A WatchGuard analisa ataques comerciais Adversary-in-the-Middle, kits de exploração baseados em JavaScript e malware relacionado ao Gothic Panda no Internet Security Report Q3 (ISR). As maiores ameaças foram enviadas apenas por conexões criptografadas HTTPS.
Pouco antes do final do ano, a WatchGuard Technologies publicou seu último Relatório de Segurança na Internet (ISR). Nele, as tendências de malware mais importantes, bem como os métodos de ataque atualmente relevantes em redes e endpoints, são descritos em detalhes da maneira usual. As descobertas dos pesquisadores do WatchGuard Threat Lab mostram que a principal ameaça de malware para o terceiro trimestre de 2022 foi enviada exclusivamente por conexões criptografadas.
Os invasores exploram o HTTPS
Os ataques aos sistemas ICS e SCADA também aumentaram. Os jogadores de computador também estão em risco porque uma carga maliciosa foi descoberta em um mecanismo de trapaça do Minecraft. O ISR também contém uma variedade de outras informações e exemplos da situação de ameaça atual.
“Não podemos enfatizar o suficiente a importância de inspecionar as conexões HTTPS: as organizações definitivamente devem habilitar o recurso de segurança apropriado - mesmo que exija alguns ajustes e regras de exceção. Porque a maioria do malware vem via HTTPS criptografado. Se esse vetor de ataque não for controlado, ameaças de todos os tipos estarão abertas”, disse Corey Nachreiner, diretor de segurança da WatchGuard Technologies. “Mais atenção também deve ser dada aos servidores Exchange ou sistemas de gerenciamento SCADA. Assim que um patch estiver disponível para eles, é importante aplicar essa atualização imediatamente e atualizar o aplicativo. Os invasores se beneficiam de qualquer empresa que ainda não corrigiu vulnerabilidades.”
Principais conclusões do relatório de segurança da Internet do terceiro trimestre
Conclusões do Relatório de Segurança da Internet Q3 -ISR (Imagem: WatchGuard).
A grande maioria do malware vem por meio de conexões criptografadas
Embora o malware Agent.IIQ tenha ficado em terceiro lugar na lista regular dos 2022 principais malwares para o período de julho a setembro de 10, ele terminou em primeiro lugar na lista de malwares criptografados. Porque todas as detecções do Agent.IIQ foram encontradas em conexões HTTPS. Como mostram as análises, 1% de todos os malwares vieram por meio de conexões seguras, mas apenas 82% não foram criptografados. Se o tráfego HTTPS não for inspecionado no Firebox, há uma grande probabilidade de que uma grande parte do malware não seja detectada. Nesse caso, as empresas só podem esperar que a proteção eficaz do endpoint seja implementada para, pelo menos, ter uma chance de interceptar o malware em algum outro lugar na chamada cadeia de destruição cibernética.
Os sistemas ICS e SCADA continuam a ser alvos populares de ataques
Uma novidade na lista dos dez ataques de rede mais comuns no terceiro trimestre de 2022 é um ataque do tipo injeção de SQL, que atingiu vários provedores ao mesmo tempo. Uma dessas empresas é a Advantech, cujo portal WebAccess fornece acesso a sistemas SCADA em uma variedade de infraestruturas críticas. Outro grande ataque no terceiro trimestre, que também ficou entre as 5 principais ameaças à rede, afetou o software U.motion Builder da Schneider Electric, versão 1.2.1 e anteriores. Esta é uma indicação clara de que os invasores ainda estão tentando ativamente comprometer os sistemas sempre que possível.
Vulnerabilidades em servidores Exchange continuam a representar um risco
A vulnerabilidade CVE mais recente (CVE-2021-26855) descoberta pelo Threat Lab afeta a Execução Remota de Código (RCE) do Microsoft Exchange Server em servidores locais. Essa vulnerabilidade RCE, que recebeu uma pontuação CVE de 9,8, é conhecida por ser explorada. A data e a gravidade dessa vulnerabilidade também fazem com que alguém se sente e preste atenção, pois é uma vulnerabilidade explorada pelo grupo HAFNIUM. Embora a maioria dos servidores Exchange afetados já tenha sido corrigida, alguns ainda estão vulneráveis e em risco.
Atores de ameaças visando usuários de software livre
Mais descobertas do Relatório de Segurança da Internet Q3 -ISR (Imagem: WatchGuard).
O Trojan Fugrafa baixa malware que injeta código malicioso. No terceiro trimestre de 3, os analistas da WatchGuard investigaram uma variante encontrada em um mecanismo de trapaça para o popular jogo Minecraft. O arquivo, que foi compartilhado principalmente no Discord, finge ser o Minecraft Cheat Engine Vape V2022 Beta - mas não é tudo o que contém. O Agent.FZUW compartilha algumas semelhanças com o Variant.Fugrafa; no entanto, em vez de ser instalado por meio de um mecanismo de trapaça, o próprio arquivo parece conter software crackeado. No caso específico, também houve conexões com o Racoon Stealer: Esta é uma campanha de hacking de criptomoedas usada para roubar informações de contas de serviços de criptomoedas.
