A WatchGuard Technologies, empresa de cibersegurança unificada, divulgou os resultados do seu mais recente Relatório de Segurança na Internet, detalhando as principais tendências de malware e as ameaças à segurança de rede e endpoints analisadas pelos investigadores do WatchGuard Threat Lab no quarto trimestre de 2022.
Embora o relatório mostre um declínio no malware de rede, o ransomware para endpoints, por outro lado, cresceu uns impressionantes 627% e o malware associado a campanhas de phishing continuou a ser uma ameaça persistente.
Assim, apesar de se verificar um declínio geral no malware, os investigadores do WatchGuard Threat Lab analisaram as appliances Firebox que desencriptam tráfego HTTPS (TLS/SSL) e encontraram uma maior incidência de malware, indicando que a actividade malware se passou a focar mais no tráfego encriptado. Uma vez que apenas cerca de 20% das Fireboxes que fornecem dados para este relatório têm desencriptação activada, isto indica que a grande maioria do malware não está a ser detectada.
“Uma tendência contínua e preocupante nos nossos dados e pesquisas mostra que a encriptação – ou, mais precisamente, a falta de desencriptação no perímetro da rede – está a esconder o quadro completo das tendências de ataque de malware”, sublinha Corey Nachreiner, chefe de segurança da WatchGuard. “É fundamental para os profissionais de segurança permitir a inspecção HTTPS para assegurar que estas ameaças sejam identificadas e
abordadas antes que possam causar danos”.
As detecções de ransomware em endpoints aumentaram 627%. Este pico destaca a necessidade de defesas anti-ransomware, tais como controlos de segurança modernos para uma prevenção proactiva, bem como planos de recuperação de desastres e de continuidade do negócio (backup).
93% do malware esconde-se por detrás da encriptação. A investigação do Threat Lab continua a indicar que a maior parte do malware se esconde na encriptação SSL/TLS utilizada por websites seguros. No último trimestre do ano passado esta tendência continuou, com um aumento de 82% para 93%. Os profissionais de segurança que não inspeccionam este tráfego estão provavelmente a perder a maioria do malware e a colocar um maior ónus na segurança do endpoint para o apanhar.
As deteções de malware de rede caíram aproximadamente 9,2% de um trimestre para outro. Há uma continuidade no declínio geral nas deteções de malware ao longo dos últimos dois trimestres. Mas, tal como mencionado, se considerarmos o tráfego encriptado na Web, o malware está a aumentar.
A equipa do Threat Lab acredita que esta tendência de declínio pode não ilustrar o quadro completo e precisa de mais dados que se foquem na inspecção HTTPS para confirmar esta contenção.
As detecções de malware para endpoint aumentaram 22%. Enquanto as detecções de malware de rede caíram, a deteção de malware para endpoints aumentou no quarto trimestre. Isto apoia a convicção da equipa do Threat Lab de que o malware está progressivamente a focar-se nos canais encriptados.
No endpoint, a encriptação TLS é um factor menos importante, já que o browser o descodifica para o software de endpoint do Threat Lab o conseguir ver. Entre os principais vectores de ataque, a maioria das detecções estiveram associadas a Scripts, o que constituiu 90% de todas as detecções.
Nas detecções de malware no browser, os agentes de ameaças visaram mais o Internet Explorer com 42% das detecções, seguido do Firefox, com 38%.
Malware de Zero-day ou evasivo caiu para 43% no tráfego não encriptado. Embora ainda uma percentagem significativa de detecções globais de malware, é a mais baixa que a equipa do Threat Lab tem visto em anos. Dito isto, a história muda completamente quando se olha para as ligações TLS. 70% do malware sobre ligações encriptadas foge às assinaturas.
As campanhas de phishing estão a aumentar. Três das variantes de malware do top 10 do relatório estão na base de várias campanhas de phishing. A família de malware mais detectada, JS.A gent.UNS, contém HTML malicioso que direcciona os utilizadores para domínios aparentemente legítimos que se mascaram como websites populares. Outra
variante, Agent.GBPM, cria uma página de phishing do SharePoint intitulada “PDF Salary_Increase”, que tenta aceder a informação de conta dos utilizadores. “A última nova variante no top 10, HTML.Agent.WR, abre uma página de notificação falsa da DHL em francês com um link de login que leva a um domínio de phishing bem conhecido”, refere a empresa.
O phishing e os ataques a emails empresariais (BEC) continuam a ser um dos principais vectores de ataque, pelo que as organizações devem certificar-se de que têm as defesas preventivas correctas e programas de formação de sensibilização de segurança adequados.
Os Exploits ProxyLogin continuam a crescer. Um exploit para esta bem conhecida e crítica ameaça ao Exchange passou do oitavo lugar no terceiro trimestre para o quarto lugar no último trimestre. Há muito que já deveriam ter sido aplicados patches para esta vulnerabilidade, mas caso isso não tenha sido feito, pelo menos os profissionais de segurança têm que saber quando estão a ser atacados. As velhas vulnerabilidades podem ser tão úteis aos atacantes como as novas, desde que as consigam explorar.
Além disso, muitos atacantes continuam a ter como alvo os servidores Exchange o sistemas de gestão Microsoft. As organizações devem estar conscientes disto e saber onde colocar os seus esforços na defesa destas áreas.
Ataques de rede mantêm-se estáveis. Tecnicamente, aumentou em 35 ataques, o que representa apenas uma subida de 0,0015%. A ligeira alteração é notável por ser tão reduzida, até porque a variação mais pequena seguinte foi de 91,885 do 1º para o 2º trimestre de 2020.
O LockBit continua a ser um grupo de ransomware e uma variante prevalecente de malware. A equipa do Threat Lab continua a detectar frequentemente variantes do LockBit, uma vez que este grupo parece ter maior sucesso quando ataca empresas (através das suas afiliadas) com ransomware. Embora com menos força que no trimestre anterior, o LockBit voltou a ter como vítimas de extorsão organizações mais conhecidas, sendo que o WatchGuard Threat Lab detectou 149 vítimas (em comparação com as 200 no terceiro trimestre). Também no Q4, a equipa do Threat Lab detectou 31 novos grupos de ransomware e extorsão.
Se quer ler notícias como esta, subscreva gratuitamente a newsletter da Security Magazine.
