Emotet e Trickbot voltam a atacar “em força” e estão na origem do aumento de incidentes com ransomware

 Por Francica Andrade em 06/11/2020 no site Sapotek

Adicionar legenda

 

De acordo com o mais recente Índice Global de Ameaças da Check Point Research, os tojans Trickbot e Emotet afirmam-se como os tipos de malware mais prevalentes e são responsáveis pelo aumento de ataques de ransomware que têm como “alvo” hospitais e serviços de saúde a nível global.

A Check Point Research explica que, em outubro, o número de ataques de ransomware contra organizações de saúde e hospitais registou um aumento de 36% na região EMEA (Europa, Oriente Médio e África).

A tendência verificou-se um pouco por todo o mundo, com a região APAC (Ásia-Pacífico) a registar um aumento de 33%. Os investigadores detalham que, nos Estados Unidos, o setor de saúde foi o mais atacado por ransomware, registando uma subida de 71% em relação ao mês anterior.

Em outubro, o Emotet, o trojan bancário que evoluiu de outros tipos de malware ou de campanhas maliciosas, liderou o Índice da Check Point, com um impacto de 14% nas organizações internacionais e de 36% nas nacionais.

Já o Trickbot, o trojan bancário que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, apresenta um impacto internacional e nacional na ordem dos 4%.

A fechar o top 3 está o Hiddad, um malware Android que reutiliza apps legítimas, lançando-as em lojas de terceiros. Os investigadores indicam que a principal função do software malicioso é a exibição de anúncios, mas pode também conceder acesso a detalhes da chave de segurança do sistema operativo. O malware registou um impacto internacional de 4% e nacional de 0,11%.

No que toca às ameaças que afetam o panorama nacional, destacam-se também o Dridex, com um impacto de 7%, e o Zloader, um malware bancário de roubo de informações com um impacto de 6% no conjunto de organizações portuguesas.

Os especialistas indicam que entre o top 3 de famílias de malware em dispositivos móveis conta com o xHelper e com o Lotoor. O primeiro é uma aplicação Android maliciosa usada para descarregar outras apps do género e exibir anúncios fraudulentos, sendo capaz de contornar os programas de antivírus e de se reinstalar caso o utilizador a apague. O segundo é uma ferramenta de ataque que explora vulnerabilidades em sistemas operativos Android com o objetivo de aceder a dispositivos móveis comprometidos.

A “MVPower DVR Remote Code Execution” é a vulnerabilidade mais frequentemente explorada, afetando 43% das organizações a nível internacional. Um atacante pode explorá-la remotamente para executar um código arbitrário no router afetado através de um pedido de solicitação de acesso.

Seguem-se a “Dasan GPON Router Authentication Bypass” e a “HTTP Headers Remote Code Execution (CVE-2020-13756)”, ambas responsáveis por um impacto mundial de 42%. A primeira permite que os atacantes consigam aceder a um sistema infetado e obter informação sensível. A segunda permite a passagem de informações adicionais com uma solicitação HTTP e, através dela, um atacante remoto pode correr qualquer código no dispositivo da vítima.

 

How Can I Help Remote Workers Secure Their Home Routers?

 Por John Bock em 11/02/20 no site The Edge (Darkreaging).

(Image: Oleksandr Delyk via Adobe Stock)

 

 Question: How can I help my remote workers secure their home routers?

John Bock, senior research scientist at Optiv Security: With so many organizations' employees working remotely due to the pandemic, what security teams can do to help secure their home routers/firewalls is getting renewed attention. Why should we view an employee's home router as any different than one at a coffee shop or hotel network? Well, for one, it's a more static and predictable location for an attacker, especially if we are including Wi-Fi access points, common to all-in-one gateway devices. These days, the home router also likely includes a home network with a variety of entertainment and home automation devices, all of which could have their own vulnerabilities.

Related Content: Firmware Flaw Allows Attackers to Evade Security on Some Home Routers Teach Your Employees Well: How to Spot Smishing & Vishing Scams How Can I Help My Users Spot Disinformation?

Most organizations will manage this situation with a focus on hardening the endpoint to operate in an assumed hostile environment, which aligns with modern best practices for host defense.

Without good public examples of extending enterprise vulnerability management down to the personal home network, the most direct route is with employee security education that focuses on basic home gateway maintenance and avoids advanced configuration topics. Our technical users are likely ahead of the curve when it comes to home security issues anyway, and it's the users who have never logged into their home routers who cause the most concern.

Here's a basic set of guidance to tell your users:

• Log in to your router, check for firmware updates, and upgrade if one is available. Set up a monthly task, maybe alongside bill paying, as a reminder to log in to see whether any new versions are available.
• Verify that "Remote Administration" or "Administration from WAN/Internet" are disabled. If enabled, they allow access to the management UI from the Internet.
• Review firewall settings for any open or proxied ports. If you're unsure of the origin of a particular entry, disable it.
• Check Wi-Fi network settings, if applicable, and verify you're using WPA3 Wi-Fi security standard – if your devices support it – or, at least, WPA2.
• Make sure your network password is complex and not related to the network name.
• Review your attached devices list for anything suspicious, and verify the identity of unknown hosts.

 

John Bock is senior research scientist at Optiv. Prior to this role, John was vice president of threat research, and before that he was the leader of Optiv's application security practice, which provided application pen testing and other software security services. With more ... View Full Bio