0
0
As detecções de ransomware no primeiro trimestre deste ano dobraram o volume total relatado para 2021, de acordo com o último Relatório Trimestral de Segurança na Internet do WatchGuard Threat Lab. Os pesquisadores também descobriram que o botnet Emotet voltou em grande estilo, a infame vulnerabilidade do Log4Shell triplicou seus esforços de ataque e a atividade de criptografia maliciosa aumentou.
Embora as descobertas do relatório do 4o trimestre de 2021 do Laboratório de Ameaças mostrassem ataques de ransomware que tendem a diminuir ano após ano, tudo isso mudou no primeiro trimestre de 2022 com uma enorme explosão nas detecções de ransomware. Embora o quarto trimestre de 2021 tenha visto a queda da infame gangue cibernética REvil, a análise do WatchGuard sugere que isso abriu a porta para o surgimento do grupo de extorsão LAPSUS$, que, juntamente com muitas novas variantes de ransomware, como o BlackCat – o primeiro ransomware conhecido escrito na linguagem de programação Rust – podem estar contribuindo para um cenário cada vez maior de ameaças de
O relatório também mostra que a EMEA continua sendo um hotspot para ameaças de malware. As detecções regionais gerais de malware básico e evasivo mostram que os Fireboxes WatchGuard na EMEA foram mais atingidos do que os da América do Norte, Central e do Sul (AMER), com 57% e 22%, respectivamente, seguidos pela Ásia-Pacífico (APAC) com 21%.
“Com base no aumento inicial de ransomware este ano e nos dados dos trimestres anteriores, prevemos que 2022 quebrará nosso recorde de detecções anuais de ransomware”, disse Corey Nachreiner, diretor de segurança da WatchGuard. “Continuamos a exortar as empresas a não apenas se comprometerem a implementar medidas simples, mas extremamente importantes, mas também a adotar uma verdadeira abordagem de segurança unificada que possa se adaptar de forma rápida e eficiente às ameaças crescentes e em evolução.”
Outras descobertas importantes deste Relatório de Segurança na Internet incluem:
Log4Shell faz sua estreia na lista dos 10 principais ataques de rede
Divulgada publicamente no início de dezembro de 2021, a vulnerabilidade Apache Log4j2, também conhecida como Log4Shell, estreou na lista dos 10 principais ataques de rede na moda no final deste trimestre. Em comparação com as detecções agregadas de IPS no quarto trimestre de 2021, a assinatura do Log4Shell quase triplicou no primeiro trimestre deste ano. Destacado como o principal incidente de segurança no Relatório de Segurança na Internet anterior do WatchGuard, o Log4Shell chamou a atenção por obter um valor perfeito de 10,0 no CVSS, a máxima criticidade possível para uma vulnerabilidade e por causa de seu uso generalizado em programas Java e ao nível de facilidade na execução arbitrária de código.
A turnê de retorno do Emotet continua
Apesar dos esforços de interrupção da aplicação da lei no início de 2021, a Emotet representa três das 10 principais detecções e o malware mais difundido neste trimestre, após seu ressurgimento no quarto trimestre de 2021. Detecções de Trojan.Vita, que teve como alvo pesado o Japão e apareceu na lista dos cinco principais malwares criptografados, e Trojan.Valyria usam exploits no Microsoft Office para baixar a botnet Emotet. A terceira amostra de malware relacionada ao Emotet, MSIL.Mensa.4, pode se espalhar por dispositivos de armazenamento conectados e principalmente redes direcionadas nos EUA. Os dados do Threat Lab indicam que o Emotet atua como conta-gotas, baixando e instalando o arquivo de um servidor de entrega de malware.
Os scripts do PowerShell lideram a carga em ataques crescentes de terminais
As detecções gerais de desfecho para o primeiro trimestre aumentaram cerca de 38% em relação ao trimestre anterior. Scripts, especificamente scripts PowerShell, eram o vetor de ataque dominante. Representando 88% de todas as detecções, os scripts, por conta só, aumentaram o número de detecções gerais de terminais além do valor relatado para o trimestre anterior. Os scripts do PowerShell foram responsáveis por 99,6% das detecções de scripts no primeiro trimestre, mostrando como os atacantes estão se movendo para ataques sem arquivos e vivendo do país usando ferramentas legítimas. Embora esses scripts sejam a escolha clara para os atacantes, os dados do WatchGuard mostram que outras fontes de origem de malware não devem ser negligenciadas.
Operações legítimas de criptomineração associadas a atividades maliciosas
Todas as três novas adições à lista de domínios de malware no primeiro trimestre estavam relacionadas ao Nanopool. Esta plataforma popular agrega a atividade de mineração de criptomoedas para permitir retornos constantes. Esses domínios são domínios tecnicamente legítimos associados a uma organização legítima. No entanto, as conexões com esses pools de mineração quase sempre se originam em uma rede de negócios ou educação a partir de infecções por malware versus operações legítimas de mineração.
As empresas ainda enfrentam uma ampla gama de ataques de rede exclusivos
Embora as 10 principais assinaturas de IPS tenham sido responsáveis por 87% de todos os ataques de rede; as detecções exclusivas atingiram sua maior contagem desde o primeiro trimestre de 2019. Esse aumento indica que os ataques automatizados estão se concentrando em um subconjunto menor de explorações potenciais, em vez de tentar tudo, menos a pia da cozinha. No entanto, as empresas ainda estão passando por uma ampla gama de detecções.
Os relatórios trimestrais de pesquisa da WatchGuard são baseados em dados anônimos do Firebox Feed de Fireboxes ativos do WatchGuard, cujos proprietários optaram por compartilhar dados em apoio direto aos esforços de pesquisa do Laboratório de Ameaças. No primeiro trimestre, o WatchGuard bloqueou um total de mais de 21,5 milhões de variantes de malware (274 por dispositivo) e quase 4,7 milhões de ameaças de rede (60 por dispositivo). O relatório completo inclui detalhes sobre malware adicionais e tendências de rede do primeiro trimestre de 2022, estratégias de segurança recomendadas e dicas críticas de defesa para empresas de todos os tamanhos e em qualquer setor, e muito mais.
FONTE: HELPNET SECURITY