Aumentano gli attacchi malware fileless, mentre gli attacchi ransomware diminuiscono, report da WatchGuard. L’Internet security report include nuove e interessanti analisi basate sull’intelligencedelle minacce verso gli endpoint. Tra i risultati più rilevanti, il report evidenzia che gli attacchi malware fileless e cryptominer sono cresciuti rispettivamente di quasi il 900% e il 25% anno su anno.
Mentre i singoli payload ransomware sono crollati nel 2020 del 48% rispetto al 2019. Inoltre, il WatchGuard Threat Lab ha rilevato che il Q4 2020 ha registrato un aumento del 41% dei rilevamenti di malware crittografato rispetto al trimestre precedente. Invece gli attacchi di rete hanno toccato i livelli più elevati degli ultimi anni dal 2018.
WatchGuard Security Report
Gli Internet Security Report trimestrali di WatchGuard offrono informazioni preziose alle aziende, ai partner e ai clienti finali sugli ultimi malware e sulle tendenze degli attacchi agli endpoint e alla rete man mano che si manifestano. Ecco alcuni dei risultati principali che emergono dall’ultimo report riferito a Q4 2020:
Gli attacchi malware fileless salgono alle stelle. I malware fileless nel 2020 sono aumentati dell’888% rispetto al 2019. Queste minacce possono essere particolarmente pericolose a causa della loro capacità di eludere il rilevamento da parte dei tradizionali client di protezione degli endpoint. E perché possono riuscire nel loro intento senza che le vittime facciano nient’altro che cliccare su un link malevolo o visitare inconsapevolmente un sito web compromesso.
Cryptominer in aumento dopo il periodo di stasi del 2019. A seguito del crollo di pressoché tutti i prezzi delle criptovalute all’inizio del 2018, le infezioni di cryptominer sono diventate molto meno prevalenti. Gli attaccanti hanno continuato ad aggiungere moduli cryptominer alle infezioni botnet esistenti ed estrarre reddito passivo dalle vittime mentre abusavano delle loro reti per altri crimini informatici. Di conseguenza, e con i prezzi che tendono di nuovo al rialzo nel Q4 2020, il volume dei rilevamenti di malware cryptominer è aumentato di oltre il 25%.
WatchGuard – malware crittografati
Il volume degli attacchi ransomware continua a ridursi. Per il secondo anno di fila, il numero di singoli payload ransomware ha registrato una tendenza al ribasso nel 2020, scendendo a 2.152 payload unici rispetto ai 4.131 del 2019 e al massimo storico di 5.489 del 2018. Queste cifre rappresentano singole varianti di ransomware che possono aver infettato centinaia o migliaia di endpoint in tutto il mondo.
Gli attacchi di malware crittografati ed evasivi registrano una crescita a due cifre. Nonostante si tratti del quarto trimestre consecutivo caratterizzato da una diminuzione generale dei volumi di malware, quasi la metà (47%) di tutti gli attacchi rilevati da WatchGuard erano crittografati. Inoltre, il malware trasmesso attraverso connessioni HTTPS è aumentato del 41%, mentre il malware zero day crittografato (varianti che eludono le firme antivirus) è aumentato del 22% rispetto al terzo trimestre.
Il malware botnet, che prende di mira dispositivi IoT e router, diventa un fenomeno di punta. Nel quarto trimestre, il virus Linux.Generic ha fatto il suo debutto nella classifica dei 10 principali rilevamenti di malware di WatchGuard. L’indagine di WatchGuard ha individuato un malware specifico di Linux progettato per i processori ARM e un altro payload progettato per i processori MIPS all’interno dell’infrastruttura dell’attaccante.
Payload e codici malevoli
La violazione di SolarWinds pone in evidenza i pericoli derivanti dagli attacchi alla supply chain. La sofisticata violazione alla supply chain di SolarWinds, presumibilmente appoggiata dallo stato, avrà importanti ripercussioni nel settore della sicurezza per gli anni a venire. Gli effetti si sono estesi ben oltre SolarWinds, raggiungendo quasi 100 aziende. L’analisi dettagliata della violazione a cura di WatchGuard mostra l’importanza di difendersi dagli attacchi alla supply chain in un ecosistema digitale interconnesso come quello odierno.
Un nuovo trojan inganna gli scanner di e-mail con un approccio multi-payload. Trojan.Script.1026663 si è imposto nella classifica dei cinque malware più diffusi rilevati da WatchGuard nel quarto trimestre. L’attacco ha inizio con un’e-mail che chiede alle vittime di visionare un elenco di ordini in allegato. Il documento innesca una serie di payload e codici malevoli che portano il computer della vittima a caricare l’aggressore finale: il trojan di accesso remoto Agent Tesla (RAT) e il keylogger.
Il volume degli attacchi alla rete si avvicina al picco del 2018. Il totale dei rilevamenti è cresciuto del 5% nel quarto trimestre, raggiungendo il livello più alto da oltre due anni. Inoltre, il totale delle singole firme di attacco alla rete ha registrato una crescita costante, con un incremento del 4% rispetto al terzo trimestre. Ciò dimostra che anche se nel mondo si continua a operare da remoto, il perimetro della rete aziendale è tuttora molto utilizzato, dato che gli attaccanti continuano a prendere di mira le risorse informatiche interne.
