ウォッチガード テクノロジーズは本日、最新の四半期インターネット セキュリティ レポート (ISR) をリリースし、2021 年第 2020 四半期の上位のマルウェアの傾向とネットワーク セキュリティの脅威を明らかにしました。 ランサムウェアとマルウェアの量は、XNUMX 年に比べて特に多くなっています。
エンドポイントに対するスクリプト攻撃の記録的な速さ、ネットワーク攻撃の十字線にある米国、ゼロデイ マルウェアの標準となった HTTPS 接続。 匿名化された Firebox フィード データを使用して、WatchGuard Threat Lab の研究者は匿名化された Firebox フィード データを使用して、攻撃者がこの期間に主に標的としたターゲットを特定しました。 2021 年の第 4 四半期の終わりまでに、前年のすべてのインシデントの総量にすでに達しており、2021 年第 XNUMX 四半期のデータはまだ保留中です。 もう XNUMX つの調査結果は、かなりの割合のマルウェアがまだ暗号化された接続を介して転送されていることであり、この傾向は数四半期にわたって着実に続いています。
デバイスあたりのマルウェア数の増加
ウォッチガードの最高セキュリティ責任者である Corey Nachreiner は、次のように述べています。 「これまでの年を全体として見ると、セキュリティ環境は依然として厳しいものです。 組織にとって、特定の指標の短期的な干満や季節変動を超えて、セキュリティ体制に影響を与える継続的な傾向に注目することが重要です。 主な例は、ゼロデイ攻撃での暗号化された接続の使用の増加です。 WatchGuard Unified Security Platform は、このコンテキストで包括的な保護を提供します。 これにより、企業が今日直面している多様な脅威に総合的に対処することができます。」
WatchGuard Q3/2021 インターネット セキュリティ レポート
ゼロデイ マルウェアのほぼ半分が暗号化された接続を介して送信される
ゼロデイ マルウェアの総数は第 67,2 四半期に 31,6 パーセント ポイント増加して 47% になりましたが、Transport Layer Security (TLS) 経由で配信されたマルウェアは XNUMX% から XNUMX% に増加しました。 暗号化されたゼロデイの全体的な割合が低いことは、この文脈では一般的に歓迎されますが、多くの企業がまだそのような接続をまったく復号化していないため、依然として懸念の原因があります. その結果、実際にネットワークに到達するマルウェアの量を十分に把握できていません。
Microsoft Windows および Office の新しいバージョンでは、新しい脆弱性が導入されています
Microsoft ソフトウェアのパッチが適用されていない脆弱性は、一般的に使用される攻撃ベクトルであり、古いバージョンに加えて、レドモンドの最新製品も現在攻撃されています。 第 2018 四半期には、Microsoft Office の数式エディタの脆弱性を悪用する CVE-0802-6 が、ウォッチガードのゲートウェイ アンチウイルス マルウェアのトップ 10 リストの 32 位にランクされました。 このマルウェアは、前の四半期に最も蔓延したマルウェアのリストにすでに登場していました。 さらに、32 つの Windows コード インジェクター (Win1/Heim.D と Win6/Heri) が、最も頻繁に検出されたペストのリストで、それぞれ XNUMX 位と XNUMX 位にランクされました。
攻撃者は偏ってアメリカを標的に – 第 3 四半期のネットワーク攻撃の圧倒的多数はアメリカ (64,5%) を標的としており、アジア太平洋 (APAC) が 20%、ヨーロッパが 15,5% と続いています。
検出されたネットワーク攻撃の総数は通常に戻りましたが、依然として重大なリスクがあります
四半期連続で 20% 以上の成長を遂げたウォッチガードの侵入防御サービス (IPS) は、第 4,1 四半期に約 21 万件のユニークなネットワーク攻撃を検出しました。 XNUMX% の減少により、販売量は第 XNUMX 四半期の水準に戻りましたが、これは XNUMX 年前と比べて依然として高い水準でした。 この変化は、必ずしも攻撃者の速度が低下していることを意味するわけではありませんが、より標的を絞った攻撃に焦点を移している可能性があります。
上位 10 のネットワーク攻撃シグネチャが、攻撃の大部分の原因です
IPS が第 4.095.320 四半期に見つけた 81 件のヒットのうち、上位 10 件の署名が 10% を占めました。 実際、第 1054837 四半期のトップ 2019 には、「WEB Remote File Inclusion /etc/passwd」(1059160) という新しい署名が XNUMX つしかありませんでした。これは、古いものの、依然として広く使用されている Microsoft インターネット インフォメーション サービス (IIS) Web サーバーを標的にしています。 XNUMX 年の第 XNUMX 四半期以降、SQL インジェクションであるシグネチャ XNUMX がリストのトップを占めています。
エンドポイントに対するスクリプト攻撃は、記録的なペースで続いています
