Ataques ao RDP cresceram 768% entre o primeiro e o último trimestre de 2020

Você deve concordar que 2020 foi um ano bem atípico em diversos sentidos. E como é bom escrever no “passado” sobre esse período, não é mesmo?

Como se realmente estivesse tentando demonstrar algo, a pandemia ganhou novo fôlego no último trimestre, trazendo as maiores ondas de infecções e novas determinações de quarentenas em todo o mundo. Em meio ao caos, a criação de vacinas trouxe a sensação de alívio coletivo ou, pelo menos, um vislumbre de esperança em algum lugar de um futuro não muito distante.

No ciberespaço também ocorreram grandes mudanças no fim do ano, quando as notícias do ataque à cadeia de suprimentos da SolarWinds se espalharam pelo setor. Com muitas vítimas de alto perfil, o incidente é um alerta gritante do possível alcance e impacto desses tipos de ataques, que também são extremamente difíceis de detectar e prevenir.

Embora não sejam tão terríveis quanto o caso que ocorreu com a SolarWinds, os ataques à cadeia de suprimentos estão se tornando uma tendência: apenas no quarto trimestre, a ESET descobriu o mesmo número de ataques à cadeia de suprimentos que todo o setor registrou anualmente há apenas alguns anos. Estimasse que o número de ataques desse tipo continue crescendo no futuro, principalmente tendo em conta quanto os cibercriminosos podem ganhar com esses incidentes.

No entanto, felizmente, os criadores de ameaças não são os únicos que estão na ofensiva. Em outubro de 2020, a ESET participou de uma campanha de interrupção global direcionada ao TrickBot, uma dos maiores e mais antigas botnets. Graças ao esforço conjunto de todos os que participaram dessa operação, o TrickBot sofreu um duro golpe com 94% de seus servidores derrubados em uma única semana.

Ataques ao RDP

Considerando que o teletrabalho se tornou o novo normal em muitos setores - uma das maiores mudanças trazidas pela pandemia - o enorme crescimento de 768% dos ataques ao RDP entre o primeiro e o último trimestre de 2020 não é nenhuma surpresa. À medida em que as estratégias de segurança no teletrabalho ganham mais investimento e atenção, espera-se que haja uma redução no crescimento desse tipo de ataque. De fato, vimos alguns sinais dessa redução no quarto trimestre do ano passado. Um dos motivos mais urgentes para ficar atento à segurança do RDP é o ransomware, comumente implantado por meio de exploits no RDP.

Ransomware

No quarto trimestre de 2020, os ultimatos feitos por grupos criminosos de ransomware foram mais agressivos do que nunca, com os cibercriminosos exigindo enormes valores como forma de resgate. E enquanto Maze, um pioneiro em combinar ataques de ransomware com a estratégia do doxing, deixou de funcionar no quarto trimestre, outros cibercriminosos adicionaram técnicas cada vez mais agressivas para aumentar a pressão sobre suas vítimas. Vendo os desenvolvimentos turbulentos na cena do ransomware ao longo de 2020, não há nada que sugira que esses ataques violentos não continuarão em 2021.

Malware bancário

O desenvolvimento do ransomware pode ter sido um fator importante no declínio do malware bancário - queda que só se intensificou no último trimestre do ano. O ransomware e outras atividades maliciosas são simplesmente mais lucrativas do que o malware bancário, e, no caso dessa última ameaça, os operadores devem lidar com o fortalecimento da segurança digital no setor bancário. No entanto, houve uma exceção a essa tendência: o malware bancário para Android registrou os mais altos níveis de detecção de 2020 no quarto trimestre, impulsionado pelo vazamento do código-fonte do trojan Cerberus.

No caso dos trojans bancários na América Latina, famílias de trojans que temos analisado em uma série de artigos e que demonstramos a cooperação que existe entre os operadores dos diferentes malwares bancários, as mesmas expandiram seu território e passaram a direcionar seus ataques aos Estados Unidos e a vários países europeus em 2020, bem como a América Latina.

Covid-19 é utilizada como isca em ataques de phishing

Com a pandemia criando um terreno fértil para todos os tipos de atividades maliciosas, era quase óbvio que os golpistas que realizam ataques através de e-mails não iriam ficar de fora. Nossa telemetria mostrou que a Covid-19 foi usada como isca em e-mails de phishing ao longo de 2020. Durante o último trimestre do ano também houve um aumento nos golpes que utilizaram as polêmicas em torno da criação das vacinas como isca, uma tendência que deve continuar em 2021.

No caso dos emails maliciosos, durante o último trimestre do ano os temas que mais observámos nos assuntos desses emails maliciosos estavam relacionados com: não pagamento de serviços, faturas ou confirmações de compras, entrega de encomendas, transferências de dinheiro e Covid -19. Por outro lado, vale destacar que em 2020, depois da China e do Vietnã, países de onde foram enviados mais da metade de todos os e-mails maliciosos, a Argentina e a Lituânia seguiram com 40%, enquanto o Brasil registrou um terço dos e-mails enviados.

Mineradores de criptomoedas

O valor do bitcoin disparou no fim de 2020 de forma semelhante ao “boom” das criptomoedas em 2017. Esse crescimento foi acompanhado por um ligeiro aumento nas detecções de mineradores de criptomoedas, o primeiro aumento desde outubro de 2018.

Em 2020, depois da Tailândia, dois países latino-americanos estavam entre os três países com a maior atividade global de mineradores de criptomoedas. Esses foram Peru (10%) e Equador (5%).

Se as criptomoedas continuarem crescendo, podemos esperar que o malware, o phishing e os golpes direcionados a criptomoedas se tornem cada vez mais comuns.

Pesquisas durante o último trimestre de 2020

O último trimestre de 2020 também foi caracterizado por revelar descobertas resultantes de pesquisas, com os pesquisadores da ESET descobrindo uma série de ataques à cadeia de suprimentos: um ataque do grupo Lazarus na Coreia do Sul, um ataque à cadeia de suprimentos na Mongólia chamado Operação StealthyTrident e o ataque à cadeia de suprimentos da Operação SignSight contra uma autoridade de certificação no Vietnã. Nossos pesquisadores também descobriram o Crutch (um backdoor do grupo Turla anteriormente não documentada) e XDSpy, um grupo APT que está operando disfarçado desde pelo menos 2011.

A ESET continua contribuindo ativamente para a base de conhecimento MITER ATT&CK, na qual cinco foram adicionadas cinco publicações da ESET na atualização de outubro. E, como sempre, os pesquisadores da ESET aproveitaram várias oportunidades para compartilhar suas experiências em diversas conferências virtuais durante o último trimestre de 2020, como a Black Hat Asia, a AVAR, a CODE BLUE e muitos outras.

O ESET Threat Report do quarto trimestre de 2020 proporciona não apenas uma visão geral do cenário de ameaças desse período, mas também comentários sobre as tendências mais observadas ao longo de 2020, bem como previsões para 2021 de especialistas em pesquisa e detecção de malware da ESET. Para aqueles especialmente interessados nas atualizações de pesquisa da ESET, o relatório também fornece informações não publicadas anteriormente sobre as operações de grupos APT, como Operação de In(ter)cepção, InvisiMole, PipeMon e muito mais.