A Check Point Software Technologies divulgou o Índice Global de Ameaças para julho de 2024, revelando que o RansomHub permanece como o grupo de ransomware mais predominante a nível global.
Em paralelo, uma campanha de malware Remcos para Windows foi identificada, aproveitando uma recente falha numa atualização de software de segurança.
Em Portugal, o cenário de ameaças cibernéticas em julho manteve tendências semelhantes às globais, com o AgentTesla a ser o malware mais ativo no país, afetando principalmente o setor da Educação e Investigação.
Remcos aproveita falha de atualização de software
Uma falha numa atualização do sensor CrowdStrike Falcon para Windows permitiu que cibercriminosos lançassem uma campanha maliciosa que distribuía o malware Remcos.
O ataque começou com a disseminação de um ficheiro ZIP malicioso, denominado “crowdstrike-hotfix.zip”, que, uma vez aberto, desencadeava o HijackLoader, levando à ativação do Remcos.
Este malware foi o sétimo mais prevalente em julho de 2024 e a campanha associada teve como alvo empresas que utilizam instruções em espanhol, recorrendo ainda à criação de domínios falsos para ataques de phishing.
Paralelamente, o malware FakeUpdates manteve-se no topo da lista global de malwares, sendo identificado em várias campanhas que induziram utilizadores a instalar falsas atualizações de navegadores.
Estes ataques resultaram na instalação de Trojans de Acesso Remoto (RATs), como o AsyncRAT, que ocupou o nono lugar no índice da Check Point. Os cibercriminosos também começaram a explorar o BOINC, uma plataforma de computação voluntária, para obter controlo remoto sobre sistemas infetados.
Cenário de ameaças cibernéticas em portugal: AgentTesla lidera ameaças
Em Portugal, o AgentTesla foi identificado como o malware mais predominante durante o mês de julho de 2024, afetando 15,61% das organizações nacionais.
Este RAT avançado é capaz de monitorizar e registar a entrada de teclado, capturar ecrãs e exfiltrar credenciais de vários softwares instalados nos sistemas das vítimas, como navegadores e clientes de e-mail.
O setor da Educação e Investigação foi o mais afetado pelos ciberataques em Portugal, seguido pelos setores dos Cuidados de Saúde e das Telecomunicações.
Esta tendência reflete a situação global, onde a Educação e Investigação também liderou como o setor mais atacado, seguido pela Administração Pública e Defesa, e o setor das Telecomunicações, que entrou para o pódio global em julho.
Principais famílias de malware e vulnerabilidades exploradas
O relatório da Check Point destaca que, a nível global, o FakeUpdates continuou a ser o malware mais prevalente, com um impacto em 7% das organizações. Seguiram-se o Androxgh0st, com 5%, e o AgentTesla, com 3%. Estes malwares mantiveram as mesmas posições do mês anterior, refletindo uma estabilidade nas ameaças cibernéticas globais.
Em termos de vulnerabilidades, o mês de julho registou uma prevalência de explorações de injeção de comandos via HTTP e no Zyxel ZyWALL, ambas permitindo a execução de comandos arbitrários em sistemas afetados.
Essas vulnerabilidades continuam a ser amplamente exploradas por cibercriminosos, aumentando o risco para as organizações que não tenham aplicado as correções necessárias.
Panorama de ransomware: RansomHub e Lockbit3 em destaque
No que diz respeito aos grupos de ransomware, o RansomHub foi o mais ativo em julho de 2024, responsável por 11% dos ataques globais.
Este grupo utiliza uma operação de Ransomware-as-a-Service (RaaS) e ganhou notoriedade pelas suas campanhas agressivas que visam múltiplas plataformas, incluindo ambientes VMware ESXi.
O Lockbit3, outro grupo significativo, foi responsável por 8% dos ataques, mantendo-se como uma das principais ameaças globais. Já o Akira, com 6%, destacou-se pelo seu foco em sistemas Windows e Linux, utilizando técnicas de encriptação sofisticadas para exigir resgates.
Conclusão
O cenário de ameaças cibernéticas de julho de 2024 reforça a importância da segurança multicamadas e da constante atualização das defesas para proteger dados e sistemas contra ataques cada vez mais sofisticados.
A exploração de vulnerabilidades em atualizações de software e o uso de táticas inovadoras pelos cibercriminosos exigem atenção redobrada e investimentos em segurança por parte de organizações e indivíduos.
Em suma, a persistência e evolução destas ameaças cibernéticas sublinham a necessidade de estratégias de segurança robustas e multilayered para as organizações, com especial ênfase na proteção dos endpoints e na formação contínua dos utilizadores para mitigar os impactos de ataques cada vez mais complexos e generalizados.
Outros artigos interessantes:
