91,5% dos malware chegaram por meio de conexões criptografadas durante o segundo trimestre de 2021
O último relatório do WatchGuard mostra uma surpreendente 91,5% de malware chegando por conexões criptografadas durante o segundo trimestre de 2021.
Este é um aumento dramático em relação ao trimestre anterior e significa que qualquer organização que não está examinando o tráfego HTTPS criptografado no perímetro está faltando 9 / 10 de todos os malwares.
Os pesquisadores também encontraram surtos alarmantes em ameaças de malware sem arquivo , um crescimento dramático em ransomware e um grande aumento em ataques de rede.
“Com grande parte do mundo ainda operando firmemente em um modelo de força de trabalho móvel ou híbrido, o perímetro de rede tradicional nem sempre é considerado na equação de defesa da segurança cibernética”, disse Corey Nachreiner , CSO da WatchGuard .
“Embora uma forte defesa de perímetro ainda seja uma parte importante de uma abordagem de segurança em camadas, a proteção forte de endpoint (EPP) e a detecção e resposta de endpoint (EDR) são cada vez mais essenciais.”
Malware está usando ferramentas do PowerShell para contornar proteções poderosas
AMSI.Disable.A apareceu na seção de malware principal pela primeira vez no primeiro trimestre e imediatamente disparou neste trimestre, alcançando a segunda posição geral em volume e ocupando o primeiro lugar em ameaças criptografadas em geral. Esta família de malware usa ferramentas PowerShell para explorar várias vulnerabilidades no Windows, mas o que o torna especialmente interessante é sua técnica evasiva.
AMSI.Disable.A possui um código capaz de desabilitar a Antimalware Scan Interface (AMSI) no PowerShell, permitindo que ele contorne as verificações de segurança do script com sua carga de malware não detectada.
Ameaças sem arquivo aumentam, tornando-se ainda mais evasivas
Apenas nos primeiros seis meses de 2021, as detecções de malware originadas de mecanismos de script como o PowerShell já atingiram 80% do volume total de ataques iniciados por script do ano passado, o que representou um aumento substancial em relação ao ano anterior. Em seu ritmo atual, 2.021 detecções de malware sem arquivo estão a caminho de dobrar de volume em relação ao ano anterior.
Ataques à rede estão crescendo, apesar da mudança para forças de trabalho principalmente remotas
Os appliances WatchGuard detectaram um aumento substancial nos ataques à rede, que aumentaram 22% em relação ao trimestre anterior e atingiram o maior volume desde o início de 2018. O primeiro trimestre viu quase 4,1 milhões de ataques à rede.
No trimestre seguinte, esse número saltou para outro milhão – traçando um curso agressivo que destaca a crescente importância de manter a segurança do perímetro ao lado de proteções focadas no usuário.
Ransomware ataca de volta com força total
Enquanto o total de detecções de ransomware no endpoint estava em uma trajetória descendente de 2018 a 2020, essa tendência quebrou no primeiro semestre de 2021, quando o total de seis meses terminou pouco antes do total do ano inteiro para 2020.
Se as detecções diárias de ransomware permanecerem inalteradas pelo resto de 2021, o volume deste ano alcançará um aumento de mais de 150% em comparação com 2020.
Ransomware de big game atinge ataques do tipo “explosão de espingarda” de eclipse
O ataque Colonial Pipeline em 7 de maio de 2021 deixou claro e assustadoramente que o ransomware como uma ameaça veio para ficar. Como o principal incidente de segurança do trimestre, a violação ressalta como os cibercriminosos não estão apenas colocando os serviços mais vitais – como hospitais, controle industrial e infraestrutura – em sua mira, mas parecem estar aumentando os ataques contra esses alvos de alto valor como Nós vamos.
Serviços antigos continuam sendo alvos valiosos
Diferentemente da usual uma a duas novas assinaturas vistas em relatórios trimestrais anteriores, havia quatro novas assinaturas entre os 10 principais ataques de rede da WatchGuard no segundo trimestre.
Notavelmente, a mais recente foi uma vulnerabilidade de 2020 na popular linguagem de script da web PHP, mas as outras três não são novas. Isso inclui uma vulnerabilidade de 20ll do Oracle GlassFish Server, uma falha de injeção de SQL de 2013 no aplicativo de registros médicos OpenEMR e uma vulnerabilidade de execução remota de código (RCE) de 2017 no Microsoft Edge. Embora desatualizados, todos ainda representam riscos se não forem corrigidos.
Ameaças baseadas no Microsoft Office persistem em popularidade
O segundo trimestre viu uma nova adição à lista dos 10 ataques de rede mais difundidos e fez sua estreia no topo. A assinatura, 1133630, é a vulnerabilidade RCE de 2017 mencionada acima que afeta os navegadores da Microsoft.
Embora possa ser um exploit antigo e corrigido na maioria dos sistemas (esperançosamente), aqueles que ainda não foram corrigidos terão um rude despertar se um invasor for capaz de acessá-lo antes que eles o façam. Na verdade, uma falha de segurança RCE de alta gravidade muito semelhante, rastreada como CVE-2021-40444 , ganhou as manchetes no início deste mês quando foi ativamente explorada em ataques direcionados contra Microsoft Office e Office 365 em computadores Windows 10.
Ameaças baseadas no Office continuam a ser populares quando se trata de malware, e é por isso que ainda estamos detectando esses ataques testados e comprovados à solta. Felizmente, eles ainda estão sendo detectados por defesas IPS testadas e comprovadas.
Os domínios de phishing se disfarçam como domínios legítimos e amplamente reconhecidos
Recentemente, houve um aumento no uso de malware visando servidores Microsoft Exchange e usuários de e-mail genéricos para baixar cavalos de Troia de acesso remoto (RATs) em locais altamente confidenciais. Isso provavelmente se deve ao fato de o segundo trimestre ser o segundo trimestre consecutivo em que os funcionários e alunos remotos retornaram a escritórios e ambientes acadêmicos híbridos ou a comportamentos anteriormente normais de atividade no local.
Em qualquer evento – ou local – é recomendado um forte reconhecimento de segurança e monitoramento de comunicações de saída em dispositivos que não estão necessariamente conectados diretamente aos dispositivos conectados.
