WatchGuard Technologies ha pubblicato oggi il suo ultimo rapporto trimestrale sulla sicurezza Internet (ISR), che rivela le principali tendenze del malware e le minacce alla sicurezza della rete per il terzo trimestre del 2021. Il volume di ransomware e malware è particolarmente elevato rispetto al 2020.
Velocità record degli attacchi di scripting sugli endpoint, gli Stati Uniti nel mirino degli attacchi di rete e le connessioni HTTPS ora standard per il malware zero-day. Utilizzando i dati anonimi di Firebox Feed, i ricercatori del WatchGuard Threat Lab hanno utilizzato i dati anonimizzati di Firebox Feed per capire quali obiettivi sono stati presi di mira principalmente dagli aggressori durante questo periodo: mentre il volume complessivo degli attacchi malware perimetrali rilevati è diminuito rispetto ai massimi del trimestre precedente, è stato così per gli endpoint, il volume totale di tutti gli incidenti dell'anno precedente era già stato raggiunto entro la fine del terzo trimestre del 2021, con i dati per il quarto trimestre del 4 ancora in sospeso. Un'altra scoperta è stata che una percentuale significativa di malware viene ancora trasportata su connessioni crittografate, una tendenza che continua costantemente da diversi trimestri.
Numero crescente di malware per dispositivo
"Mentre il volume complessivo degli attacchi di rete è leggermente diminuito nel terzo trimestre, il numero di malware per dispositivo è aumentato per la prima volta dall'inizio della pandemia", ha affermato Corey Nachreiner, chief security officer di WatchGuard. “Guardando l'anno fino ad oggi nel suo insieme, il contesto di sicurezza rimane impegnativo. È importante che le organizzazioni guardino oltre i flussi e riflussi a breve termine e le fluttuazioni stagionali in determinate metriche e si concentrino sulle tendenze in corso che influenzano la loro posizione di sicurezza. Un esempio chiave è il crescente utilizzo di connessioni crittografate per gli attacchi zero-day. La piattaforma di sicurezza unificata WatchGuard offre una protezione completa in questo contesto. Ciò consente di combattere in modo olistico le diverse minacce a cui le aziende sono esposte oggi”.
Rapporto sulla sicurezza Internet Q3/2021 di WatchGuard
Quasi la metà del malware zero-day viene trasmessa tramite connessioni crittografate
Mentre il malware zero-day totale è aumentato di tre modesti punti percentuali al 67,2% nel terzo trimestre, il malware distribuito tramite Transport Layer Security (TLS) è aumentato dal 31,6% al 47%. Una percentuale complessivamente inferiore di zero-day crittografati è generalmente apprezzata in questo contesto, ma c'è ancora motivo di preoccupazione poiché molte aziende non decrittografano ancora tali connessioni. Di conseguenza, non hanno una visibilità sufficiente sulla quantità di malware che effettivamente raggiunge le loro reti.
Le versioni più recenti di Microsoft Windows e Office introducono nuove vulnerabilità
Vulnerabilità prive di patch nel software Microsoft sono vettori di attacco comunemente usati: oltre alle versioni precedenti, ora vengono attaccati anche gli ultimi prodotti di Redmond. Nel terzo trimestre, CVE-2018-0802, che sfrutta una vulnerabilità nell'Equation Editor di Microsoft Office, si è classificato al sesto posto nell'elenco dei primi 6 malware antivirus per gateway di WatchGuard per volume. Questo malware era già apparso nell'elenco dei malware più diffusi nel trimestre precedente. Inoltre, due iniettori di codice Windows (Win10/Heim.D e Win32/Heri) si sono classificati rispettivamente al 32° e al 1° posto nell'elenco dei parassiti più frequentemente rilevati.
Gli aggressori hanno preso di mira in modo sproporzionato le Americhe: la stragrande maggioranza degli attacchi di rete nel terzo trimestre è stata presa di mira nelle Americhe (3%), seguita dall'Asia Pacifico (APAC) con il 64,5% e dall'Europa con il 20%.
Il numero totale di attacchi di rete rilevati è tornato alla normalità, ma rappresenta ancora un rischio significativo
Dopo trimestri consecutivi di crescita superiore al 20%, l'Intrusion Prevention Service (IPS) di WatchGuard ha rilevato circa 4,1 milioni di attacchi di rete unici nel terzo trimestre. Il calo del 21% ha riportato i volumi ai livelli del primo trimestre, che erano ancora elevati rispetto a un anno fa. Il cambiamento non significa necessariamente che gli aggressori stiano rallentando, ma che potrebbero spostare la loro attenzione su attacchi più mirati.
Le prime 10 firme di attacco di rete sono responsabili della stragrande maggioranza degli attacchi
Delle 4.095.320 hit trovate dall'IPS nel terzo trimestre, le prime 81 firme hanno rappresentato l'10%. In effetti, c'era solo una nuova firma tra le prime 10 nel terzo trimestre, "WEB Remote File Inclusion /etc/passwd" (1054837), che si rivolge ai server Web Microsoft Internet Information Services (IIS) meno recenti ma ancora ampiamente utilizzati. Dal secondo trimestre del 2019, la firma 1059160, un'iniezione SQL, è in cima alla lista.
