Pandemia e cybersecurity. La ricerca di WatchGuard

L’indagine si riferisce a terzo trimestre 2020 evidenziando in particolare gli attacchi di rete in crescita e i malware contro i sistemi SCADA.

Cybersecurity

WatchGuard Technologies presenta Internet Security Report che spiega come la pandemia abbia influenzato il panorama della cybersecurity. Gli Internet Security Report di WatchGuard forniscono dati concreti, analisi di esperti e approfondimenti utili sulle ultime tendenze relative a malware e attacchi di rete. E questo man mano che emergono e influenzano il panorama delle minacce in continua evoluzione.

Corey Nachreiner, Chief Technology Officer di WatchGuard
La nostra intelligence sulle minacce fornisce informazioni su come gli attaccanti stiano adattando le loro tattiche mentre il Covid-19 continua a persistere. Sebbene non esista ‘la nuova normalità’ quando si parla di sicurezza, è certo che per le aziende sarà importante nel 2021 e oltre aumentare la protezione sia per gli endpoint che per la rete. Sarà anche fondamentale stabilire un approccio a più livelli alla sicurezza delle informazioni, con servizi in grado di mitigare attacchi evasivi e crittografati, sofisticate campagne di phishing e altro ancora.

Pandemia e cybersecurity: i principali risultati del report

  • Attacchi alla rete e singoli rilevamenti raggiungono il massimo livello registrato negli ultimi due anni. Gli attacchi alla rete sono arrivati a oltre 3,3 milioni nel terzo trimestre, +90% rispetto al trimestre precedente. Il livello più alto registrato negli ultimi due anni.
    Anche le firme uniche di attacchi alla rete hanno proseguito la loro traiettoria in ascesa, raggiungendo il massimo livello in due anni in Q3 2020.
    Questi risultati evidenziano il fatto che le aziende devono dare la priorità al mantenimento e al rafforzamento delle protezioni per asset e servizi basati sulla rete.
  • Prevalgono le truffe a tema Covid-19. Nel terzo trimestre, una campagna adware Covid -19 in esecuzione su siti web utilizzati per scopi legittimi di supporto alla pandemia è entrata nella lista WatchGuard dei primi 10 siti compromessi.
    WatchGuard ha anche scoperto un attacco di phishing che sfruttava Microsoft SharePoint per ospitare una pagina di pseudo-login che si spacciava per l’Onu con un messaggio relativo al supporto per le piccole imprese.
    Questi risultati sottolineano che gli attaccanti continueranno a sfruttare la paura, l’incertezza e il dubbio che ruotano attorno alle crisi sanitarie globali per attirare e ingannare le loro vittime.

Pandemia e cybersecurity

  • Le aziende fanno clic su centinaia di attacchi di phishing e collegamenti malevoli. Nel terzo trimestre, il servizio DNSWatch di WatchGuard ha bloccato un totale di 2.764.736 connessioni a domini malevoli. Analizzando questi dati, ogni organizzazione avrebbe raggiunto 262 domini malware, 71 siti Web compromessi e 52 campagne di phishing.
    In combinazione con il già citato aumento di truffe legate al Covid-19, questi risultati confermano l’importanza di implementare servizi di DNS filtering e di fare formazione sulla consapevolezza della sicurezza degli utenti.
  • Gli attaccanti vanno alla ricerca di sistemi SCADA vulnerabili negli Stati Uniti. La new entry nella lista degli “attacchi di rete più diffusi” di WatchGuard nel terzo trimestre sfrutta una vulnerabilità di bypass dell’autenticazione precedentemente risolta con patch in un popolare sistema di controllo di supervisione e acquisizione dati (SCADA).
    Sebbene questa classe di vulnerabilità non sia grave, potrebbe comunque consentire a un malintenzionato di assumere il controllo del software SCADA in esecuzione sul server. Nel terzo trimestre gli attaccanti hanno preso di mira quasi il 50% delle reti Usa con questa minaccia. Questo fa presagire che i sistemi di controllo industriale potrebbero essere una delle principali aree di interesse per i malintenzionati.

Pandemia e cybersecurity

  • Un malware simile a LokiBot debutta come una delle principali varianti malware più diffuse. Farelt, un password stealer che assomiglia a LokiBot, è entrato nella “top five” dei rilevamenti di malware più diffusi stilata da WatchGuard.
    Non è chiaro se la botnet Farelt utilizzi la stessa struttura di comando e controllo di LokiBot. Molto probabile però che lo stesso gruppo SilverTerrier abbia creato entrambe le varianti di malware.
    Questa botnet richiede molti passaggi per aggirare i controlli antivirus e ingannare gli utenti nell’installazione del malware. Durante la ricerca su questa minaccia, WatchGuard ha trovato prove che indicano che il malware ha probabilmente preso di mira molte più vittime di quanto suggeriscano i dati.
  • Emotet persiste. Il trojan bancario e noto password stealer Emotet ha fatto il suo debutto per la prima volta nel terzo trimestre 2020 nella lista dei primi dieci malware stilata da WatchGuard e ha mancato di poco l’ingresso nella lista dei primi dieci domini che distribuiscono malware (solo per poche connessioni).
    Nonostante sia arrivato al numero 11 in quest’ultima lista, questa posizione è significativa. WatchGuard Threat Lab e altri team di ricerca hanno visto le attuali infezioni di Emotet rilasciare ulteriori payload come Trickbot e persino il ransomware Ryuk, senza segni di rallentamento.

I report WatchGuard

Le analisi si basano su dati in forma anonima provenienti dai Firebox Feed di appliance WatchGuard attive i cui proprietari hanno acconsentito alla condivisione dei dati per supportare gli sforzi di ricerca del Threat Lab di WatchGuard.
Nel terzo trimestre, quasi 48.000 appliance WatchGuard hanno contribuito con i dati di intelligence sulle minacce al report (il dato più alto in assoluto), bloccando un totale di oltre 21,5 milioni di varianti di malware (450 per dispositivo) e più di 3,3 milioni di minacce di rete (o circa 70 rilevamenti per appliance).

Anche le appliance Firebox hanno confermato una tendenza al rialzo dei rilevamenti di firme uniche, identificando e bloccando 438 firme di attacco univoche: un aumento del 6,8% rispetto al secondo trimestre e il numero più alto dal quarto trimestre del 2018.
Il report completo include ricerche approfondite e le best practice difensive che le aziende di tutte le dimensioni possono utilizzare per proteggersi. I
noltre presenta anche un’analisi dettagliata della violazione di Twitter che ha compromesso 130 account di alto profilo per promuovere una truffa Bitcoin in luglio.