O Relatório de Ameaças do Terceiro Trimestre de 2021 da Avast, fornecedora de segurança digital e antivírus, aponta para o aumento do risco que pessoas e empresas estão enfrentando em serem atacados por ransomware e trojans de acesso remoto (RATs, na sigla em inglês). Os laboratórios de ameaças da Avast observaram que os cibercriminosos estão inovando, utilizando kits de exploração – que são os vírus de computador vendidos na dark web – para desenvolver novos ataques.
LEIA MAIS: Empresa de cibersegurança define 2021 como “o ano do ransomware”
Os RATs, por exemplo, podem ser usados para espionagem industrial, roubo de credenciais, perseguição e até ataques de negação de serviço distribuído (DDoS), que impedem que pessoas acessem um site, por exemplo. Os RATs se espalharam ainda mais no terceiro trimestre. A Avast identificou três novas variantes deste tipo de ameaça.
O FatalRAT, por exemplo, é um vírus que conta com recursos anti-VM (que não é detectado por sistemas virtuais) e da exploração da vulnerabilidade do Internet Explorer CVE-2021-26411. Também foi encontrada uma nova versão do Reverse RAT, uma “atualização 2.0”, que agora trabalha mais como um espião, capturando fotos com câmera web e roubando de arquivos, além de contar com recursos para escapar de antivírus.
“Os RATs podem ser uma ameaça fundamental aos negócios, pois podem ser usados para espionagem industrial”, diz Jakub Kroustek, diretor de Pesquisa de Malware da Avast. No entanto, ele também alerta que os RATs podem ser usados contra consumidores, por exemplo, para roubar as suas credenciais, transformar seus computadores em uma máquina para conduzir ataques DDoS e também espionar a vida de alguémalguém.
Outro problema bem conhecido do mercado de segurança é o ransomware, ataque que impede o acesso aos dados ou mesmo às máquinas onde os dados estão. No início do terceiro trimestre de 2021, o mundo testemunhou um ataque maciço à cadeia de suprimentos contra o provedor de software de gerenciamento de TI: Kaseya, e seus clientes, com o ransomware Sodinokibi/REvil.
Os laboratórios de ameaças da Avast identificaram e bloquearam este ataque em mais de 2,4 mil equipamentos. Após envolvimento político, os operadores de ransomware liberaram a chave de descriptografia e a infraestrutura Sodinokibi caiu, sem novas variantes vistas em circulação até 9 de setembro, quando a Avast detectou e bloqueou uma nova variante.
No geral, no terceiro trimestre deste ano, a Avast viu a taxa de risco de ataques de ransomware subir 5%, em relação ao segundo trimestre e até 22% em relação ao primeiro trimestre de 2021.
Os Laboratórios de Ameaças da Avast também registraram um crescimento significativo na atividade de rootkit (um software malicioso que consegue esconder vírus dentro dele) no final do terceiro trimestre, que foi um dos aumentos mais significativos na atividade no trimestre.
Outra categoria de malware que parece estar voltando são os kits de exploração (Exploit Kits), com notáveis inovações, incluindo o direcionamento de vulnerabilidades do Google Chrome. O kit de exploração mais ativo foi o PurpleFox, contra o qual a Avast protegeu, em média, mais de 6 mil usuários por dia.
Os laboratórios de ameaças da Avast também monitoraram novas táticas nos dispositivos móveis, como a mudança de abordagem do FluBot, uma ameaça bancária de SMS para Android. A empresa explica que, no começo, ele se espalhava fingindo ser um serviço de entrega para atrair as vítimas a baixar um “aplicativo de rastreamento” de uma mercadoria que elas teriam perdido recentemente ou deveriam estar esperando por sua entrega.
Já no terceiro trimestre, a Avast observou novos cenários na disseminação desse malware. Um exemplo, é o fato de se passar por gravadores de correio de voz. Outras, são as alegações falsas de fotos pessoais que teriam sido vazadas. A mais extrema dessas variantes atrairia até mesmo a vítima para uma página falsa, a qual alegaria que a vítima já teria sido infectada pelo FluBot, quando provavelmente ainda não estaria e as enganaria para que instalassem uma “cura” para a “infecção”. Essa “cura” seria, na verdade, o próprio malware FluBot.
O FluBot continuou se expandindo de onde, inicialmente, tinha como alvo a Europa no segundo trimestre – Espanha, Itália e Alemanha – para posteriormente se espalhar pelo resto da Europa e outros países, como Austrália e Nova Zelândia.