Gli attacchi di scripting agli endpoint continuano a ritmo record
Alla fine del terzo trimestre, AD360 Threat Intelligence e WatchGuard Endpoint Protection, Detection and Response (EPDR) di WatchGuard hanno già registrato il 2020% in più di script di attacco rispetto a tutto il 666 (che ha nuovamente registrato un aumento del XNUMX% anno su anno). Con i gruppi di lavoro ibridi che stanno diventando la regola anziché l'eccezione, un perimetro solido non è più sufficiente per bloccare le minacce. Esistono diversi modi in cui i criminali informatici prendono di mira gli endpoint, dagli exploit delle applicazioni agli attacchi basati su script, in cui anche coloro che hanno una conoscenza limitata possono eseguire completamente un payload di malware utilizzando strumenti di scripting come PowerSploit, PowerWare e Cobalt Strike aggirando le funzioni di base rilevamento del dispositivo.
Anche i domini normalmente sicuri possono essere compromessi
Un difetto di protocollo nel sistema di individuazione automatica di Exchange Server di Microsoft ha consentito agli aggressori di raccogliere le credenziali del dominio e compromettere diversi domini normalmente attendibili. Complessivamente, WatchGuard Fireboxes ha bloccato 5,6 milioni di domini dannosi nel terzo trimestre. Questi includevano diversi nuovi domini di malware che tentavano di installare software di cryptomining, key-logger e trojan di accesso remoto (RAT), oltre a domini di phishing che si spacciavano per i siti di SharePoint per rubare le credenziali di Office365. Sebbene il numero di domini bloccati sia diminuito del 23% rispetto al trimestre precedente, è ancora parecchie volte superiore al livello del quarto trimestre 4 (2020 milioni). Ciò sottolinea l'importanza per le organizzazioni di mantenere i propri server, database, siti Web e sistemi aggiornati con le patch più recenti. Questo è l'unico modo per limitare le vulnerabilità che gli aggressori possono sfruttare.
Ransomware, ransomware, ransomware
Dopo un forte calo nel 2020, gli attacchi ransomware hanno già totalizzato il 2021% del volume dello scorso anno entro la fine di settembre 105 (come previsto da WatchGuard alla fine del trimestre precedente) e sono sulla buona strada per raggiungere il 150% una volta analizzati i dati per l'intero anno. I fornitori di ransomware-as-a-service come REvil e GandCrap abbassano ulteriormente il livello per i criminali con poca o nessuna conoscenza di programmazione, fornendo l'infrastruttura e i payload del malware per lanciare attacchi in tutto il mondo per una percentuale del riscatto .
Il principale incidente di sicurezza del trimestre, Kaseya, è stato un'ulteriore prova della continua minaccia di attacchi alla supply chain digitale
All'inizio del lungo weekend del 4 luglio negli Stati Uniti, dozzine di aziende hanno segnalato attacchi ransomware ai propri endpoint. L'analisi dell'incidente di WatchGuard descrive in dettaglio come gli aggressori che lavorano con la società REvil di ransomware-as-a-service (RaaS) hanno sfruttato tre vulnerabilità zero-day (incluse CVE-2021-30116 e CVE-2021-30118) nel monitoraggio e gestione remota di Kaseya VSA (RMM). Successivamente, il ransomware è stato distribuito a circa 1.500 organizzazioni e potenzialmente a milioni di endpoint. È vero, l'FBI alla fine ha compromesso i server di REvil e ha ricevuto la chiave di decrittazione pochi mesi dopo. Tuttavia, l'attacco è stato un altro duro promemoria per le organizzazioni affinché intraprendano azioni proattive. Ciò include, ad esempio, l'adozione di zero trust, l'applicazione del principio del privilegio minimo all'accesso dei dipendenti e la garanzia che i sistemi siano dotati di patch e aggiornati per ridurre al minimo l'impatto degli attacchi alla catena di approvvigionamento.
I rapporti di ricerca trimestrali di WatchGuard si basano sui dati dei feed Firebox anonimizzati provenienti da Firebox WatchGuard attivi i cui proprietari hanno acconsentito alla condivisione dei dati per supportare la ricerca del Threat Lab. Nel primo trimestre, WatchGuard ha bloccato un totale di oltre 16,6 milioni di varianti di malware (454 per dispositivo) e oltre 4 milioni di minacce di rete. Il rapporto completo fornisce dettagli su ulteriori trend di malware e rete dal terzo trimestre del 2021, un'analisi ancora più approfondita delle minacce rilevate all'endpoint nella prima metà del 2021, strategie di sicurezza consigliate, suggerimenti chiave per la difesa per organizzazioni di tutte le dimensioni e settori e molto altro di più.
Altro su WatchGuard.com
Informazioni su WatchGuard WatchGuard Technologies è uno dei fornitori leader nel campo della sicurezza IT. L'ampio portafoglio di prodotti spazia dalle piattaforme UTM (Unified Threat Management) e firewall di nuova generazione altamente sviluppate all'autenticazione a più fattori e alle tecnologie per la protezione WLAN completa e la protezione degli endpoint, nonché altri prodotti specifici e servizi intelligenti relativi alla sicurezza IT. Più di 250.000 clienti in tutto il mondo si affidano ai sofisticati meccanismi di protezione a livello aziendale,