A WatchGuard Technologies divulgou o Relatório de Segurança de Internet relativo ao terceiro trimestre (Q3), de 2021, destacando as principais tendências de malware e ameaças à segurança de redes, conforme analisado pelos investigadores do Laboratório de Ameaças da WatchGuard.
Os dados indicam que, apesar do volume total de detecção de malware no perímetro ter diminuído face ao trimestre anterior, as detecções de malware de endpoint ultrapassaram o volume registado em 2020 (sendo que ainda estão para ser divulgados os dados do Q4 de 2021).
Além disso, uma percentagem significativa de malware continua a ser entregue através de conexões encriptadas, mantendo a tendência verificada nos trimestres anteriores.
Seguem-se algumas das mais destacadas conclusões do relatório Internet Security Report do segundo trimestre de 2021 da WatchGuard:
- Quase metade do malware zero-day é entregue através de conexões encriptadas – Apesar do volume total de malware zero-day ter crescido uns modestos 3%, para os 67,2%, no Q3, a percentagem de malware que foi entregue via Transport Layer Security (TLS) subiu dos 31,6% para os 47%. Uma percentagem menor de zero-days encriptados é considerada avançada, mas ainda é preocupante, visto que os dados da WatchGuard revelam que muitas empresas não estão a decifrar essas ligações e, como tal, têm uma visibilidade pobre sobre a quantidade de malware que está a atingir as suas redes.
- À medida que os utilizadores actualizam os seus sistemas para versões mais recentes do Microsoft Windows e do Office, os cibercriminosos estão a focar-se em novas vulnerabilidades – Apesar das vulnerabilidades sem patches em softwares mais antigos continuarem a ser atractivas para os cibercriminosos, estes também estão a tentar explorar vulnerabilidades nas versões mais recentes dos produtos da Microsoft mais usados. No terceiro trimestre, o CVE-2018-0802 – que explora uma vulnerabilidade no Equation Editor do Microsoft Office – entrou na lista da WatchGuard dos 10 principais malwares por volume, atingindo a 6.ª posição, depois de aparecer na lista dos malware mais espalhados no trimestre anterior. Além do mais, dois injetores de código Windows (Win32/Heim.D e Win32/Heri) entraram para a primeira e a sexta posição, respectivamente, da lista dos mais detetados.
- Os cibercriminosos atacam as Américas de forma desproporcional – A grande maioria dos ataques a rede visaram as Américas no Q3 (64,5%), face à Europa (15,5%) e à região APAC (20%).
- As detecções globais de ciberataques retomaram uma trajetória mais normal, mas ainda apresentam riscos significativos – Após consecutivos trimestres com crescimentos acima dos 20%, o Serviço de Prevenção de Intrusão (IPS, na sigla original) da WatchGuard detectou perto de 4.1 milhões de explorações únicas de rede no Q3. A queda de 21% fez baixar os volumes para os níveis do Q1, que, no entanto, já eram mais elevados do que os registados no ano anterior. Esta alteração não significa necessariamente que os adversários estejam a abrandar, uma vez que, possivelmente, estão a mudar o seu foco para ataques mais direcionados.
- As 10 principais assinaturas de ataques à rede representam a grande maioria dos ataques – Dos 4.095.320 ataques detectados pelo IPS no terceiro trimestre, 81% foram atribuídos às 10 principais assinaturas. Na verdade, só houve uma nova assinatura no top10 do Q3, a ‘WEB Remote File Inclusion /etc/passwd’ (1054837), que visa os servidores web mais antigos, mas ainda amplamente usados, Microsoft Internet Information Services (IIS). Uma assinatura (a 1059160), uma injecção SQL, manteve a posição que detém no topo da lista desde o Q2 de 2019.
- Ataques de script aos endpoints continuam a acontecer a um ritmo recorde – No final do Q3, as informações sobre ameaças AD360 da WatchGuard e o WatchGuard Endpoint Protection, Detection and Response (EPDR) já tinham verificado um aumento de 10% dos ataques de script face a todo o ano de 2020 (no qual já tinha sido registado um aumento de 666%, relativamente ao ano anterior). À medida que os regimes de trabalho híbridos começam a parecer a regra e não a excepção, um perímetro forte já não é suficiente para parar as ameaças. Apesar de existirem diversas maneiras de atacar os endpoints – desde a exploração de aplicações a ataques baseados em scripts –, mesmo os cibercriminosos com competências mais limitadas podem muitas vezes executar uma carga de malware com ferramentas de script como o PowerSploit, PowerWare e o Cobalt Strike, ao mesmo tempo que evitam uma solução de deteção básica de endpoint.
- Até os domínios seguros podem ser comprometidos – Uma falha no protocolo do sistema Exchange Server Autodiscover da Microsoft permite que os cibercriminosos recolham credenciais de domínio e comprometam diversos domínios normalmente fidedignos. No global, no Q3, as Fireboxes WatchGuard bloquearam 5.6 milhões de domínios maliciosos, incluindo vários domínios de malware novos que tentaram instalar software para criptografia, key loggers e trojans de acesso remoto (RATs), assim como domínios de phishing mascarados como sites de Sharepoint para recolher credenciais de login no Office365. Embora tenha diminuído 23% em relação ao trimestre anterior, o número de domínios bloqueados ainda é várias vezes superior ao número registado no Q4 de 2020 (1.3 milhões). Isto destaca a necessidade das empresas em se concentrarem e manterem os seus servidores, bases de dados, websites e sistemas atualizados com os patches mais recentes para limitar as vulnerabilidades que possam ser exploradas por cibercriminosos.
- Ransomware – Após um declínio acentuado em 2020, os ataques de ransomware atingiram 105% do volume de 2020 no final de Setembro (como a WatchGuard previu no final do trimestre anterior) e estão no caminho de atingir os 150%, uma vez analisados os dados do ano completo de 2021. As operações de ransomware-as-a-service, como o REvil e o GandCrap, continuam a baixar a fasquia para os cibercriminosos com poucas ou nenhumas capacidades de programação, fornecendo a infraestrutura e as cargas de malware necessárias para perpetrar ataques a nível global em troca de uma percentagem do resgate.
- O principal incidente do trimestre, o Kaseya, foi outra demonstração da ameaça contínua de ataques à cadeia de abastecimento digital – Mesmo antes do início do finde-semana do feriado de 4 de julho nos EUA, dúzias de empresas começaram a reportar ataques de ransomware contra os seus endpoints. A análise de incidentes da WatchGuard descreveu como é que os cibercriminosos que trabalhavam com a operação de ransomware-as-a-servis (RaaS) REvil tinham explorado três vulnerabilidades (incluindo a CVE-2021-30116 e a CVE-2021-30118) no software Kaseya VSA Remote Monitoring and Management (RMM) para entregar ransomware a cerca de 1500 empresas e a potencialmente milhões de endpoints. Apesar de o FBI ter, eventualmente, comprometido os servidores REvil e obtido a chave de descodificação uns meses mais tarde, o ataque serviu de aviso sobre a necessidade das empresas adotarem proactivamente medidas de confiança zero-trust, empregando o princípio do privilégio mínimo para o acesso dos fornecedores e assegurando que os sistemas são corrigidos e atualizados para minimizar o impacto dos ataques às cadeias de abastecimento.