Nell’Internet Security Report riferito al Q3 2021, WatchGuard sottolinea come il volume di malware e ransomware sugli endpoint abbia superato il totale registrato nell’intero 2020. Dai dati emerge invece che il volume totale di rilevamento di malware perimetrale è diminuito rispetto ai massimi raggiunti in Q2 2021. Inoltre, una percentuale significativa di malware continua ad arrivare tramite connessioni crittografate, in continuità con il trend dei trimestri precedenti.
I principali insight della ricerca
Ecco I principali risultati emersi dall’ultimo Internet Security Report di WatchGuard riferito a Q3 2021.
Quasi la metà del malware zero-day viene ora distribuito tramite connessioni crittografate
Mentre la quantità totale di malware zero-day è aumentata di un 3% arrivando al 67,2% nel terzo trimestre, la percentuale di malware tramite Transport Layer Security (TLS) è passata dal 31,6% al 47%. La percentuale di zero-day crittografati è diminuita, ma è comunque preoccupante. I dati di WatchGuard mostrano che molte organizzazioni non stanno decrittografando queste connessioni.
Man mano che gli utenti effettuano l’aggiornamento a versioni più recenti di Microsoft Windows e Office, gli attaccanti si concentrano sulle nuove vulnerabilità
Da un lato le vulnerabilità senza patch nei software meno recenti continuano a fornire un terreno fertile per i criminali. Dall’altro gli attaccanti stanno anche cercando di sfruttare i punti deboli nelle ultime versioni dei prodotti più ampiamente utilizzati di Microsoft.
L’analisi di WatchGuard: crescita di malware e ransomware
Gli attaccanti contro le Americhe
La stragrande maggioranza degli attacchi di rete ha preso di mira le Americhe nel terzo trimestre (64,5%) rispetto all’Europa (15,5%) e all’area APAC (20%).
I rilevamenti complessivi degli attacchi di rete hanno ripreso una traiettoria più normale ma pongono ancora rischi significativi
Dopo trimestri consecutivi di crescita oltre al 20%, il servizio di Intrusion Prevention (IPS) di WatchGuard ha rilevato circa 4,1 milioni di exploit di rete unici nel terzo trimestre. Il calo del 21% ha portato i volumi ai livelli del primo trimestre 2021. Il cambiamento non significa che gli avversari stiano allentando la presa, ma che probabilmente stanno spostando l’attenzione ad attacchi più mirati.
Le prime 10 firme rappresentano la stragrande maggioranza di tutti gli attacchi
Dei 4.095.320 attacchi rilevati dal servizio IPS nel terzo trimestre, l’81% è stato attribuito alle prime 10 firme. Solo una nuova firma nella top 10 del terzo trimeste: “WEB Remote File Inclusion/etc/passwd” (1054837), che prende di mira i server Web IIS Microsoft più vecchi.
Gli attacchi di script sugli endpoint continuano a un ritmo record
Prima della fine del terzo trimestre, l’intelligence sulle minacce di WatchGuard AD360 e WatchGuard Endpoint Protection, Detection and Response avevano registrato +10% di script di attacco vs 2020. Poiché la forza lavoro ibrida inizia a essere la regola, un perimetro forte non è più sufficiente per fermare le minacce. Sebbene i criminali IT abbiano diversi modi per attaccare gli endpoint, anche quelli con competenze limitate possono eseguire un payload malware con strumenti di scripting come PowerSploit, PowerWare e Cobalt Strike.
Anche i domini sicuri possono essere compromessi
Un difetto di protocollo nel sistema Exchange Server Autodiscover di Microsoft ha consentito agli attaccanti di raccogliere le credenziali di dominio e di compromettere diversi domini. Nel terzo trimestre le appliance WatchGuard Fireboxes hanno bloccato 5,6 milioni di domini malevoli, inclusi diversi nuovi domini malware. Sebbene in calo del 23% rispetto al trimestre precedente, il numero di domini bloccati è ancora diverse volte superiore al livello registrato nel Q4 2020 (1,3 milioni). Necessario dunque concentrarsi sul mantenimento di server, database, siti Web e sistemi aggiornati con le patch più recenti.
In crescita di malware e ransomware
Ransomware, Ransomware, Ransomware
Dopo un forte calo nel 2020, gli attacchi ransomware hanno raggiunto il 105% del volume del 2020 a fine settembre 2021 (come previsto da WatchGuard alla fine del trimestre precedente). Gli attacchi si preparano a raggiungere il 150% una volta che verranno analizzati i dati completi 2021. Le operazioni di ransomware-as-a-service come REvil e GandCrap continuano ad abbassare il livello. Questo fornisce a criminali con scarse o nessuna capacità di codifica l’infrastruttura e il payload del malware per eseguire attacchi a livello globale.
Il principale incidente di sicurezza del Q3 2021 (Kaseya) è un’altra dimostrazione della minaccia alla supply chain digitale
Poco prima dell’inizio del weekend del 4 luglio negli Usa, dozzine di organizzazioni hanno iniziato a segnalare attacchi ransomware contro gli endpoint. L’analisi degli incidenti di WatchGuard ha descritto come gli attaccanti che lavorano con l’operazione REvil ransomware-as-a-service (RaaS) abbiano sfruttato tre vulnerabilità zero-day nel software Kaseya VSA Remote Monitoring and Management (RMM). Qesto per fornire ransomware a circa 1.500 organizzazioni e potenzialmente milioni di endpoint. L’FBI alla fine ha compromesso i server di REvil e ottenuto la chiave di decrittazione. Tuttavia l’attacco ha fornito un altro monito della necessità di adottare misure proattive.
