WatchGuard analizza gli attacchi Adversary-in-the-Middle commerciali, gli exploit kit basati su JavaScript e il malware relativo a Gothic Panda nell'Internet Security Report Q3 (ISR). Le maggiori minacce sono state inviate solo tramite connessioni crittografate HTTPS.
Poco prima della fine dell'anno, WatchGuard Technologies ha pubblicato il suo ultimo Internet Security Report (ISR). In questo, le principali tendenze del malware e i metodi di attacco attualmente rilevanti su reti ed endpoint sono descritti in dettaglio nel modo consueto. I risultati dei ricercatori di WatchGuard Threat Lab mostrano che la principale minaccia malware per il terzo trimestre del 2022 è stata inviata esclusivamente tramite connessioni crittografate.
Gli aggressori sfruttano HTTPS
Sono aumentati anche gli attacchi ai sistemi ICS e SCADA. Anche i giocatori di computer sono a rischio perché è stato scoperto un payload dannoso in un cheat engine di Minecraft. L'ISR contiene anche una serie di altre informazioni ed esempi dell'attuale situazione di minaccia.
“Non possiamo sottolineare abbastanza l'importanza di ispezionare le connessioni HTTPS: le organizzazioni dovrebbero assolutamente abilitare la funzione di sicurezza appropriata, anche se richiede alcuni aggiustamenti e regole di eccezione. Perché la maggior parte del malware arriva tramite HTTPS crittografato. Se questo vettore di attacco non viene controllato, le minacce di ogni tipo sono ampiamente aperte", ha dichiarato Corey Nachreiner, chief security officer di WatchGuard Technologies. “Si dovrebbe prestare maggiore attenzione anche ai server Exchange o ai sistemi di gestione SCADA. Non appena è disponibile una patch per questi, è importante applicare immediatamente questo aggiornamento e aggiornare l'applicazione. Gli aggressori traggono vantaggio da qualsiasi azienda che non abbia ancora risolto le vulnerabilità".
Principali risultati dell'Internet Security Report del terzo trimestre
Risultati dell'Internet Security Report Q3 -ISR (Immagine: WatchGuard).
La stragrande maggioranza del malware arriva attraverso connessioni crittografate
Sebbene il malware Agent.IIQ si sia classificato al terzo posto nell'elenco dei 2022 malware principali per il periodo luglio-settembre 10, è finito al primo posto nella classifica dei malware crittografati. Perché tutti i rilevamenti di Agent.IIQ sono stati trovati nelle connessioni HTTPS. Come mostrano le analisi, l'1% di tutto il malware proviene da connessioni sicure, ma solo il 82% non crittografato. Se il traffico HTTPS non viene ispezionato su Firebox, c'è un'alta probabilità che gran parte del malware non venga rilevato. In questo caso, le aziende possono solo sperare che venga implementata un'efficace protezione degli endpoint per avere almeno una possibilità di intercettare il malware da qualche altra parte nella cosiddetta cyber kill chain.
I sistemi ICS e SCADA continuano a essere obiettivi popolari per gli attacchi
Una novità nell'elenco dei dieci attacchi di rete più comuni nel terzo trimestre del 2022 è un attacco del tipo SQL injection, che ha colpito più provider contemporaneamente. Una di queste società è Advantech, il cui portale WebAccess fornisce l'accesso ai sistemi SCADA su una varietà di infrastrutture critiche. Un altro attacco importante nel terzo trimestre, che ha rappresentato anche le prime 5 minacce di rete, ha interessato il software U.motion Builder di Schneider Electric, versione 1.2.1 e precedenti. Questa è una chiara indicazione che gli aggressori stanno ancora tentando attivamente di compromettere i sistemi ove possibile.
Le vulnerabilità nei server Exchange continuano a rappresentare un rischio
L'ultima vulnerabilità CVE (CVE-2021-26855) scoperta dal Threat Lab interessa Microsoft Exchange Server Remote Code Execution (RCE) sui server locali. Questa vulnerabilità RCE, che ha ricevuto un punteggio CVE di 9,8, è nota per essere sfruttata. Anche la data e la gravità di questa vulnerabilità fanno riflettere e prendere nota, poiché si tratta di una vulnerabilità sfruttata dal gruppo HAFNIUM. Mentre la maggior parte dei server Exchange interessati potrebbe essere già stata patchata, alcuni sono ancora vulnerabili ea rischio.
Attori della minaccia che prendono di mira gli utenti di software libero
Ulteriori risultati dell'Internet Security Report Q3 -ISR (Immagine: WatchGuard).
Il Trojan Fugrafa scarica malware che inietta codice dannoso. Nel terzo trimestre del 3, gli analisti di WatchGuard hanno indagato su una variante trovata in un cheat engine per il popolare gioco Minecraft. Il file, che è stato condiviso principalmente su Discord, finge di essere Minecraft Cheat Engine Vape V2022 Beta, ma non è tutto ciò che contiene. Agent.FZUW condivide alcune somiglianze con Variant.Fugrafa, tuttavia invece di installarsi tramite un cheat engine, il file stesso sembra contenere software crackato. Nel caso specifico, c'erano anche collegamenti con Racoon Stealer: si tratta di una campagna di hacking di criptovalute che viene utilizzata per rubare informazioni sull'account dai servizi di criptovaluta.
