análise recente de pesquisadores da Kaspersky Lab indica que atores de ameaças estão distribuindo cada vez mais malwares multiuso, que podem ser implantados numa variedade de cenários de ataque.
Mais que 150 Famílias de malware analisadas
A equipe analisou mais de 150 famílias de malware juntamente com suas modificações em 60,000 botnets em todo o mundo. Os resultados mostram que a distribuição de ferramenta de acesso remoto multiuso (RATs) quase dobrou desde o início 2017 (de 6.5% no 2017 para 12.2% no 2018).
A Kaspersky Lab tem rastreado a atividade de botnets usando o Botnet Tracking, uma tecnologia que emula computadores infectados (bots) para recuperar dados operacionais sobre as ações dos operadores de botnet, o relatório esclarece.
Depois de analisar os arquivos baixados pelos bots, os pesquisadores conseguiram identificar as famílias mais difundidas. Deve-se notar que o topo da lista de downloads mais “populares” muda pouco ao longo do tempo.
RATs mais difundidos
Os RATs mais difundidos são njRAT, DarkComet, e Nanocore, todos descritos como ferramentas de malware que podem ser modificadas de acordo com as necessidades dos invasores. Isso também significa que as ferramentas de malware podem ser adaptadas para regiões específicas. Por exemplo, Descobriu-se que a njRAT tem centros de comando e controle em 99 países, simplesmente porque é extremamente fácil para os agentes de ameaças configurar uma porta dos fundos pessoal com base na ferramenta, sem a necessidade de conhecimento especial no desenvolvimento de malware.
No 2018, como no ano passado, o backdoor njRAT foi responsável por muitos downloads. Sua participação entre todos os arquivos baixados por bots aumentou de 3.7% para 5.2%, o que significa que mais do que 1 em cada 20 os arquivos baixados por bot são njRAT. Essa distribuição generalizada se deve à variedade de versões do malware e à facilidade de configurar seu próprio backdoor, criando um limite de entrada baixo.
Por exemplo, uma versão recente do malware njRAT é o njRAT Lime Edition. O que o torna único é o fato de que, mesmo em seus primeiros lançamentos, inclui quase todos os módulos contidos em ameaças avançadas. Os programadores por trás dele também postou o arquivo executável gratuitamente nos sites subterrâneas. A última versão é 0.7.8 lançado em dezembro, 2017.
Temos sido capazes de obter uma cópia da ameaça através das fontes perigosas. É interessante observar que a peça maliciosa estava sendo anunciada como uma ferramenta de hacking remoto de malware, ao mesmo tempo em que trazia o aviso "Apenas para uso educacional". A primeira versão pública monitorados pela comunidade (11/9/2017) é conhecido 0.7.6.
Quanto a Nanocore e DarkComet, eles têm centros de comando e controle em mais de 80 países.
Outra descoberta importante é que o número de peças de ransomware baixadas por botnets aumentou em comparação com 2017.
Apesar do declínio geral na distribuição de programas de ransomware, operadores de botnet continuam a entregá-los às vítimas, Notas da Kaspersky Lab. Seus dados mostram que a maioria dos ransomware em 2017 foram baixados pelo chamado Smoke Bot, mas em 2018 o downloader mais popular é Nitol.
Ano passado, o exploit EternalBlue implantado no surto de ransomware WannaCry também estava sendo usado para entregar o backdoor Nitol e o Gh0st RAT. Ambas as ameaças já existem há vários anos e foram mais uma vez incluídas em operações maliciosas, com a tendência continuando ao longo 2018.
GandCrab entra na cena do malware
O nefasto ransomware GandCrab entrou no topo 10 famílias mais baixadas em 2018. O ransomware foi detectado pela primeira vez este ano, e foi rapidamente adotado por vários operadores de botnet, o mais ativo entre eles é o botnet Trik.
Falando sobre o GandCrab… Seus criadores não dormem porque o ransomware foi detectado para infectar usuários através de novos métodos, como jogos e outros softwares crackeados.
O GandCrab ransowmare tem sido constantemente atualizado com cada vez mais melhorias em seus métodos de infecção e no próprio malware. O ransomware passou por várias versões internas e agora está oficialmente em seu 4.4 versão. Embora alguns recursos tenham sido removidos, outros foram adicionados, com a quarta versão usando apenas arquivos .exe de cracks para jogos ou software de licença para infectar usuários em todo o mundo.
Leia mais sobre Versão do GandCrab 4.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: