft, que era abril, ou simplesmente porque as pessoas podem ser levadas a clicar no lugar errado.”

Os achados da pesquisa baseiam-se em dados de milhões de endpoints que rodam a HP Wolf Security. Com isso, a empresa rastreia malware ao abrir tarefas arriscadas em micromáquinas virtuais (micro-VMs) separadas, mitigando ameaças que tenham passado por outras ferramentas de segurança. Até o momento, clientes HP clicaram em mais de 18 bilhões de anexos de e-mail, páginas da web e downloads sem violações notificadas. Por isso, esses dados dão visões exclusivas de como os agentes de ameaças usam malware quando não estão sendo observados.

Outras descobertas importantes mostradas no relatório incluem:

9% das ameaças não haviam sido vistas antes de serem isoladas e 14% dos e-mails maliciosos isolados desviaram de, pelo menos, uma varredura no gateway do e-mail.

Em média, levou mais de três dias (79 horas) para esses malwares serem identificados pelo hash de outras ferramentas de segurança.

45% dos malware isolados pela HP Wolf Security estavam em formatos do Office.

As ameaças usaram 545 famílias de malware diferentes em suas tentativas de infectar organizações, com Emotet, AgentTesla e Nemucod,sendo as três mais usadas.

Um exploit do editor Microsoft Equation (CVE-2017-11882) representou 18% de todas as amostras maliciosas capturadas.

69% dos malware detectados foram entregues via e-mail, enquanto downloads da internet foram responsáveis por 18%.

Os anexos mais comumente usados para a entrega de malware foram planilhas (33%), executáveis e scripts (29%), arquivos (22%) e documentos (11%).

As iscas mais comuns de phishing foram transações comerciais, tais como “Order” (pedido), “Payment” (pagamento), “Purchase” (compra), “Request” (requisição) e “Invoice” (nota fiscal).

“Neste trimestre, vimos um aumento significativo de 27% no volume de ameaças capturadas pela HP Wolf Security. À medida que os cibercriminosos ajustam suas abordagens em reação às mudanças no cenário de TI, o volume e a variedade de ataques continuam crescendo, então fica mais difícil para as ferramentas convencionais detectarem esses ataques”, comenta o Dr. Ian Pratt, chefe global de Segurança de Sistemas Pessoais da HP. “Com o crescimento dos tipos de arquivo e técnicas sendo usados para impedir a detecção, as organizações precisam mudar a abordagem e tratar a segurança de endpoint em camadas. Aplicar o princípio do menor privilégio e isolar os vetores mais comuns de ameaças – e-mails, navegadores ou downloads – torna inócuos os arquivos maliciosos entregues por esses vetores. Isso reduz drasticamente a exposição das organizações ao risco de ameaças cibernéticas.”

A equipe da HP Wolf Security vai conversar sobre o relatório Threat Insights do primeiro trimestre de 2022 em um webinar informativo no dia 7 de junho, às 8h no horário do Pacífico (4h no horário de Brasília).

Sobre os dados
Estes dados foram coletados anonimamente em máquinas virtuais de clientes da HP Wolf Security no período de janeiro a março de 2022.

Sobre a HP Wolf Security
A HP Wolf Security é uma nova linhagem de segurança de endpoint. O portfólio da HP de segurança no nível do hardware e de serviços de segurança focados no endpoint é projetado para ajudar as organizações a proteger PCs, impressoras e pessoas dos predadores cibernéticos que os rondam. A HP Wolf Security proporciona proteção abrangente e resiliência de endpoint que começam no nível do hardware e se estendem a todos os software e serviços.

Serviço
www.hp.com