140 mil dispositivos de grandes empresas têm praga que rouba credenciais

Grandes empresas dos setores financeiro e de tecnologia estão na mira de uma campanha em larga escala, que já infectou mais de 140 mil máquinas com o trojan Trickbot. Nomes como Amazon, PayPal, Microsoft e Google, assim como o Bank of America, Wells Fargo, American Express e tantas outras aparecem em uma lista de comprometimentos divulgada por especialistas em segurança digital, em uma sequência de ataques que envolve o roubo de credenciais e dados confidenciais.

• Golpe do "dinheiro esquecido" já fez mais de 560 mil vítimas no Brasil inteiro
• Ransomware assustará empresas em 2022; veja dicas para se proteger

De acordo com os números da Check Point Research, já são 57 organizações comprometidas desde novembro de 2020. O vetor são os documentos corporativos comprometidos, com os criminosos se passando por executivos, parceiros e clientes para entregar dados que trazem o malware, que não apenas pode ser usado para as próprias operações do grupo criminoso, como também por outras famílias de pragas, que se aproveitam de suas estratégias de evasão e persistência para executarem mais ataques.

Enquanto grandes empresas tipicamente brasileiras não aparecem na lista divulgada pelos especialistas, a América Latina aparece como o segundo maior território em número de ataques. Por aqui, uma em cada 47 organizações está comprometida pelo Trickbot, com um índice de 2,1% que fica atrás da região Ásia e Pacífico, com penetração de 3,3% e uma em cada 30 empresas atingidas.

Acima de tudo isso, os especialistas apontam que, assim como os métodos, a praga em si não é necessariamente nova, estando em atividade desde 2017 e, ainda assim, configurando um risco considerável por conta da habilidade de seus operadores. “O Trickbot ataca vítimas de alto nível para roubar credenciais e fornecer acesso aos portais com dados confidenciais. Ao mesmo tempo, [os criminosos] também são muito experientes no desenvolvimento de malware em alto nível, o que faz com que essa continue sendo uma ameaça perigosa há mais de cinco anos”, explica Alexander Chailytko, gerente de segurança cibernética, pesquisa e inovação da Check Point.

Os especialistas chamam a atenção ainda para a seletividade da quadrilha responsável pelo Trickbot, muitas vezes com conhecimento sobre mecanismos de segurança e uma infraestrutura complexa, que permite o direcionamento das intrusões para diferentes caminhos, de acordo com a demanda. Por enquanto, os documentos do pacote Office com macros habilitados seguem como o principal vetor de contaminação, mas observando o alerta da empresa de segurança, não é nada absurdo pensar que tais métodos também podem mudar em breve por conta das barreiras impostas pela Microsoft.

O uso de sistemas de segurança atualizados, assim como aplicações e sistemas operacionais, ajuda a manter ameaças mais comuns de fora. Acima de tudo, a recomendação é de cuidado quanto a documentos recebidos ou mensagens que tragam links ou arquivos anexos, que só devem ser executados quando chegarem de fontes confiáveis ou se o colaborador tiver certeza da origem.

Para administradores de sistemas, desabilitar a execução de macros e usar soluções de segurança com requisitos de confiança zero e proteção contra brechas de dia zero também ajuda. A integração entre sistemas de rede, nuvem, acesso remoto e usuários também ajuda no monitoramento, com um trabalho apurado também ajudando a indicar a presença de elementos estranhos e maliciosos.