A segurança em camadas torna-se crítica à medida que os ataques de malware aumentam

Views: 83
0 0
Read Time:4 Minute, 23 Second

Apesar de uma redução de 8% nas detecções globais de malware no 2º trimestre de 2020, 70% de todos os ataques envolveram malware zero day – variantes que contornam assinaturas de antivírus, o que representa um aumento de 12% em relação ao trimestre anterior, constatou o WatchGuard.

Detecções de malware durante o 2º trimestre de 2020

Os atacantes continuam a aproveitar ameaças evasivas e criptografadas. O malware zero day comi mais de dois terços do total de detecções no 2º trimestre, enquanto os ataques enviados por conexões HTTPS criptografadas representaram 34%. Isso significa que as organizações que não são capazes de inspecionar o tráfego criptografado perderão um terço maciço de ameaças recebidas.

Embora a porcentagem de ameaças usando criptografia tenha diminuído de 64% no 1º trimestre, o volume de malware criptografado por HTTPS aumentou drasticamente. Parece que mais administradores estão tomando as medidas necessárias para permitir a inspeção https, mas ainda há mais trabalho a ser feito.

“As empresas não são as únicas que ajustaram as operações devido à pandemia global COVID-19 – os criminosos cibernéticos também”, disse Corey Nachreiner, CTO da WatchGuard.

“O aumento de ataques sofisticados, apesar do fato de que as detecções globais de malware diminuíram no 2º trimestre de 2020, provavelmente devido à mudança para o trabalho remoto, mostra que os atacantes estão se voltando para táticas mais evasivas que as defesas anti-malware tradicionais baseadas em assinatura simplesmente não podem pegar.

“Toda organização deve priorizar a detecção de ameaças baseada em comportamento, o sandboxing baseado em nuvem e um conjunto em camadas de serviços de segurança para proteger tanto a rede principal, quanto as forças de trabalho remotas.”

Os ataques baseados em JavaScript estão em ascensão

O script de golpe Trojan.Gnaeus fez sua estreia no topo da lista de malware top 10 do WatchGuard para o 2º trimestre, com quase uma em cada cinco detecções de malware. O malware Gnaeus permite que os atores de ameaças sequestrem o controle do navegador da vítima com código ofuscado e redirecionem com força de seus destinos web pretendidos para domínios sob o controle do invasor.

Outro ataque JavaScript no estilo pop-up, J.S. PopUnder, foi uma das variantes de malware mais difundidas no último trimestre. Neste caso, um script ofuscado verifica as propriedades do sistema da vítima e bloqueia as tentativas de depuração como uma tática anti-detecção.

Para combater essas ameaças, as organizações devem impedir que os usuários carreguem uma extensão do navegador de uma fonte desconhecida, manter os navegadores atualizados com os patches mais recentes, usar adblockers respeitáveis e manter um mecanismo anti-malware atualizado.

Os atacantes usam cada vez mais arquivos excel criptografados para ocultar malware

XML-Trojan.Abracadabra é uma nova adição à lista dos 10 principais detecções de malware, mostrando um rápido crescimento de popularidade desde que a técnica surgiu em abril.

Abracadabra é uma variante de malware entregue como um arquivo Excel criptografado com a senha “VelvetSweatshop”, a senha padrão para documentos do Excel. Uma vez aberto, o Excel descriptografa automaticamente o arquivo e um script VBA macro dentro da planilha baixa e executa um executável.

O uso de uma senha padrão permite que esse malware contorne muitas soluções básicas de antivírus, uma vez que o arquivo é criptografado e, em seguida, descriptografado pelo Excel. As organizações nunca devem permitir que macros de uma fonte não confiável e aproveitem o sandboxing baseado em nuvem para verificar com segurança a verdadeira intenção de arquivos potencialmente perigosos antes que eles possam causar uma infecção.

Um velho e altamente explorável ataque do DoS faz um retorno

Uma vulnerabilidade do DoS de seis anos que afeta o WordPress e o Drupal apareceu em uma lista dos 10 principais ataques de rede em volume no 2º trimestre. Essa vulnerabilidade é particularmente grave porque afeta todas as instalações não reparadas do Drupal e do WordPress e cria cenários DoS nos quais os maus atores podem causar a exaustão da CPU e da memória no hardware subjacente.

Apesar do grande volume desses ataques, eles estavam hiperfotos em algumas dezenas de redes principalmente na Alemanha. Uma vez que os cenários do DoS requerem tráfego sustentado para as redes das vítimas, isso significa que há uma forte probabilidade de que os atacantes estavam selecionando seus alvos intencionalmente.

Domínios de malware aproveitam servidores de comando e controle para causar estragos

Dois novos destinos entraram na lista de domínios de malware no 2º trimestre. O mais comum foi o achadores[.] site, que usa um servidor C&C para uma variante de trojan Dadobra que cria um arquivo ofuscado e registro associado para garantir que o ataque seja executado e possa exfiltrar dados confidenciais e baixar malwares adicionais quando os usuários iniciarem sistemas Windows.

Um usuário alertou a equipe do WatchGuard para o Cioco-froll[.] com, que usa outro servidor de C&C para suportar uma variante botnet Asprox, muitas vezes entregue via documento PDF, e fornece um farol de C&C para que o invasor saiba que ganhou persistência e está pronto para participar da botnet.

O firewall do DNS pode ajudar as organizações a detectar e bloquear esses tipos de ameaças independentes do protocolo de aplicação para a conexão.

FONTE: HELPNET SECURITY

Previous post Polícia polonesa desligou super-grupo de hackers envolvido em ameaças de bomba, ransomware, troca de SIM
Next post Relatório descreve importância do treinamento de conscientização do usuário

Deixe uma resposta