第 360 四半期の終わりまでに、WatchGuard の AD2020 Threat Intelligence と WatchGuard Endpoint Protection, Detection and Response (EPDR) は、666 年全体よりも XNUMX% 多い攻撃スクリプトをすでに登録しています (これも前年比で XNUMX% 増加しています)。 ハイブリッド ワークグループが例外ではなく一般化する中、脅威を阻止するには強力な境界ではもはや不十分です。 サイバー犯罪者がエンドポイントを標的にする方法はさまざまです。アプリケーションのエクスプロイトからスクリプト化された生活圏外攻撃まで、知識が限られている人でも、PowerSploit、PowerWare、Cobalt Strike などのスクリプト ツールを使用してマルウェア ペイロードを完全に実行できます。基本的なデバイス検出をバイパスします。
通常は安全なドメインでさえ侵害される可能性があります
Microsoft の Exchange Server Autodiscover システムのプロトコルの欠陥により、攻撃者はドメイン資格情報を収集し、通常は信頼されているいくつかのドメインを侵害することができました。 全体として、WatchGuard Firebox は第 5,6 四半期に 365 万の悪意のあるドメインをブロックしました。 これらには、クリプトマイニング、キー ロガー、リモート アクセス トロイの木馬 (RAT) ソフトウェアをインストールしようとする新しいマルウェア ドメインや、SharePoint サイトになりすまして Office23 資格情報を盗むフィッシング ドメインが含まれていました。 ブロックされたドメインの数は前四半期と比較して 4% 減少しましたが、それでも 2020 年第 1,3 四半期のレベル (XNUMX 万) の数倍を超えています。 これは、組織がサーバー、データベース、Web サイト、およびシステムを最新のパッチで最新の状態に保つことの重要性を強調しています。 これは、攻撃者が悪用できる脆弱性を制限する唯一の方法です。
ランサムウェア、ランサムウェア、ランサムウェア
2020 年に急激に減少したランサムウェア攻撃は、2021 年 105 月末までにすでに昨年の 150% に達しており (ウォッチガードが前四半期末に予測していたように)、データが分析されれば XNUMX% に達する見込みです。一年中。 REvil や GandCrap などのサービスとしてのランサムウェア プロバイダーは、プログラミングの知識がほとんどまたはまったくない犯罪者のハードルをさらに下げ、身代金の一部で世界中に攻撃を仕掛けるためのインフラストラクチャとマルウェア ペイロードを提供します。
四半期の最大のセキュリティ インシデントである Kaseya は、デジタル サプライ チェーン攻撃の継続的な脅威のさらなる証拠でした。
米国で 4 月 2021 日の長い週末が始まると、数十の企業がエンドポイントへのランサムウェア攻撃を報告しました。 インシデントに関するウォッチガードの分析では、Ransomware-as-a-Service (RaaS) 企業である REvil と連携する攻撃者が、Kaseya VSA Remote Monitoring and Management. (RMM) ソフトウェア。 その後、ランサムウェアは約 30116 の組織と潜在的に数百万のエンドポイントに配布されました。 確かに、FBI は最終的に REvil のサーバーを侵害し、数か月後に復号化キーを受け取りました。 それでも、この攻撃は、組織が積極的な行動を取ることを強く思い出させるものでした。 これには、たとえば、ゼロ トラストの採用、従業員アクセスへの最小特権の原則の適用、サプライ チェーン攻撃の影響を最小限に抑えるためのシステムにパッチを適用して最新の状態にすることが含まれます。
ウォッチガードの四半期調査レポートは、所有者が脅威研究所の調査をサポートするためにデータを共有することに同意した、アクティブなウォッチガード Firebox から匿名化された Firebox フィード データに基づいています。 第 16,6 四半期に、ウォッチガードは合計 454 万を超えるマルウェアの亜種 (デバイスごとに 4) と 2021 万を超えるネットワークの脅威をブロックしました。 完全なレポートでは、2021 年第 XNUMX 四半期から追加されたマルウェアとネットワークの傾向に関する詳細、XNUMX 年上半期にエンドポイントで検出された脅威の詳細、推奨されるセキュリティ戦略、あらゆる規模と業界の組織に対する重要な防御のヒントなどを提供します。もっと。
詳しくは WatchGuard.com をご覧ください
ウォッチガードについて WatchGuard Technologies は、IT セキュリティ分野の主要プロバイダーの 250.000 つです。 広範な製品ポートフォリオは、高度に開発された UTM (統合脅威管理) および次世代ファイアウォール プラットフォームから、包括的な WLAN 保護およびエンドポイント保護のための多要素認証および技術、ならびに IT セキュリティに関連するその他の特定の製品およびインテリジェント サービスにまで及びます。 世界中の XNUMX を超える顧客が、エンタープライズ レベルの高度な保護メカニズムを信頼しています。