O malware LemonDuck agora é mais do que um criptominerador
Embora o número de domínios de malware bloqueados ou rastreados tenha diminuído no terceiro trimestre de 2022, é fácil ver que o número de ataques direcionados a usuários desavisados continua alto. Com três novas adições à lista dos principais domínios de malware - duas pertencentes a antigos domínios de malware LemonDuck e a terceira parte de um domínio classificado Emotet - havia mais novos sites de malware do que o normal. Espera-se que essa tendência continue a se intensificar quando se trata do cenário das criptomoedas, à medida que os invasores procuram novas maneiras de enganar os usuários. Uma contramedida eficaz é a proteção ativa no nível do DNS. Isso pode monitorar os sistemas dos usuários e impedir que hackers introduzam malware ou outros problemas sérios na empresa.
Ofuscação de JavaScript em kits de exploração
A assinatura 1132518 - um indicador de ataques de ofuscação de JavaScript em navegadores - foi a única nova adição à lista das assinaturas de ataque de rede mais comuns. O JavaScript tem sido um vetor de ataque comum há muito tempo, e os cibercriminosos têm usado consistentemente kits de exploração baseados em JavaScript, inclusive para malvertising e ataques de phishing. À medida que as defesas do navegador melhoram, os invasores intensificam seus esforços para ofuscar o código JavaScript malicioso.
Anatomia de ataques padronizados de adversário no meio
A autenticação multifator (MFA) é inegavelmente uma medida imensamente importante no curso da segurança de TI, mas também não é uma panaceia. O melhor exemplo disso é o rápido crescimento e comercialização de ataques Adversary-in-the-Middle (AitM). A investigação do Threat Lab mostra como agentes mal-intencionados estão migrando para técnicas AitM cada vez mais sofisticadas. Semelhante à oferta de ransomware como serviço cada vez mais frequente, o lançamento do kit de ferramentas AitM chamado EvilProxy em setembro de 2022 reduziu significativamente a barreira à entrada de ataques sofisticados adequados. A única maneira de se defender deles é por meio de uma combinação de ferramentas técnicas e da conscientização do usuário.
Família de malware relacionada ao Gothic Panda
Já no relatório do Threat Lab do segundo trimestre de 2022, a linguagem recaiu sobre o Gothic Panda – um grupo de ciberespionagem com laços estreitos com o Ministério de Segurança do Estado chinês. Curiosamente, a lista principal de malware criptografado no terceiro trimestre inclui uma família de malware chamada Taidoor, que não foi desenvolvida apenas pela Gothic Panda, mas foi usada apenas por invasores de origem chinesa relevante. Embora o malware relacionado tenha sido normalmente focado em alvos no Japão e em Taiwan até o momento, a amostra Generic.Taidoor analisada foi encontrada principalmente visando organizações na França - possivelmente uma indicação clara de um ataque cibernético específico patrocinado pelo estado.
Novos grupos de ransomware e extorsionários à solta
Diretor de Segurança (CSO), WatchGuard Technologies (Imagem: WatchGuard).
A partir de agora, o WatchGuard Threat Lab está ainda mais dedicado a detectar iniciativas de ransomware. Para esse fim, as opções de inteligência de ameaças subjacentes foram especificamente expandidas. No terceiro trimestre de 2022, o LockBit lidera a lista com mais de 200 incidentes relevantes – quase quatro vezes mais que o grupo de ransomware Basta, que foi o segundo mais falado de julho a setembro de 2022.
Os relatórios de pesquisa trimestrais da WatchGuard são baseados em dados não identificados do Firebox Feed de WatchGuard Fireboxes ativos cujos proprietários optaram por compartilhar dados em suporte direto à pesquisa do Threat Lab. No terceiro trimestre, a WatchGuard bloqueou um total de mais de 17,3 milhões de variantes de malware (211 por dispositivo) e mais de 2,3 milhões de ameaças de rede (28 por dispositivo). O relatório completo detalha outras tendências de malware e rede para o terceiro trimestre de 3, estratégias de segurança recomendadas, principais dicas de defesa para organizações de todos os tamanhos e setores e muito mais.
Mais em WatchGuard.com
Sobre a WatchGuard A WatchGuard Technologies é um dos fornecedores líderes na área de segurança de TI. O extenso portfólio de produtos varia de UTM (Unified Threat Management) altamente desenvolvido e plataformas de firewall de última geração a autenticação multifator e tecnologias para proteção abrangente de WLAN e proteção de endpoint, bem como outros produtos específicos e serviços inteligentes relacionados à segurança de TI. Mais de 250.000 clientes em todo o mundo confiam nos sofisticados mecanismos de proteção em nível empresarial,