Reportagem

S21sec: Ransomware e malware bancário são as grandes ameaças de 2021

A empresa de cibersegurança promoveu um webinar onde partilhou os resultados do Threat Landscape Report relativos ao primeiro semestre de 2021. O ransomware e o malware bancário surgem como as grandes tendências do ano e devem continuar a crescer.

O primeiro semestre de 2021 foi marcado pelo aumento do malware bancário, do malware para Android e pelo ransomware, revelou a S21sec no seu relatório Threat Landscape Report. Segundo Alba Villalba, analista de intelligence da empresa, «os cibercriminosos têm sido capazes de adaptar as suas técnicas para infectar o maior número possível de pessoas», razão pela qual tem havido «um aumento das campanhas de distribuição de malware bancário e através de SMS ou redes sociais» e «um crescimento do número de ataques e famílias de ransomware existentes».

Em relação ao malware bancário, são geralmente «programas maliciosos que monitorizam a actividade do utilizador infectado, esperando que este aceda ao site do banco e introduza alguns dados sensíveis que possam depois ser roubados». Nos primeiros meses do ano, estas ameaças tiveram foco nos países da América Latina e origem no Brasil como é caso do Vadokrist e do Janeleiro. Já o Bizarro, outro trojan de origem brasileira, afectou «mais de setenta entidades bancárias em todo o mundo, sobretudo em Portugal e Espanha» e usou «vários métodos e técnicas para evitar a sua detecção», explicou Alba Villalba. A responsável salientou que esta ameaça se disseminou sobretudo com ajuda de «campanhas massivas de spam, em que os emails têm um link para o download do malware com uma extensão MSI, dando a sensação de que é um pacote de instalação Windows».

Ransomware é a principal ameaça
O ano de 2020 foi marcado pela «proliferação de ataques de ransomware direcionandos às redes corporativas»; durante o primeiro semestre de 2021 a tendência tem «continuado a aumentar», esclareceu Alba Villalba. A analista disse que a S21sec espera que durante o segunda metade do ano, o número de ataques de ransomware «continue a aumentar» e que este tipo de malware se torne «mais sofisticado e tenha um maior impacto nas empresas».

Durante o período em análise, assistiu-se ao aparecimento de novos tipos de ransomware e ao desaparecimento de outros. De acordo com o relatório, o Conti foi o ransomware mais activo ,seguido pelo Avaddon e pelo eSodinokibi (REvil). Entre as novas famílias deste tipo de malware, o destaque vai para o Babuk, o Astroteam e o Xing Locker.

Os ataques de ransomware foram dirigidos principalmente a alvos localizados nos Estados Unidos (263), França (66) e Reino Unido (44). Os sectores mais afectados foram os dos serviços e das telecomunicações e tecnologia, com 282 e 115 ataques, respectivamente. Alba Villalba referiu ainda que a maioria, em termos de número, é feita contra pequenas e médias empresas.

Mobile é cada vez mais alvo de ataques
Outra das ameaças em crescimento, de acordo com o Threat Landscape Report, é o malware mobile, nomeadamente para o sistema operativo Android. Esta é, disse Alba Villalba, «uma tendência que tem vindo a registar-se nos últimos anos». Os cibercriminosos sabem que «a maioria dos utilizadores usa os seus dispositivos móveis para aceder ao banco, fazer compras online, comunicações, usar o e-mail, etc., e por isso, estes equipamentos tornaram-se alvos preferenciais», revelou.

A responsável referiu que, nos primeiros meses do ano, a equipa de Threat Intelligence identificou campanhas que usavam SMS para disseminar o trojan bancário Cabassous, também conhecido como FluBot, em que os cibercriminosos «se faziam passar por entidades ligadas à distribuição como os Correos [Espanha], DHL, Fedex, Seur ou UPS, entre outros». Este malware afectou, sobretudo, o País Vizinho, mas o seu impacto foi evoluindo e crescendo em diversos países europeus ao longo do semestre. Alba Villalba falou ainda do Anatsa, um trojan bancário distribuído através de sites fraudulentos como uma actualização falsa do media player TeaTV e do Brata – esta ameaça foi detectada na Play Store da Google. Depois de instalada, dá acesso ao menu ‘Acessibilidade’ e a tudo o que o utilizador fizer no smartphone, dando aos hackers informação sobre passwords, usernames e PIN.

Quase dez mil vulnerabilidades descobertas
Alba Villalba disse que foram descobertas 9430 vulnerabilidades durante o primeiro semestre de 2021, o que, segundo a empresa, são condições e/ou características do sistema de uma organização que o tornam susceptível a ameaças. Dessas, 1171 foram consideradas pela S21sec como críticas; 1039 eram referentes ao sistema operativo Windows, 823 ao Windows Server e 160 ao macOS. No que se refere ao mobile, foram descobertas 326 vulnerabilidades no Android e 94 no iOS.

A responsável da S21sec mencionou ainda os diversas falhas de segurança que originaram o acesso a milhões de dados de utilizadores no primeiro semestre de 2021 e destacou o ataque ao Banco Central da Nova Zelândia (Janeiro), à Emisoft (Fevereiro), à SITA, um empresa de TI especializada em aviação (Março), à PhoneHouse Espanha (Abril), à companhia de seguros Guard.me (Maio) e à Volkswagen (Junho) – esta último afectou mais de 3,3 milhões de clientes da fabricante automóvel.

Um início de ano com algumas vitórias
Apesar deste cenário, a S21sec lembrou que nem tudo são más notícias: no primeiro semestre de 2021, algumas redes de cibercriminosos foram desmanteladas ou decidiram terminar a sua acção. Foi o caso do botnet Emotet (apareceu em 2014 como um trojan bancário), travado pela Europool e pela polícia holandesa. As autoridades apreenderam vários servidores com bases de dados com, pelo menos, seiscentos mil endereços de e-mail, nomes de utilizador e passwords e backup do malware. No total, foram identificados endereços IP de aproximadamente 1,6 milhões computadores em todo o mundo que alegadamente foram infectados, entre 1 de Abril de 2020 e 17 de Janeiro de 2021, com o Emotet.

«O cenário da cibersegurança está a mudar e o ransomware não é operado por máquinas, ao contrário do que se possa pensar: é maioritariamente feito por pessoas que, por vezes, decidem parar durante alguns meses ou anos, terminar a operação ou mudar o modelo e a forma como exploram as vulnerabilidades e ter outras abordagens», explicou Alba Villalba. Foi isto que aconteceu com o Avaddon, que procedeu ao encerramento das suas operações e disponibilizou um ficheiro com 2934 chaves de desencriptação, em que cada chave correspondia a uma vítima. «Uma boa notícia para todos», afirmou a analista da S21sec.

Business-IT