WatchGuard: due terzi del malware crittografato e invisibile senza l’ispezione HTTPS

Il nuovo Internet Security Report relativo a Q1 2020 di WatchGuard evidenzia il pericolo del malware crittografato, offre dettagli sull’impatto che la pandemia COVID-19 ha avuto sulla sicurezza e rileva un’ondata di cryptominer Monero, malware Flawed-Ammyy e Cryxos

WatchGuard Technologies, specialista globale in soluzioni per la sicurezza e l’intelligence delle reti, per il Wi-Fi sicuro, l’autenticazione multi-fattore e la protezione avanzata degli endpoint, ha rilasciato il suo nuovo Internet Security Report riferito a Q1 2020 (scaricalo qui). Per la prima volta in assoluto, questo report include dati sulla percentuale di malware che viene distribuito attraverso connessioni HTTPS crittografate.

La threat intelligence di WatchGuard mostra che il 67% di tutto il malware di Q1 è stato diffuso tramite HTTPS, pertanto le organizzazioni prive di soluzioni di sicurezza in grado di ispezionare il traffico crittografato non riusciranno a individuare i due terzi delle minacce in arrivo.

Inoltre, il 72% del malware crittografato è stato classificato come zero day (il che significa che non esiste alcuna firma antivirus per bloccarlo e che è in grado, quindi, di bypassare le soluzioni di protezione basate sulla firma). Questi risultati confermano che l’ispezione HTTPS e le soluzioni avanzate di rilevamento e risposta alle minacce basate sul comportamento sono ora requisiti fondamentali per ogni organizzazione attenta alla sicurezza. Il rapporto include anche una sezione speciale che illustra in dettaglio l’impatto del COVID-19 sul panorama delle minacce.

“Alcune organizzazioni sono riluttanti a impostare l’ispezione HTTPS a causa del lavoro aggiuntivo richiesto, ma i nostri dati sulle minacce mostrano chiaramente che la maggior parte del malware viene distribuito attraverso connessioni crittografate e lasciare che il traffico non venga ispezionato non è più un’opzione possibile”, ha affermato Corey Nachreiner, chief tecnology officer di WatchGuard. “Poiché il malware continua a diventare più avanzato ed evasivo, l’unico approccio per la difesa è l’implementazione di una serie di servizi di sicurezza a più livelli, inclusi metodi avanzati di rilevamento delle minacce e ispezione HTTPS.”

L’Internet Security Report di WatchGuard prepara le aziende del mid-market, i fornitori di servizi che le supportano e gli utenti finali che lavorano per loro, fornendo dati sulle tendenze, la ricerca e le migliori pratiche di cui hanno bisogno per difendersi dalle moderne minacce alla sicurezza. Ecco i principali risultati del report riferito a Q1 2020:

• I cryptominer Monero aumentano di popolarità. Cinque dei primi dieci domini che hanno distribuito malware nel primo trimestre (identificati dal servizio di DNS filtering di WatchGuard, DNSWatch) hanno ospitato o controllato cryptominer Monero. Questo improvviso salto nella popolarità dei cryptominer potrebbe essere semplicemente dovuto alla loro utilità; l’aggiunta di un modulo di crittografia al malware è un modo semplice per i criminali online di generare reddito passivo.

• Le varianti di malware Flawed-Ammyy e Cryxos entrano a far parte delle top list. Il trojan Cryxos è risultato terzo nella lista di WatchGuard dei cinque principali malware crittografati e terzo nella lista dei primi cinque rilevamenti di malware più diffusi, indirizzati principalmente verso Hong Kong. Viene consegnato come allegato di posta elettronica mascherato come una fattura e chiede all’utente di inserire la propria e-mail e password, che quindi poi memorizza. Flawed-Ammyy è una truffa in cui l’attaccante utilizza il software di supporto Ammyy Admin per ottenere l’accesso remoto al computer della vittima.

• La vulnerabilità di Adobe che compie tre anni appare nei principali attacchi alla rete. Un exploit di Adobe Acrobat Reader, che è stato corretto nell’agosto 2017, è apparso nell’elenco degli attacchi alla rete di WatchGuard per la prima volta nel primo trimestre di quest’anno. Questa vulnerabilità riemersa diversi anni dopo essere stata scoperta e risolta illustra l’importanza di applicare patch e aggiornare regolarmente i sistemi.

• Mapp Engage, AT&T e Bet365 presi di mira dalle campagne di spear phishing. Tre nuovi domini che ospitano campagne di phishing sono apparsi nella top-ten di WatchGuard nel primo trimestre 2020. Hanno impersonato il prodotto di digital marketing e analytics Mapp Engage, la piattaforma di scommesse online Bet365 (questa campagna era in cinese) e una pagina di accesso di AT&T (questa campagna non è più attiva al momento della pubblicazione del report).

• Impatto del COVID-19. Il primo trimestre del 2020 è stato solo l’inizio dei grandi cambiamenti nel panorama delle minacce informatiche provocati dalla pandemia di COVID-19. Nei primi tre mesi del 2020, abbiamo assistito a un massiccio aumento dei lavoratori in remoto e degli attacchi contro singoli individui.

• Attacchi malware e di rete diminuiscono. Complessivamente ci sono stati il 6,9% in meno di attacchi malware e l’11,6% in meno di attacchi di rete nel primo trimestre, nonostante un aumento del 9% nel numero di firewall WatchGuard Firebox che contribuiscono a fornire dati. Ciò potrebbe essere attribuito a un minor numero di potenziali obiettivi che operano all’interno del tradizionale perimetro della rete con policy di “lavoro da casa” in pieno vigore in tutto il mondo durante la pandemia di COVID-19.

• La Gran Bretagna e la Germania sono state pesantemente colpite da minacce malware diffuse. L’elenco dei malware più diffusi di WatchGuard mostra che Germania e Gran Bretagna sono stati i principali obiettivi per quasi tutti i malware più comuni nel primo trimestre.

Test di terze parti hanno scoperto che i prodotti WatchGuard mantengono costantemente un elevato throughput durante l’ispezione del traffico HTTPS. Molti prodotti della concorrenza mostrano un significativo peggioramento delle prestazioni in questo scenario. Ad esempio, un test indipendente eseguito da Miercom ha rilevato che Firebox M370 ha superato i prodotti della concorrenza durante l’ispezione del traffico HTTPS con i servizi di sicurezza completi abilitati.

L’Internet Security Report di WatchGuard si basa sui dati in forma anonima provenienti dai Firebox Feed di appliance WatchGuard attive i cui proprietari hanno acconsentito alla condivisione dei dati per supportare gli sforzi di ricerca del Threat Lab di WatchGuard. Oggi, oltre 44.000 appliance in tutto il mondo forniscono dati di intelligence sulle minacce per questo report. Nel primo trimestre del 2020, le appliance WatchGuard hanno bloccato 32.148.519 varianti di malware in totale (730 sample per dispositivo) e più di 1.600.000 attacchi di rete (38 attacchi per dispositivo).

Il report completo include le migliori pratiche difensive che le organizzazioni di tutte le dimensioni possono utilizzare per proteggersi nel panorama odierno delle minacce e un’analisi dettagliata di come la pandemia di COVID-19 e il conseguente aumento dell’home working abbiano influenzato il panorama della sicurezza informatica.