“91,5% do malware do segundo trimestre disseminado através de ligações HTTPS encriptadas”

Cibersegurança e InfoSec Notícias

A WatchGuard Technologies, empresa global de inteligência e segurança de rede, Wi-Fi seguro, autenticação multifatorial e protecção avançada de endpoints, divulga o seu Internet Security Report do segundo trimestre deste ano.

Entre as principais conclusões do relatório, destaque para o facto de 91,5% do malware do segundo trimestre ter sido disseminado através de ligações HTTPS encriptadas.

O relatório também destaca volumes recordes de malware fileless, bem como taxas crescentes de ataques de rede e de ransomware.

Com grande parte do mundo ainda a funcionar num modelo de força de trabalho móvel ou híbrido, o perímetro tradicional da rede nem sempre tem em conta a cibersegurança”, afirma Corey Nachreiner, chefe de segurança da WatchGuard. “Embora a protecção do perímetro seja ainda uma parte importante de uma abordagem de segurança em camadas, uma forte protecção de endpoints (EPP) e detecção e resposta (EDR) é cada vez mais essencial”.

Seguem-se algumas das mais destacadas conclusões do relatório Internet Security Report do segundo trimestre de 2021 da WatchGuard:

  • Ligações encriptadas transportam cada vez mais malware – No segundo trimestre, 91.5% do malware circulou através de ligações encriptadas, o que representa um crescimento significativo face ao trimestre anterior. Ou seja, as empresas que não estão a verificar cuidadosamente tráfego HTTPS no seu perímetro, acabam por perder 9/10 de todo o malware.
  • Malware está a usar ferramentas PowerShell para contornar protecções fortes – O AMSI.Disable.A apareceu pela primeira vez no topo da lista de malware da WatchGuard no Q1. No último trimestre, os ataques deste malware dispararam, com o AMSI.Disable.A  a figurar no segundo lugar em termos globais de volume e na primeira posição no que respeita as ameaças encriptadas. Este malware usa ferramentas PowerShell para explorar as diversas vulnerabilidades do Windows. Mas o que o torna especialmente interessante é a sua técnica evasiva. A WatchGuard descobriu que o AMSI.Disable.A possui um código capaz de desativar o Antimalware Scan Interface (AMSI) do PowerShell, permitindo-lhe contornar as verificações dos scripts de segurança sem que a sua carga de malware seja detetada.
  • Ameaças de malware fileless disparam, tornando-se ainda mais evasivas – Só nos primeiros seis meses de 2021, a detecção de malware proveniente de motores de script, como o PowerShell, já atingiu 80% do volume total de ataques do mesmo tipo registados no ano passado, o que só por si já tinha representando um incremento substancial face ao ano anterior. Ao ritmo que estamos a assistir em 2021, a deteção de malware filess deverá duplicar face ao verificado em 2020.
  • Ataques a redes estão a disparar, apesar da mudança para o trabalho remoto – Os equipamentos da WatchGuard registaram um aumento substancial dos ataques a redes, que subiram 22% face ao trimestre anterior e atingiram o volume mais elevado desde o início de 2018. No Q1, foram contabilizados perto de 4.1 milhões de ataques a redes. No trimestre que se seguiu, esse número cresceu mais um milhão, revelando um percurso agressivo que realça a importância crescente em manter a segurança do perímetro, em paralelo com as proteções centradas no utilizador.
  • Ataques de ransomware regressam mais fortes – A trajetória descendente de deteções de ransomware em endpoints verificada entre 2018 e 2020 foi interrompida no primeiro semestre deste ano, com o volume de deteções nestes seis meses perto do registado em todo o ano de 2020. Se as deteções diárias de ransomware permanecerem estáveis o resto do ano, no final de 2021 teremos um aumento de 150% face a 2020.

Além disso, o ataque de 7 de maio de 2021 à Colonial Pipeline demonstrou, de forma clara e assustadora, que a ameaça do ransomware veio para ficar.

Qualificado como o maior incidente de segurança do trimestre, esta falha mostrou que os ciberataques não só estão a ser dirigidos a serviços vitais, como hospitais, controlo industrial e infraestruturas, como parecem estar a aumentar contra alvos de valor muito elevado.

A análise de incidentes da WatchGuard examina as consequências deste ataque, como será o futuro da segurança das infraestruturas críticas e as medidas que as organizações e empresas de qualquer setor podem adoptar para se defenderem contra estes ataques e retardarem a sua propagação.

  • Serviços antigos continuam a ser alvos valiosos – Ao contrário das habituais uma ou duas assinaturas novas verificadas em relatórios trimestrais anteriores, houve quatro novos registos no top 10 dos ataques à rede da WatchGuard no Q2. De notar que o mais recente foi uma vulnerabilidade de 2020 na popular linguagem PHP, mas os outros três não são de todo novos. Incluem uma vulnerabilidade no servidor 20ll Oracle GlassFish, uma falha de injecção de SQL 2013 na aplicação de registos médicos OpenMER e uma vulnerabilidade de 2017 na execução de código remoto (RCE, na sigla original) no Microsoft Edge. Embora datadas, todas continuam a representar riscos se não forem corrigidas.
  • Ameaças baseadas no Microsoft Office mantêm-se populares – Q2 registou uma nova entrada na lista dos 10 ataques à rede mais extensos, que fez a sua estreia mesmo no topo. A assinatura, 1133630, é a vulnerabilidade RCE 2017 acima mencionada que afeta os browsers Microsoft. Apesar de ser uma falha antiga e corrigida na maioria dos sistemas (assim esperamos), quem ainda não corrigiu vai acordar para o problema da pior forma se o criminoso atacar antes de o fazer. Aliás, uma falha de segurança RCE muito semelhante e de alta severidade, rastreada como CVE-2021-40444, foi notícia no início do mês quando foi ativamente explorada em ataques contra o Microsoft Office e o Office 365 nos computadores com Windows 10. As ameaças com base no Office continuam a ser populares no que respeita a malware, razão pela qual continuamos a assistir a estes ataques já testados e que se sabe serem eficazes. Felizmente, ainda são detetados por defesas IPS igualmente testadas e eficazes.
  • Domínios de phishing mascarados de domínios legítimos e amplamente conhecidos – A WatchGuard registou recentemente um aumento na utilização de malware dirigido a servidores Microsoft Exchange e utilizadores genéricos de email para fazer o download de trojans de acesso remoto (RAT) em locais considerados altamente sensíveis. Isto deve-se, muito provavelmente, ao facto de Q2 ser o segundo trimestre consecutivo em que os trabalhadores remotos e os estudantes regressam quer aos seus escritórios, mesmo que em regime híbrido, quer às instituições de ensino ou a comportamentos anteriormente normais.

Os relatórios trimestrais da WatchGuard são baseados em dados anónimos de Firebox Feed de WatchGuard Fireboxes activos cujos proprietários optaram por compartilhar dados para apoiar os esforços de pesquisa do Laboratório de Ameaças. No segundo trimestre, a WatchGuard bloqueou um total de mais de 16,6 milhões de variantes de malware (438 por dispositivo) e quase 5,2 milhões de ameaças de rede (137 por dispositivo). O relatório completo inclui detalhes sobre malware adicional e tendências de rede durante o segundo trimestre de 2021, uma análise detalhada às ameaças do segundo semestre do ano, dicas de defesa e muito mais.

Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.