0
0
As detecções de malware e ransomware do Endpoint superaram o volume total visto em 2020 até o final do terceiro trimestre de 2021, de acordo com pesquisadores do WatchGuard Threat Lab. Em seu relatório mais recente, o WatchGuard também destaca que uma porcentagem significativa de malware continua a chegar sobre conexões criptografadas.
Enquanto o malware de zero-day aumentou apenas 3% para 67,2% no terceiro trimestre de 2021, a porcentagem de malware que chegou via Transport Layer Security (TLS) saltou de 31,6% para 47%. Os dados mostram que muitas organizações não estão descriptografando essas conexões e, portanto, têm pouca visibilidade sobre a quantidade de malware que atinge suas redes.
“Embora o volume total de ataques de rede tenha diminuído ligeiramente, o malware por dispositivo aumentou pela primeira vez desde que a pandemia começou”, disse Corey Nachreiner, CSO do WatchGuard. “O ambiente de segurança continua sendo desafiador, por isso é importante que as organizações ultrapassem os altos e baixos de curto prazo e a sazonalidade de métricas específicas e se concentrem em tendências persistentes e preocupantes que contribuam para sua postura de segurança. Um exemplo importante é o uso acelerado de conexões criptografadas para entregar zero dias.”
Descobertas adicionais sobre detecções de malware e ransomware
À medida que os usuários atualizam para versões mais recentes do Microsoft Windows e do Office, os atacantes estão se concentrando em vulnerabilidades mais recentes – Enquanto vulnerabilidades não reparadas em softwares mais antigos continuam a fornecer um rico campo de caça para atacantes, eles também estão procurando explorar fraquezas nas versões mais recentes dos produtos amplamente usados da Microsoft. No terceiro trimestre, o CVE-2018-0802 – que explora uma vulnerabilidade no Editor de Equações no Microsoft Office – quebrou o malware antivírus do WatchGuard por lista de volumes, atingindo o número 6, depois de aparecer na lista de malware mais difundida no trimestre anterior. Além disso, dois injetores de código do Windows (Win32/Heim.D e Win32/Heri) ficaram em primeiro e 6 na lista mais detectada, respectivamente.
Os atacantes atingiram desproporcionalmente as Américas – A esmagadora maioria dos ataques de rede teve como alvo as Américas no 3º trimestre (64,5%) em comparação com a Europa (15,5%) e a APAC (20%).
As detecções globais de ataques de rede retomaram uma trajetória mais normal, mas ainda representam riscos significativos – Após trimestres consecutivos de crescimento de mais de 20%, cerca de 4,1 milhões de explorações de rede únicas foram detectadas no 3º trimestre. A queda de 21% trouxe volumes para os níveis do 1º trimestre, que ainda eram altos em relação ao ano anterior. A mudança não significa necessariamente que os adversários estão desapontando, pois possivelmente estão mudando seu foco para ataques mais direcionados.
As 10 principais assinaturas de ataque de rede são responsáveis pela grande maioria dos ataques – Dos 4.095.320 acessos detectados pelo IPS no terceiro trimestre, 81% foram atribuídos às 10 principais assinaturas. Na verdade, havia apenas uma nova assinatura no top 10 no 3º trimestre, ‘WEB Remote File Inclusion /etc/passwd’ (1054837), que tem como alvo servidores web mais antigos, mas ainda amplamente usados no Microsoft Internet Information Services (IIS). Uma assinatura (1059160), uma injeção SQL, continuou a manter a posição que ocupa no topo da lista desde o 2º trimestre de 2019.
Os ataques de scripts sobre os pontos finais continuam em ritmo recorde – No final do 3º trimestre, já havia 10% mais scripts de ataque do que em todo o ano de 2020, o que, por sua vez, viu um aumento de 666% em relação ao ano anterior. À medida que as forças de trabalho híbridas começam a parecer com a regra e não com a exceção, um perímetro forte não é mais suficiente para parar ameaças.
Embora existam várias maneiras de os cibercriminosos atacarem pontos finais – desde explorações de aplicativos até ataques vivos baseados em script – mesmo aqueles com habilidades limitadas podem muitas vezes executar totalmente uma carga de malware com ferramentas de scripting como PowerSploit, PowerWare e Cobalt Strike, enquanto evitam a detecção básica de ponto final.
Mesmo domínios normalmente seguros podem ser comprometidos – Uma falha de protocolo no sistema de autodiscção do Servidor de Intercâmbio da Microsoft permitiu que os invasores coletassem credenciais de domínio e comprometessem vários domínios normalmente confiáveis. No total, no terceiro trimestre foram bloqueados 5,6 milhões de domínios maliciosos, incluindo vários novos domínios de malware que tentam instalar software para criptominamento, madeireiros-chave e trojans de acesso remoto (RATs), bem como domínios de phishing disfarçados de sites do SharePoint para coletar credenciais de login do Office365.
Embora tenha uma queda de 23% em relação ao trimestre anterior, o número de domínios bloqueados ainda é várias vezes maior do que o observado no quarto trimestre de 2020 (1,3 milhão). Isso destaca a necessidade crítica de as organizações se concentrarem em manter servidores, bancos de dados, sites e sistemas atualizados com os patches mais recentes para limitar vulnerabilidades para os invasores explorarem.
Ransomware, ransomware, ransomware – Após um declínio acentuado em 2020, os ataques de ransomware atingiram 105% do volume de 2020 até o final de setembro, como previsto no final do trimestre anterior e estão no ritmo de atingir 150% uma vez que os dados de 2021 são analisados. As operações de ransomware como serviço, como REvil e GandCrap, continuam a baixar a barra para criminosos com pouca ou nenhuma habilidade de codificação, fornecendo a infraestrutura e as cargas de malware para realizar ataques globalmente em troca de uma porcentagem do resgate.
O principal incidente de segurança do trimestre, Kaseya, foi mais uma demonstração da ameaça contínua de ataques na cadeia de suprimentos digitais – Pouco antes do início do longo fim de semana de feriado de 4 de julho nos EUA, dezenas de organizações começaram a relatar ataques de ransomware contra seus pontos finais. A análise de incidentes do WatchGuard descreveu como os atacantes que trabalham com a operação REvil ransomware-as-a-service (RaaS) exploraram três vulnerabilidades de zero-day (incluindo cve-2021-30116 e CVE-2021-30118) no software Kaseya VSA Remote Monitoring and Management (RMM) para fornecer ransomware a cerca de 1.500 organizações e potencialmente milhões de pontos finais.
Embora o FBI eventualmente comprometeu os servidores da REvil e obteve a chave de descriptografia alguns meses depois, o ataque forneceu mais um lembrete da necessidade de as organizações tomarem medidas proativas como adotar a confiança zero, empregar o princípio de menor privilégio para o acesso dos fornecedores e garantir que os sistemas sejam corrigidos e atualizados para minimizar o impacto dos ataques da cadeia de suprimentos.
FONTE: HELPNET SECURITY