Brasil, São Paulo, 10 de Agosto, 2022 — A Avast (LSE:AVST), líder global em segurança e privacidade digital, divulgou o seu Relatório de Ameaças do segundo trimestre de 2022, revelando um crescimento significativo nos ataques globais de ransomware, com aumento de 24% em relação ao primeiro trimestre de 2022. Os pesquisadores também descobriram uma nova exploração de dia zero no Chrome, bem como sinais de como os cibercriminosos estão se preparando para se afastar das macros como vetores de infecção.

Aumento dos ataques de ransomware

Após meses de declínio, os ataques globais de ransomware cresceram significativamente no segundo trimestre de 2022, um aumento de 24% em relação ao trimestre anterior. Os maiores aumentos trimestrais na taxa de risco de ransomware ocorreram na Argentina (+56%), Reino Unido (+55%), Brasil (+50%), França (+42%) e Índia (+37%).

“Os consumidores, mas especialmente as empresas, devem estar atentos e preparados ao encontrar ransomware, pois a ameaça não irá a lugar nenhum tão cedo”, explica Jakub Kroustek, Diretor de Pesquisa de Malware da Avast. “O declínio nos ataques de ransomware, que observamos no quarto trimestre de 2021 e no primeiro trimestre de 2022, foi graças às agências policiais que prenderam membros de grupos de ransomware e por causa da guerra na Ucrânia, que também levou a divergências dentro do grupo de ransomware Conti, interrompendo as suas operações. As coisas mudaram drasticamente no segundo trimestre de 2022. Os membros do Conti agora se ramificaram para criar novos grupos de ransomware, como Black Basta e Karakurt, ou podem se juntar a outros grupos existentes, como Hive, BlackCat ou Quantum, causando um aumento na atividade.”

Explorações de “dia zero”

Os pesquisadores da Avast descobriram duas novas explorações de dia zero usadas pelo fornecedor de spyware israelense Candiru, para atingir jornalistas no Líbano, entre outros. O primeiro foi um bug no WebRTC, que foi explorado para atacar os usuários do Google Chrome em ataques de watering hole altamente direcionados, mas também afetou muitos outros navegadores. Outra exploração permitiu que os cibercriminosos escapassem de uma sandbox em que chegaram, após explorarem o primeiro dia zero. O segundo dia zero, descoberto pela Avast, foi explorado para entrar no kernel do Windows.

Outro dia zero descrito no relatório é o Follina, um bug de execução remota de código no Microsoft Office, que foi amplamente explorado por invasores que vão desde cibercriminosos a grupos APT ligados à Rússia, que operam na Ucrânia. O dia zero também foi abusado pelo Gadolínio/APT40, um conhecido grupo chinês de APT, em um ataque contra alvos em Palau. 

Macros bloqueadas por padrão 

A Microsoft agora está bloqueando macros VBA por padrão, em aplicativos do Office. As macros têm sido um vetor de infecção popular, há décadas. Elas foram usadas em ameaças descritas no Relatório de Ameaças do segundo trimestre de 2022, incluindo trojans de acesso remoto como o Nerbian RAT, um novo RAT escrito em Go que surgiu no segundo trimestre de 2022 e pelo grupo Confucius APT, para lançar mais malware nos computadores das vítimas. 

“Já notamos que os agentes das ameaças começam a preparar vetores de infecção alternativos, agora que as macros estão sendo bloqueadas por padrão. Por exemplo, IcedID e Emotet já começaram a usar arquivos LNK, imagens ISO ou IMG e outros truques suportados na plataforma Windows, como alternativa aos maldocs para disseminar suas campanhas”, continuou Jakub Kroustek. “Embora os cibercriminosos certamente continuem encontrando outras maneiras de colocar seu malware nos computadores das pessoas, esperamos que a decisão da Microsoft ajude a tornar a Internet um lugar mais seguro.”

O Relatório de Ameaças da Avast completo do segundo semestre de 2022 pode ser encontrado aqui: https://decoded.avast.io/threatresearch/avast-q2-2022-threat-report/