WatchGuard Technologies ha rilasciato il suo nuovo Internet Security Report riferito a Q1 2021. Tra i risultati più significativi emerge che il 74% delle minacce rilevate nell’ultimo trimestre sono malware zero-day – o minacce per cui non è stata rilevata al momento del rilascio del malware una soluzione antivirus basata su firme – in grado di aggirare le soluzioni antivirus convenzionali. Il report evidenzia anche un aumento del numero di attacchi alla rete, come gli attaccanti stiano cercando di mascherare e riutilizzare i vecchi exploit, quali sono stati i principali attacchi malware del primo trimestre dell’anno e altro ancora.
“L’ultimo trimestre ha registrato il livello più alto di rilevamenti di malware zero-day che abbiamo mai registrato. Il numero di malware evasivo ha effettivamente eclissato quello delle minacce tradizionali, il che è un altro segno che le organizzazioni devono evolvere le proprie difese per stare al passo con attori di minacce sempre più sofisticati”, ha dichiarato Corey Nachreiner, chief security officer della società – le soluzioni anti-malware tradizionali da sole sono insufficienti per affrontare le minacce odierne. Ogni organizzazione ha bisogno di una strategia di sicurezza proattiva e stratificata che preveda l’apprendimento automatico e l’analisi comportamentale per rilevare e bloccare minacce nuove e avanzate”.
Ecco i principali risultati emersi dall’Internet Security Report di WatchGuard riferito a Q1 2021:
- Una variante di malware fileless esplode in popolarità – JSLoader è un payload malevolo che è apparso per la prima volta nelle due liste di WatchGuard dei principali malware per volume e dei rilevamenti malware più diffusi. È stata anche la variante che WatchGuard ha rilevato più spesso tramite l’ispezione HTTPS nel primo trimestre. Il sample identificato da WatchGuard utilizza un attacco di un’entità esterna XML (XXE) per aprire una shell per eseguire comandi per bypassare le policy di esecuzione di PowerShell locali, in modo non interattivo, quindi nascosto all’utente o alla vittima. Questo è un altro esempio della crescente diffusione di malware fileless e della necessità di funzionalità avanzate di rilevamento e risposta degli endpoint.
- Un semplice trucco nel nome del file aiuta gli hacker a spacciare loader ransomware come allegati PDF legittimi – Il loader ransomware Zmutzy rappresenta una delle prime due varianti di malware crittografato per volume nel primo trimestre. Associato specificamente al ransomware Nibiru, le vittime incontrano questa minaccia come un file compresso allegato a un’email o un download da un sito Web malevolo. L’esecuzione del file zip scarica un eseguibile, che alla vittima sembra essere un PDF legittimo. Gli attaccanti hanno utilizzato una virgola invece di un punto nel nome del file e un’icona adattata manualmente per trasferire il file zip malevolo come PDF. Questo tipo di attacco evidenzia l’importanza dell’istruzione e della formazione sul phishing dei dipendenti, nonché dell’implementazione di soluzioni di backup nel caso in cui una variante come questa scateni un’infezione ransomware.
- Gli attori delle minacce continuano ad attaccare i dispositivi IoT – Sebbene non sia stata inserita nell’elenco dei primi 10 malware di WatchGuard per il primo trimestre, la variante Linux.Ngioweb.B è stata utilizzata recentemente dai criminali per prendere di mira i dispositivi IoT. La prima versione di questo sample era destinata ai server Linux che eseguono WordPress, arrivando inizialmente come file EFL (Extended Format Language). Un’altra versione di questo malware trasforma i dispositivi IoT in una botnet con server di comando e controllo a rotazione.
- Gli attacchi di rete aumentano di oltre il 20% – Le appliance WatchGuard hanno rilevato oltre 4 milioni di attacchi di rete, un aumento del 21% rispetto al trimestre precedente e il volume più alto dall’inizio del 2018. I server e le risorse aziendali on-site sono ancora obiettivi di alto valore per gli attaccanti nonostante il passaggio al lavoro remoto e ibrido: le organizzazioni devono mantenere la sicurezza perimetrale insieme a protezioni incentrate sull’utente.
- Una vecchia tecnica di attacco di directory trasversal fa il suo ritorno – WatchGuard ha rilevato una nuova firma di minaccia nel primo trimestre che coinvolge un attacco di attraversamento di directory tramite file cabinet (CAB), un formato di archiviazione progettato da Microsoft per la compressione dati senza perdita e certificati digitali incorporati. Nuova aggiunta all’elenco dei 10 principali attacchi di rete di WatchGuard, questo exploit induce gli utenti ad aprire un file CAB malevolo utilizzando tecniche convenzionali o falsificando una stampante connessa in rete per ingannare gli utenti nell’installazione di un driver della stampante tramite un file CAB compromesso.
- HAFNIUM zero-day fornisce lezioni sulle tattiche di minaccia e le migliori pratiche di risposta – Lo scorso trimestre, Microsoft ha riferito che attaccanti hanno utilizzato le quattro vulnerabilità di HAFNIUM in varie versioni di Exchange Server per ottenere l’esecuzione di codice remoto di sistema non autenticato e l’accesso arbitrario in scrittura di file a qualsiasi server senza patch esposto a Internet, come la maggior parte dei server di posta elettronica. L’analisi dell’incidente di WatchGuard approfondisce le vulnerabilità ed evidenzia l’importanza dell’ispezione HTTPS, dell’applicazione tempestiva di patch e della sostituzione di sistemi legacy.
- Gli attaccanti cooptano domini legittimi nelle campagne di cryptomining – Nel primo trimestre, il servizio DNSWatch di WatchGuard ha bloccato diversi domini compromessi e malevoli associati alle minacce di cryptomining. Il malware Cryptominer è diventato sempre più popolare a causa dei recenti aumenti di prezzo nel mercato delle criptovalute e della facilità con cui gli attori delle minacce possono sottrarre risorse a vittime ignare.
I report trimestrali di WatchGuard si basano su dati in forma anonima provenienti dai Firebox Feed di appliance WatchGuard attive i cui proprietari hanno acconsentito alla condivisione dei dati per supportare gli sforzi di ricerca del Threat Lab. Nel primo trimestre 2021, WatchGuard ha bloccato un totale di oltre 17,2 milioni di varianti di malware (461 per dispositivo) e quasi 4,2 milioni di minacce di rete (113 per dispositivo). Il report completo include dettagli su ulteriori malware e tendenze emersi nel primo trimestre del 2021, un’analisi dettagliata degli exploit di HAFNIUM Microsoft Exchange Server, suggerimenti di difesa per i lettori e altro ancora.