Il malware LemonDuck ora è più di un cryptominer
Sebbene il numero di domini malware bloccati o monitorati sia diminuito nel terzo trimestre del 2022, è facile vedere che il numero di attacchi rivolti a utenti ignari rimane elevato. Con tre nuove aggiunte all'elenco dei principali domini malware - due appartenenti a precedenti domini malware LemonDuck e il terzo facente parte di un dominio classificato Emotet - c'erano più nuovi siti malware del solito. Si prevede che questa tendenza continuerà a intensificarsi quando si tratta del panorama delle criptovalute mentre gli aggressori cercano nuovi modi per ingannare gli utenti. Una contromisura efficace è la protezione attiva a livello di DNS. Questo può monitorare i sistemi degli utenti e impedire agli hacker di introdurre malware o altri gravi problemi nell'azienda.
Offuscamento JavaScript negli exploit kit
La firma 1132518, un indicatore di attacchi di offuscamento JavaScript sui browser, è stata l'unica nuova aggiunta all'elenco delle firme di attacco di rete più comuni. JavaScript è stato a lungo un vettore di attacco comune e i criminali informatici hanno costantemente utilizzato kit di exploit basati su JavaScript, anche per attacchi di malvertising e phishing. Man mano che le difese del browser migliorano, gli aggressori stanno intensificando i loro sforzi per offuscare il codice JavaScript dannoso.
Anatomia degli attacchi Adversary-in-the-Middle standardizzati
L'autenticazione a più fattori (MFA) è innegabilmente una misura immensamente importante nel corso della sicurezza IT, ma non è nemmeno una panacea. Il miglior esempio di ciò è il rapido aumento e la commercializzazione degli attacchi Adversary-in-the-Middle (AitM). L'indagine del Threat Lab mostra come gli attori malintenzionati stiano migrando verso tecniche AitM sempre più sofisticate. Analogamente all'offerta ransomware-as-a-service sempre più frequentata, il rilascio del toolkit AitM chiamato EvilProxy nel settembre 2022 ha notevolmente abbassato la barriera all'ingresso per attacchi adeguatamente sofisticati. L'unico modo per difendersi da loro è attraverso una combinazione di strumenti tecnici e sensibilizzazione degli utenti.
Famiglia di malware correlata a Gothic Panda
Già nel rapporto del Threat Lab per il secondo trimestre del 2022, il linguaggio è caduto su Gothic Panda, un gruppo di spionaggio informatico con stretti legami con il Ministero cinese della Sicurezza di Stato. È interessante notare che l'elenco principale di malware crittografato per il terzo trimestre include una famiglia di malware chiamata Taidoor, che non è stata sviluppata solo da Gothic Panda, ma è stata utilizzata solo da aggressori di rilevante origine cinese. Mentre il malware correlato è stato in genere focalizzato su obiettivi in Giappone e Taiwan fino ad oggi, il campione Generic.Taidoor analizzato è stato trovato per lo più mirato a organizzazioni in Francia, forse una chiara indicazione di uno specifico attacco informatico sponsorizzato dallo stato.
Nuovi ransomware e gruppi di estorsori allo stato brado
Chief Security Officer (CSO), WatchGuard Technologies (Immagine: WatchGuard).
D'ora in poi, il WatchGuard Threat Lab è ancora più dedicato al rilevamento di iniziative ransomware. A tal fine, le opzioni sottostanti di informazioni sulle minacce sono state specificamente ampliate. Nel terzo trimestre del 2022, LockBit è in cima alla lista con oltre 200 incidenti rilevanti, quasi quattro volte di più rispetto al gruppo di ransomware Basta, che è stato il secondo più discusso da luglio a settembre 2022.
I rapporti di ricerca trimestrali di WatchGuard si basano sui dati dei Firebox Feed resi anonimi da WatchGuard Firebox attivi i cui proprietari hanno scelto di condividere i dati a supporto diretto della ricerca del Threat Lab. Nel terzo trimestre, WatchGuard ha bloccato un totale di oltre 17,3 milioni di varianti di malware (211 per dispositivo) e oltre 2,3 milioni di minacce di rete (28 per dispositivo). Il rapporto completo descrive in dettaglio altre tendenze di rete e malware per il terzo trimestre del 3, le strategie di sicurezza consigliate, i migliori suggerimenti per la difesa per organizzazioni di tutte le dimensioni e settori e altro ancora.
Altro su WatchGuard.com
Informazioni su WatchGuard WatchGuard Technologies è uno dei fornitori leader nel campo della sicurezza IT. L'ampio portafoglio di prodotti spazia dalle piattaforme UTM (Unified Threat Management) e firewall di nuova generazione altamente sviluppate all'autenticazione a più fattori e alle tecnologie per la protezione WLAN completa e la protezione degli endpoint, nonché altri prodotti specifici e servizi intelligenti relativi alla sicurezza IT. Più di 250.000 clienti in tutto il mondo si affidano ai sofisticati meccanismi di protezione a livello aziendale,