Skip links

Ameaça cibernética ativa – Emotet e Trickbot

Emotet e Trickbot são dois malwares comumente envolvidos em atividades maliciosas na internet. Essas ameaças têm sido utilizadas conjuntamente e representam preocupação para organizações em todo o mundo.

O Emotet é um malware originalmente desenvolvido como um trojan bancário. O objetivo era exfiltrar dados, como senhas e login. O Emotet é conhecido por sua capacidade de instalação furtiva, não sendo detectado por antivírus básicos. O Emotet se espalha como um worm e busca comprometer outros dispositivos da rede. O principal vetor para o Emotet são as campanhas de phishing por e-mail, que contém um link malicioso ou um documento infectado para download. O Emotet evoluiu nos últimos anos e tem sido utilizado como “Malware-as-a-Service” (MaaS)

O uso do Trickbot tem como objetivo principal o roubo de informações bancárias e o acesso não autorizado a sistemas corporativos. Ele é frequentemente propagado por meio de “kits de exploração” ou inserido em botnets. O Trickbot também é conhecido por ter recursos avançados, como a capacidade de se propagar lateralmente em uma rede, estabelecer backdoors e favorecer a realização de ataques de ransomware.

O Emotet e o Trickbot se complementam. O Emotet é frequentemente usado como um vetor inicial de infecção, abrindo caminho para o Trickbot ser instalado e manter-se no sistema até a ação final do ataque. Com o Trickbot ativo, possibilita infectar todo segmento de rede, explorando vulnerabilidades e se movendo lateralmente para comprometer mais dispositivos.

Além disso, o Trickbot é frequentemente usado para baixar e instalar outras formas de malware, como o ransomware, que podem causar prejuízos significativos e resultar em perda de dados, indisponibilidade e custos financeiros substanciais.

Alguns grupos de ransomware que apresentam indícios de uso do Emotet ou do Trickbot em suas ações incluem:

  1. Ryuk: O grupo Ryuk utiliza o Emotet como uma etapa inicial para infectar sistemas e, em seguida, implantam o Trickbot para realizar reconhecimento e, posteriormente, executa a criptografia dentro das redes comprometidas.
  2. Conti: Ator de ransomware que provavelmente utilizou o Emotet e o Trickbot em suas campanhas. Eles aproveitam o Emotet para se infiltrar em sistemas e, em seguida, implantam o Trickbot para obter acesso privilegiado, explorar vulnerabilidades e executar o ransomware.
  3. DoppelPaymer: O grupo foi associado ao uso do Emotet e do Trickbot. Provavelmente empregam esses malwares para comprometer sistemas e, em seguida, implantam o ransomware.

Exemplos de vulnerabilidades exploradas em ataques envolvendo o Emotet e o Trickbot:

  1. CVE-2017-0199: Essa vulnerabilidade afeta o Microsoft Office e permite a execução remota de código quando um usuário abre um arquivo. O Emotet e o Trickbot podem explorar essa vulnerabilidade por meio de documentos maliciosos anexados a e-mails de phishing.
  2. CVE-2017-11882: Esta é outra vulnerabilidade que afeta o Microsoft Office e permite a execução remota de código. Foi explorada por meio de documentos que continham código malicio em documentos de texto. O Emotet e o Trickbot se aproveitaram dessa falha para infectar sistemas e disseminar malware.
  3. CVE-2019-0708: Conhecida como “BlueKeep”, essa vulnerabilidade afeta o serviço de Desktop Remoto (RDP) do Windows. Permite que um invasor remoto execute código malicioso sem autenticação. O Emotet e o Trickbot foram capazes de explorar essa vulnerabilidade para se infiltrar em sistemas desatualizados e comprometer redes corporativas.
  4. CVE-2020-1472: Essa vulnerabilidade, chamada de “Zerologon”, afeta o protocolo Netlogon no Windows Server. Permite ataques de escalonamento de privilégios, permitindo que um invasor assuma o controle de um controlador de domínio. O Trickbot aproveitou essa falha para se espalhar lateralmente em redes comprometidas.

O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) da Secretaria de Segurança da Informação e Cibernética (SSIC) do Gabinete de Segurança Institucional da Presidência da República (GSI/PR) recomenda medidas preventivas a seguir para organizações da Administração Pública Federal (APF).

  • Gestão de Vulnerabilidades: implemente ações de gerenciamento de vulnerabilidades objetivando a identificação e correção em ativos. As principais vulnerabilidades utilizadas para propagar os malwares em questão são antigas e já possuem correção. Todavia, a ausência de uma política de gerenciamento de atualizações em muitas organizações mantém estas ameaças ativas e eficazes.
  • Bloquear macros: O Trickbot e o Emotet frequentemente exploram macros maliciosas. Realize a configuração de ativos para que as macros sejam desativadas por padrão em arquivos recebidos.
  • Política de privilégios mínimos: objetivo central é a imposição da restrição de direitos e permissões de acesso para usuários, contas, aplicativos, sistemas, dispositivos (como os de Internet das Coisas – IoT) e processos de computação ao mínimo necessário para executar as atividades rotineiras e autorizadas. De uma forma geral, estabeleça ações de Gestão de Acesso Privilegiado (PAM).
  • Listas de reputação: sistemas de segurança permitem a utilização de listas de reputação de IPs e URLs conhecidos por hospedar malwares. Com isso pode-se bloquear o acesso a dispositivos ou sites comprometidos.
  • Monitoramento de atividades de rede: Implemente soluções de monitoramento contínuo na rede para detectar as atividades suspeitas e prováveis infecções com a maior celeridade possível.Fonte:https://www.gov.br/ctir/pt-br/assuntos/noticias/2023/ameaca-cibernetica-ativa-emotet-e-trickbotLinkedIn: https://www.linkedin.com/company/securityfirst/

    Instagram: https://www.instagram.com/security.first1st/#

This website uses cookies to improve your web experience.
pt_BRPortuguese