A WatchGuard Technologies lançou hoje seu mais recente Relatório Trimestral de Segurança na Internet (ISR), revelando as principais tendências de malware e ameaças à segurança de rede para o terceiro trimestre de 2021. O volume de ransomware e malware é particularmente alto em comparação com 2020.
Velocidade recorde de ataques de script em endpoints, os EUA na mira de ataques de rede e conexões HTTPS agora padrão para malware de dia zero. Usando dados anonimizados do Firebox Feed, os pesquisadores do WatchGuard Threat Lab usaram dados anonimizados do Firebox Feed para entender quais alvos os invasores visaram principalmente durante esse período: o volume total de todos os incidentes do ano anterior já havia sido atingido no final do terceiro trimestre de 2021 - com dados para o quarto trimestre de 4 ainda pendentes. Outra descoberta foi que uma porcentagem significativa de malware ainda é transportada por conexões criptografadas, uma tendência que continua constante há vários trimestres.
Número crescente de malware por dispositivo
“Embora o volume geral de ataques à rede tenha diminuído ligeiramente no terceiro trimestre, o número de malware por dispositivo aumentou pela primeira vez desde o início da pandemia”, disse Corey Nachreiner, diretor de segurança da WatchGuard. “Olhando para o ano como um todo, o ambiente de segurança continua desafiador. É importante que as organizações olhem além dos fluxos e refluxos de curto prazo e das flutuações sazonais em determinadas métricas e se concentrem nas tendências contínuas que afetam sua postura de segurança. Um exemplo importante é o uso crescente de conexões criptografadas para ataques de dia zero. A WatchGuard Unified Security Platform oferece proteção abrangente nesse contexto. Isso permite que as diversas ameaças às quais as empresas estão expostas hoje sejam combatidas de forma holística.”
Relatório de segurança da Internet da WatchGuard Q3/2021
Quase metade dos malwares de dia zero são transmitidos por conexões criptografadas
Enquanto o malware total de dia zero aumentou modestos três pontos percentuais para 67,2% no terceiro trimestre, o malware fornecido via Transport Layer Security (TLS) aumentou de 31,6% para 47%. Uma porcentagem geral mais baixa de zero-days criptografados geralmente é bem-vinda nesse contexto, mas ainda há motivo para preocupação, pois muitas empresas ainda não descriptografam essas conexões. Como resultado, eles têm visibilidade insuficiente da quantidade de malware que realmente atinge suas redes.
Versões mais recentes do Microsoft Windows e do Office apresentam novas vulnerabilidades
Vulnerabilidades não corrigidas no software da Microsoft são vetores de ataque comumente usados. Além das versões mais antigas, os produtos mais recentes de Redmond agora também estão sendo atacados. No terceiro trimestre, o CVE-2018-0802, que explora uma vulnerabilidade no Editor de Equações do Microsoft Office, ficou em 6º lugar na lista dos 10 principais malware antivírus de gateway da WatchGuard por volume. Esse malware já havia aparecido na lista dos malwares mais prevalentes no trimestre anterior. Além disso, dois injetores de código do Windows (Win32/Heim.D e Win32/Heri) ficaram em 1º e 6º lugar, respectivamente, na lista de pragas detectadas com mais frequência.
Os invasores atingiram de forma desproporcional as Américas – A esmagadora maioria dos ataques de rede no terceiro trimestre foram direcionados às Américas (3 por cento), seguido pela Ásia-Pacífico (APAC) com 64,5 por cento e Europa com 20 por cento.
O número total de ataques de rede detectados voltou ao normal, mas ainda representa um risco significativo
Após trimestres consecutivos de crescimento de mais de 20 por cento, o Intrusion Prevention Service (IPS) da WatchGuard detectou aproximadamente 4,1 milhões de ataques de rede únicos no terceiro trimestre. A queda de 21% trouxe o volume de volta aos níveis do primeiro trimestre, que ainda eram altos em comparação com o ano anterior. A mudança não significa necessariamente que os atacantes estão desacelerando, mas que eles podem estar mudando seu foco para ataques mais direcionados.
As 10 principais assinaturas de ataque de rede são responsáveis pela grande maioria dos ataques
Dos 4.095.320 acessos IPS encontrados no terceiro trimestre, as 81 principais assinaturas representaram 10 por cento. Na verdade, houve apenas uma nova assinatura no top 10 do terceiro trimestre, 'WEB Remote File Inclusion /etc/passwd' (1054837), que tem como alvo servidores web mais antigos, mas ainda amplamente usados, do Microsoft Internet Information Services (IIS). Desde o segundo trimestre de 2019, a assinatura 1059160, uma injeção de SQL, está no topo da lista.
