A WatchGuard anuncia seu último Internet Security Report trimestral, destacando as principais tendências de malware e ameaças à segurança de rede para o terceiro trimestre de 2021. Os dados indicam que, embora o volume total de detecção de malware no perímetro tenha diminuído em relação aos máximos alcançados no trimestre anterior , as detecções de malware de endpoint já ultrapassaram o volume total visto em 2020 (com dados do quarto trimestre de 2021 ainda a serem relatados). Além disso, uma porcentagem significativa de malware continua chegando por meio de conexões criptografadas, continuando a tendência dos trimestres anteriores.
“Embora o volume total de ataques à rede tenha diminuído ligeiramente no terceiro trimestre, o malware por dispositivo aumentou pela primeira vez desde o início da pandemia. Olhando para o ano como um todo, o ambiente de segurança continua desafiador. As empresas precisam ir além dos altos e baixos de curto prazo e da sazonalidade de métricas específicas, e se concentrem em tendências persistentes e preocupantes que levam em consideração sua postura de segurança. Um exemplo importante é o uso acelerado de conexões criptografadas para entregar zero day”, diz Corey Nachreiner, chief security officer da WatchGuard”.
Entre suas descobertas mais notáveis o Internet Security Report do terceiro trimestre de 2021 da WatchGuard revela:
• Quase metade dos malwares zero day agora são entregues por meio de conexões criptografadas – Enquanto a quantidade total de malware zero day aumentou modestos 3% para 67,2% no terceiro trimestre, a porcentagem de malware que chegou via Transport Layer Security (TLS) saltou de 31,6% para 47%. Uma porcentagem menor de zero days criptografados é considerada avançada, mas ainda é preocupante, pois os dados da WatchGuard mostram que muitas organizações não estão descriptografando essas conexões e, portanto, têm pouca visibilidade da quantidade de malware que atinge suas redes.
• À medida que os usuários atualizam para versões mais recentes do Microsoft Windows e do Office, os invasores estão se concentrando em vulnerabilidades mais recentes – Embora as vulnerabilidades não corrigidas em softwares mais antigos continuem a fornecer um rico terreno de caça para invasores, eles também estão procurando explorar os pontos fracos nas versões mais recentes dos produtos amplamente utilizados da Microsoft. No terceiro trimestre, o CVE-2018-0802 – que explora uma vulnerabilidade no Editor de Equações no Microsoft Office – chegou à lista “top 10 gateway antivirus malware by volume” da WatchGuard, atingindo o sexto lugar, depois de aparecer na lista de malware mais difundido no trimestre anterior. Além disso, dois injetores de código do Windows (Win32/Heim.D e Win32/Heri) ficaram em número 1 e 6 na lista de mais detectados, respectivamente.
• Os invasores atingiram desproporcionalmente as Américas – A esmagadora maioria dos ataques de rede teve como alvo as Américas no terceiro trimestre (64,5%) em comparação com a Europa (15,5%) e APAC (20%).
• As detecções gerais de ataques à rede retomaram uma trajetória mais normal, mas ainda representam riscos significativos – Após trimestres consecutivos de crescimento superior a 20%, O Intrusion Prevention Service (IPS) da WatchGuard detectou cerca de 4,1 milhões de exploits de rede exclusivos no terceiro trimestre. A queda de 21% trouxe volumes para os níveis do primeiro trimestre, que ainda eram altos em relação ao ano anterior. A mudança não significa necessariamente que os adversários estão desistindo, pois possivelmente estão mudando seu foco para ataques mais direcionados.
• As 10 principais assinaturas de ataques de rede são responsáveis pela grande maioria dos ataques – Dos 4.095.320 hits detectados pelo IPS no terceiro trimestre, 81% foram atribuídos às 10 principais assinaturas. Na verdade, houve apenas uma nova assinatura no top 10 no terceiro trimestre, ‘WEB Remote File Inclusion /etc/passwd’ (1054837), que tem como alvo servidores Web mais antigos, mas ainda amplamente usados, do Microsoft Internet Information Services (IIS). Uma assinatura (1059160), uma SQL injection, continuou a manter a posição que ocupava no topo da lista desde o segundo trimestre de 2019.
• Ataques de script em endpoints continuam em ritmo recorde – Até o final do 3º trimestre, O threat intelligence AD360 da WatchGuard e o WatchGuard Endpoint Detection and Response (EPDR) já registraram 10% mais ataques de script do que em todo o ano de 2020 (que, por sua vez, teve um aumento de 666% em relação ao ano anterior). À medida que as forças de trabalho híbridas começam a parecer a regra e não a exceção, um perímetro forte não é mais suficiente para interromper as ameaças. Embora existam várias maneiras de os cibercriminosos atacarem endpoints – de exploits de aplicativos a ataques baseados em scripts – mesmo aqueles com habilidades limitadas podem executar totalmente uma carga de malware com ferramentas de script como PowerSploit, PowerWare e Cobalt Strike, enquanto evita a detecção básica de endpoints.
• Mesmo domínios normalmente seguros podem ser comprometidos – Uma falha de protocolo no sistema de descoberta automática do Exchange Server da Microsoft permitiu que invasores coletassem credenciais de domínio e comprometessem vários domínios normalmente confiáveis. No geral, no terceiro trimestre, os Fireboxes da WatchGuard bloquearam 5,6 milhões de domínios maliciosos, incluindo vários novos domínios de malware que tentam instalar software para criptomineração, keyloggers e trojans de acesso remoto (RATs), bem como domínios de phishing disfarçados de sites do SharePoint para coletar credenciais de login do Office365. Embora tenha caído 23% em relação ao trimestre anterior, o número de domínios bloqueados ainda é várias vezes maior do que o nível observado no quarto trimestre de 2020 (1,3 milhão). Isso destaca a necessidade crítica de as organizações se concentrarem em manter servidores, bancos de dados, sites e sistemas atualizados com os patches mais recentes para limitar as vulnerabilidades que os invasores podem explorar.
• Ransomware, Ransomware, Ransomware – Após um declínio acentuado em 2020, os ataques de ransomware atingiram 105% do volume de 2020 até o final de setembro (como a WatchGuard previu no final do trimestre anterior) e estão a caminho de atingir 150% assim que os dados do ano de 2021 forem analisados. Operações de ransomware-as-a-service, como REvil e GandCrap, continuam a diminuir a barreira para criminosos com pouca ou nenhuma habilidade de codificação, fornecendo a infraestrutura e as cargas de malware para realizar ataques globalmente em troca de uma porcentagem do resgate.
• O principal incidente de segurança do trimestre, Kaseya, foi outra demonstração da ameaça contínua de ataques à cadeia de suprimentos digital – Pouco antes do início do feriado prolongado de 4 de julho nos EUA, dezenas de organizações começaram a relatar ataques de ransomware contra seus endpoints. A análise de incidentes da WatchGuard descreveu como os invasores que trabalham com a operação REvil ransomware-as-a-service (RaaS) exploraram três vulnerabilidades de dia zero (incluindo CVE-2021-30116 e CVE-2021-30118) no Kaseya VSA Remote Monitoring and Management ( RMM) para entregar ransomware a cerca de 1.500 organizações e potencialmente milhões de endpoints. Embora o FBI tenha comprometido os servidores do REvil e obtido a chave de descriptografia alguns meses depois, o ataque forneceu mais um lembrete da necessidade de as organizações tomarem proativamente medidas como a adoção de confiança zero, empregando o princípio de privilégio mínimo para acesso do fornecedor e garantindo os sistemas são corrigidos e atualizados para minimizar o impacto dos ataques à cadeia de suprimentos.
