Cibercriminosos voltam a usar o botnet Phorpiex para disseminar ransomware

Em novo relatório, os pesquisadores de ameaça da Check Point Research (CPR), braço de Inteligência em Ameaças da Check Point Software Technologies, relataram um novo surto de infecções por meio do botnet Phorpiex. Cerca de 4% das organizações em todo o mundo foram afetadas, pouco mais de 8% só no Brasil, de acordo com o Índice Global de Ameaças referente ao mês de novembro de 2020.

Leia também: ‘Empresas estão duas gerações atrasadas em relação à cibersegurança’, alerta CEO da Check Point

A última vez em que o Phorpiex figurou na lista de top malware da Check Point foi em junho deste ano. O botnet Phorpiex foi relatado pela primeira vez em 2010 e, em seu auge, controlou mais de um milhão de hosts infectados. Conhecido por distribuir outras famílias de malware por meio de spam, bem como fomentar campanhas de spam de “sextortion” em grande escala e criptomineração, o Phorpiex distribuiu novamente o ransomware Avaddon, conforme relataram originalmente os pesquisadores da Check Point no início deste ano.

O Avaddon é uma variante de Ransomware-as-a-Service (RaaS) relativamente nova, e seus operadores têm novamente recrutado afiliados para distribuir o ransomware oferecendo uma parte dos lucros. O Avaddon foi distribuído por meio de arquivos JS e Excel como parte de campanhas de malspam e é capaz de criptografar uma ampla variedade de tipos de arquivos.

“O Phorpiex é um dos botnets mais antigos e persistentes, e tem sido usado por seus criadores por muitos anos para distribuir outras cargas de transmissão de malware, como GandCrab e ransomware Avaddon, ou para golpes de ‘sextortion’. Esta nova onda de infecções, que prossegue atualmente, está espalhando outra campanha de ransomware, o que mostra o quão eficaz é uma ferramenta Phorpiex”, diz Maya Horowitz, Diretora de Inteligência e Pesquisa de Ameaças e Produtos da Check Point.

“As organizações devem conscientizar e treinar os funcionários sobre como identificar possíveis malspam e ser cautelosos ao abrir anexos desconhecidos em e-mails, mesmo que pareçam vir de uma fonte confiável. Eles também devem garantir a implementação de segurança que os impeça ativamente de infectar suas redes”, complementa.

A equipe de pesquisa da CPR também alerta que a “HTTP Headers Remote Code Execution (CVE-2020-13756)” é a vulnerabilidade de execução remota de código explorada mais comum em novembro, afetando 54% das organizações globalmente, seguida por “MVPower DVR Remote Code Execution” impactando 48% das organizações em todo o mundo. Enquanto a vulnerabilidade “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” impactou 44% das organizações globalmente.

Malwares e vulnerabilidades

Em novembro, o Phorpiex foi o malware mais popular com um impacto global de 4% das organizações, seguido de perto pelo Dridex e Hiddad, os quais impactaram pouco mais de 3% das organizações em todo o mundo.

Quanto às principais vulnerabilidades identificadas no relatório, no mês de novembro, a “HTTP Headers Remote Code Execution (CVE-2020-13756)” foi a mais comum, afetando 54% das organizações globalmente. Na sequência, respectivamente, “MVPower DVR Remote Code Execution”, com impacto de 48%, e “Dasan GPON Router Authentication Bypass (CVE-2018-10561)”, que afetou 44% das organizações em todo o mundo.

Em novembro, o Hiddad continuou sendo o malware móvel mais prevalente, seguido por xHelper e Lotoor.

No Brasil, o principal malware em novembro também foi o botnet Phorpiex. O índice foi de 8,31% das organizações brasileiras impactadas.

Outro dado relevante no Brasil é o de que, nos últimos seis meses, 67% dos arquivos maliciosos no País foram distribuídos via e-mail, sendo que o arquivo .xls foi o tipo predominantemente adotado (30,9%) nos ataques.