Ataques de script em endpoints continuam em ritmo recorde
No final do terceiro trimestre, AD360 Threat Intelligence e WatchGuard Endpoint Protection, Detection and Response (EPDR) da WatchGuard já registravam 2020% mais scripts de ataque do que em todo o ano de 666 (que novamente registrou um aumento de XNUMX% ano a ano). Com os grupos de trabalho híbridos se tornando a regra em vez da exceção, um perímetro forte não é mais suficiente para interromper as ameaças. Há uma variedade de maneiras pelas quais os cibercriminosos visam endpoints, desde exploits de aplicativos até ataques com scripts de vida fora da terra, onde mesmo aqueles com conhecimento limitado podem executar totalmente uma carga útil de malware usando ferramentas de script como PowerSploit, PowerWare e Cobalt Strike enquanto podem para ignorar a detecção básica do dispositivo.
Mesmo domínios normalmente seguros podem ser comprometidos
Uma falha de protocolo no sistema Exchange Server Autodiscover da Microsoft permitiu que invasores coletassem credenciais de domínio e comprometessem vários domínios normalmente confiáveis. No geral, os WatchGuard Fireboxes bloquearam 5,6 milhões de domínios maliciosos no terceiro trimestre. Isso incluiu vários novos domínios de malware que tentam instalar software de criptomineração, key-logger e Trojan de acesso remoto (RAT), bem como domínios de phishing que se fazem passar por sites do SharePoint para roubar credenciais do Office365. Embora o número de domínios bloqueados tenha diminuído 23% em relação ao trimestre anterior, ainda está várias vezes acima do nível do quarto trimestre de 4 (2020 milhão). Isso ressalta a importância de as organizações manterem seus servidores, bancos de dados, sites e sistemas atualizados com os patches mais recentes. Essa é a única maneira de limitar as vulnerabilidades que os invasores podem explorar.
ransomware, ransomware, ransomware
Após um declínio acentuado em 2020, os ataques de ransomware já totalizaram 2021% do volume do ano passado até o final de setembro de 105 (como a WatchGuard havia previsto no final do trimestre anterior) e estão a caminho de atingir 150% assim que os dados forem analisados para o ano inteiro. Provedores de ransomware como serviço, como REvil e GandCrap, diminuem ainda mais a barreira para criminosos com pouco ou nenhum conhecimento de programação, fornecendo a infraestrutura e cargas úteis de malware para lançar ataques em todo o mundo por uma porcentagem do resgate.
O principal incidente de segurança do trimestre, Kaseya, foi mais uma evidência da ameaça contínua de ataques digitais à cadeia de suprimentos
Quando o fim de semana prolongado de 4 de julho começou nos EUA, dezenas de empresas relataram ataques de ransomware em seus endpoints. A análise do incidente pela WatchGuard detalha como os invasores que trabalham com a empresa de ransomware como serviço (RaaS) REvil exploraram três vulnerabilidades de dia zero (incluindo CVE-2021-30116 e CVE-2021-30118) no Kaseya VSA Remote Monitoring and Management (RMM). Posteriormente, o ransomware foi distribuído para aproximadamente 1.500 organizações e potencialmente milhões de endpoints. É verdade que o FBI acabou comprometendo os servidores do REvil e recebeu a chave de descriptografia alguns meses depois. Ainda assim, o ataque foi outro lembrete para que as organizações tomem medidas proativas. Os exemplos incluem a adoção de confiança zero, a aplicação do princípio do menor privilégio ao acesso dos funcionários e a garantia de que os sistemas sejam corrigidos e atualizados para minimizar o impacto dos ataques à cadeia de suprimentos.
Os relatórios de pesquisa trimestrais da WatchGuard são baseados em dados não identificados do Firebox Feed de WatchGuard Fireboxes ativos cujos proprietários consentiram com o compartilhamento de dados para dar suporte à pesquisa do Threat Lab. No primeiro trimestre, a WatchGuard bloqueou um total de mais de 16,6 milhões de variantes de malware (454 por dispositivo) e mais de 4 milhões de ameaças de rede. O relatório completo fornece detalhes sobre malware adicional e tendências de rede do terceiro trimestre de 2021, um mergulho ainda mais profundo nas ameaças detectadas no endpoint no primeiro semestre de 2021, estratégias de segurança recomendadas, dicas importantes de defesa para organizações de todos os tamanhos e setores e muito mais. mais .
Mais em WatchGuard.com
Sobre a WatchGuard A WatchGuard Technologies é um dos fornecedores líderes na área de segurança de TI. O extenso portfólio de produtos varia de UTM (Unified Threat Management) altamente desenvolvido e plataformas de firewall de última geração a autenticação multifator e tecnologias para proteção abrangente de WLAN e proteção de endpoint, bem como outros produtos específicos e serviços inteligentes relacionados à segurança de TI. Mais de 250.000 clientes em todo o mundo confiam nos sofisticados mecanismos de proteção em nível empresarial,