0
0
Apesar do declínio no malware detectado pela rede no 4º trimestre de 2022, o ransomware de endpoint aumentou 627%, enquanto o malware associado a campanhas de phishing persistiu como uma ameaça, de acordo com a WatchGuard.
Malware que não é detectado
Apesar de ver um declínio geral no malware, uma análise mais aprofundada dos pesquisadores do WatchGuard Threat Lab que analisam as Fireboxes que descriptografam o tráfego HTTPS (TLS / SSL) encontrou uma maior incidência de malware, indicando que a atividade de malware mudou para o tráfego criptografado.
Como apenas ~20% das Fireboxes que fornecem dados para este relatório têm a descriptografia habilitada, isso indica que a grande maioria dos malwares não é detectada.
“Uma tendência contínua e preocupante em nossos dados e pesquisas mostra que a criptografia – ou, mais precisamente, a falta de descriptografia no perímetro da rede – está escondendo a imagem completa das tendências de ataque a malware”, disse Corey Nachreiner, CSO da WatchGuard.
“É fundamental que os profissionais de segurança habilitem a inspeção HTTPS para garantir que essas ameaças sejam identificadas e abordadas antes que possam causar danos”, acrescentou Nacheriner.
As detecções de ransomware de endpoint aumentaram 627%
Esse pico destaca a necessidade de defesas contra ransomware, como controles de segurança modernos para prevenção proativa, bem como bons planos de recuperação de desastres e continuidade de negócios (backup).
93% do malware se esconde atrás da criptografia
A pesquisa continua a indicar que a maioria dos malwares se esconde na criptografia SSL / TLS usada por sites seguros. O 4º trimestre continua essa tendência com um aumento de 82% para 93%. Os profissionais de segurança que não inspecionam esse tráfego provavelmente estão perdendo a maioria dos malwares e colocando um ônus maior na segurança do endpoint para detectá-lo.
As detecções de malware baseadas em rede caíram aproximadamente 9,2% trimestre a trimestre durante o 4º trimestre
Isso continua um declínio geral nas detecções de malware nos últimos dois trimestres. Mas, como mencionado, ao considerar o tráfego criptografado da web, o malware está em alta. A equipe acredita que essa tendência de declínio pode não ilustrar o quadro completo e precisa de mais dados que aproveitem a inspeção HTTPS para confirmar essa afirmação.
As detecções de malware de endpoint aumentaram 22%
While network malware detections fell, endpoint detection rose in Q4. This supports the team’s hypothesis of malware shifting to encrypted channels. At the endpoint, TLS encryption is less of a factor, as a browser decrypts it for Threat Lab’s endpoint software to see.
Among the leading attack vectors, most detections were associated with Scripts, which constituted 90% of all detections. In browser malware detections, threat actors targeted Internet Explorer the most with 42% of the detections, followed by Firefox with 38%.
Zero day or evasive malware has dropped to 43% in unencrypted traffic
Though still a significant percentage of overall malware detections, it’s the lowest the researchers has seen in years. That said, the story changes completely when looking at TLS connections. 70% of malware over encrypted connections evades signatures.
Phishing campaigns have increased
Three of the malware variants seen in the report’s top 10 list (some also showing on the widespread list) assist in various phishing campaigns. The most-detected malware family, JS.A gent.UNS, contains malicious HTML that directs users to legitimate-sounding domains that masquerade as well-known websites.
Another variant, Agent.GBPM, creates a SharePoint phishing page titled “PDF Salary Increase,” which attempts to access account information from users. The last new variant in the top 10, HTML.Agent.WR, opens a fake DHL notification page in French with a login link that leads to a known phishing domain.
Phishing and business email compromise (BEC) remains one of the top attack vectors, so make sure you have both the right preventative defenses and security awareness training programs to defend against it.
ProxyLogin exploits continue to grow
An exploit for this well-known, critical Exchange issue rose from eighth place in Q3 to fourth place last quarter. It should be long patched, but if not, security professionals must know attackers are targeting it. Old vulnerabilities can be as useful to attackers as new ones if they’re able to achieve a compromise.
Além disso, muitos invasores continuam a visar Microsoft Exchange Servers ou sistemas de gerenciamento. As organizações devem estar cientes e saber onde colocar seus esforços na defesa dessas áreas.
O volume de ataques à rede é estável trimestre a trimestre
Tecnicamente, aumentou em 35 acertos, o que representa apenas um aumento de 0,0015%. A ligeira mudança é notável, já que a próxima menor mudança foi de 91.885 do 1º para o 2º trimestre de 2020.
O LockBit continua a ser um grupo de ransomware e uma variante de malware predominantes
A equipe continua a ver variantes do LockBit com frequência, já que esse grupo parece ter o maior sucesso violando as empresas (através de suas afiliadas) com ransomware.
Embora abaixo do trimestre anterior, a LockBit novamente teve o maior número de vítimas de extorsão pública, com 149 rastreadas pelo WatchGuard Threat Lab (em comparação com 200 no 3º trimestre). Também no 4º trimestre, a equipe detectou 31 novos grupos de ransomware e extorsão.
FONTE: HELPNET SECURITY