A WatchGuard anuncia o seu Internet Security Report para o terceiro trimestre de 2020. As principais descobertas da companhia revelam como a COVID-19 impactou o cenário de ameaças à segurança, com evidências de que os invasores continuam a visar as redes corporativas, apesar da mudança para o trabalho remoto, e um aumento nos domínios maliciosos relacionados à pandemia e campanhas de phishing.
“À medida que o impacto da COVID-19 continua a se desenvolver, nossa inteligência de ameaças fornece informações importantes sobre como os cibercriminosos estão adaptando as suas táticas,” diz Corey Nachreiner, chief technology officer da WatchGuard. “Embora não exista “o novo normal” quando se trata de segurança, as empresas podem ter certeza de que aumentar a proteção para o endpoint e a rede será uma prioridade em 2021. Também será importante estabelecer uma abordagem em camadas para a segurança da informação, com serviços que podem mitigar ataques evasivos e criptografados, campanhas sofisticadas de phishing e muito mais.”
Os relatórios da WatchGuard fornecem às empresas, seus parceiros e clientes finais dados concretos, análises de especialistas e percepções sobre as mais recentes tendências de malware e ataques de rede à medida que surgem e influenciam o cenário de ameaças em constante evolução. As principais conclusões do terceiro trimestre de 2020 incluem:
• Ataques de rede e detecções únicas atingiram seu pico dos últimos dois anos – Os ataques à rede aumentaram para mais de 3,3 milhões no terceiro trimestre, representando um crescimento de 90% em relação ao trimestre anterior e o nível mais alto em dois anos. As assinaturas únicas de ataques de rede também continuaram em uma trajetória ascendente, atingindo também uma alta de dois anos no terceiro trimestre. Essas descobertas destacam o fato de que as empresas devem priorizar a manutenção e o fortalecimento das proteções para ativos e serviços baseados em rede, mesmo quando a força de trabalho se torna cada vez mais remota.
• Golpes de COVID-19 crescem de forma predominante – No terceiro trimestre, uma campanha de adware COVID-19 em execução em sites usados para fins legítimos de suporte a pandemia fez parte da lista da WatchGuard dos “10 principais sites comprometidos”. A companhia também descobriu um ataque de phishing que usa o Microsoft SharePoint para hospedar uma página de pseudo-login, que se faz passar pela Organização das Nações Unidas (ONU). O gancho do e-mail continha mensagens sobre alívio para pequenas empresas da ONU devido a COVID-19. Essas descobertas enfatizam que os invasores continuarão a se aproveitar do medo, incerteza e dúvida em torno da crise de saúde global para atrair e enganar suas vítimas.
• As empresas clicam em centenas de ataques de phishing e links ruins – No terceiro trimestre, o serviço DNSWatch da WatchGuard bloqueou 2.764.736 conexões de domínio mal-intencionadas, o que se traduz em 499 conexões bloqueadas por organização no total. Dividindo ainda mais, cada organização teria alcançado 262 domínios de malware, 71 sites comprometidos e 52 campanhas de phishing. Combinado com o aumento mencionado acima em fraudes relacionadas à COVID-19 convincentes, essas descobertas ilustram a importância de implantar serviços de DNS filtering e treinamento de conscientização de segurança do usuário.
• Os invasores investigam os sistemas vulneráveis SCADA nos EUA – A única nova adição à lista de ataques de rede mais comuns da WatchGuard no terceiro trimestre explora uma vulnerabilidade de desvio de autenticação corrigida anteriormente, em um popular sistema de controle de supervisão e aquisição de dados (SCADA). Embora essa classe de vulnerabilidade não seja tão séria quanto uma falha de execução remota de código, ela ainda pode permitir que um invasor assuma o controle do software SCADA em execução no servidor. Os atacantes alvejaram quase 50% das redes dos EUA com esta ameaça no terceiro trimestre, destacando que os sistemas de controle industrial podem ser uma importante área de foco para os criminosos no próximo ano.
• Botnet semelhante ao LokiBot estreia como uma variante de malware mais difundida – Farelt, um ladrão de senhas que se assemelha ao LokiBot, entrou na lista das cinco principais detecções de malware mais difundidas. Embora não esteja claro se a botnet Farelt usa o mesmo comando e estrutura de controle do LokiBot, há uma grande probabilidade de que o mesmo grupo, SilverTerrier, tenha criado as duas variantes. Essa botnet executa várias etapas para contornar os controles de antivírus e enganar os usuários para que instalem o malware. Ao pesquisar a ameaça, a WatchGuard encontrou fortes evidências indicando que o malware provavelmente tinha como alvo muito mais vítimas do que os dados sugerem.
• Emotet persiste– Emotet, um trojan bancário prolífico e conhecido ladrão de senhas, fez sua estreia na lista dos dez principais malwares da WatchGuard pela primeira vez no terceiro trimestre. Por pouco, ele não alcançou a lista dos dez principais domínios que distribuem malware (por apenas algumas conexões). Apesar de chegar em 11º lugar na última lista, essa aparição é particularmente notável, já que o WatchGuard Threat Lab e outras equipes de pesquisa viram as infecções atuais do Emotet despejando cargas adicionais como o Trickbot e até mesmo o ransomware Ryuk, sem sinais de desaceleração.
Os relatórios trimestrais da WatchGuard são baseados em dados anônimos do Firebox Feed de dispositivos WatchGuard ativos, cujos proprietários optaram por compartilhar dados para apoiar os esforços de pesquisa da companhia. No terceiro trimestre, quase 48.000 appliances WatchGuard contribuíram com dados para o relatório (o maior de todos os tempos), bloqueando um total de mais de 21,5 milhões de variantes de malware (450 por dispositivo) e mais de 3,3 milhões de ameaças de rede (ou cerca de 70 detecções por appliance). Os appliances Firebox também continuaram sua ascendente tendência de detecções de assinaturas únicas, identificando e bloqueando coletivamente 438 assinaturas de ataques únicos – um aumento de 6,8% em relação ao segundo trimestre e o máximo desde o quarto trimestre de 2018.
O relatório completo inclui pesquisas aprofundadas e as principais práticas defensivas que empresas de todos os portes podem usar para se proteger contra ameaças de segurança modernas. O relatório também apresenta uma análise detalhada do hack histórico do Twitter que comprometeu 130 contas de perfis importantes para promover um golpe do Bitcoin em julho de 2020.
