Il Threat Lab di WatchGuard Technologies ha reso noti i risultati dell’Internet Security Report, dove viene evidenziato un aumento del malware evasivo, che ha incrementato il malware totale. I dati del report si basano su dati sulle minacce, in forma anonima e aggregata, provenienti dai prodotti di protezione della rete e degli endpoint di WatchGuard attivi. I loro proprietari hanno acconsentito alla condivisione dei dati per supportare gli sforzi di ricerca di WatchGuard.
Adottare un diverso approccio di difesa
Corey Nachreiner, Chief Security Officer di WatchGuard
L’ultima ricerca del nostro Threat Lab pone in evidenza come gli autori delle minacce stiano impiegando varie tecniche per cercare vulnerabilità da sfruttare anche nei software e nei sistemi più vecchi. Motivo per cui le organizzazioni devono adottare un approccio di difesa più profondo per proteggersi da tali minacce. L’aggiornamento dei sistemi e del software su cui fanno affidamento le organizzazioni è fondamentale per affrontare queste vulnerabilità. Inoltre, le moderne piattaforme di sicurezza utilizzate da fornitori di servizi gestiti possono fornire la sicurezza completa e unificata di cui le organizzazioni hanno bisogno e consentire loro di combattere le minacce più recenti.
I principali risultati della ricerca
- I malware di base, evasivo e crittografato sono tutti aumentati nel quarto trimestre, alimentando una crescita del malware totale. La media dei rilevamenti di malware per appliance WatchGuard Firebox è aumentata dell’80% rispetto al trimestre precedente. Dimostrando così un volume sostanziale di minacce malware che arrivano al perimetro della rete. Dal punto di vista geografico, la maggior parte dell’aumento delle istanze di malware ha interessato le Americhe e l’area Asia-Pacifico.
- Aumentano anche le istanze di malware TLS e zero-day. Circa il 55% del malware è arrivato tramite connessioni crittografate, con un +7% rispetto al terzo trimestre. I rilevamenti di malware zero-day sono balzati al 60% su tutti i rilevamenti di malware, rispetto al 22% del trimestre precedente. Tuttavia, i rilevamenti di malware zero-day con TLS sono scesi al 61%, -10% rispetto al terzo trimestre, dimostrando l’imprevedibilità del malware in circolazione.
In ripresa e minacce basate su script
- Due delle 5 principali varianti di malware reindirizzano alla rete DarkGate. Tra i primi 5 rilevamenti di malware più diffusi figurano JS.Agent.USF e Trojan.GenericKD.67408266. Entrambe le varianti reindirizzano gli utenti a collegamenti malevoli ed entrambi i loader di malware tentano di caricare il malware DarkGate sul computer della vittima.
- Un’impennata delle tecniche living-off-the-land. Il quarto trimestre ha registrato una ripresa delle minacce basate su script. Questo perché gli script sono aumentati maggiormente come vettore di attacco agli endpoint, con minacce rilevate in aumento del 77% rispetto al terzo trimestre. PowerShell è stato il principale vettore di attacco usato dagli hacker sugli endpoint. Anche gli exploit basati su browser sono aumentati in modo significativo, con un +56%.
In aumento il malware evasivo
- Quattro dei cinque attacchi di rete più diffusi sono stati attacchi ai server Exchange. Questi attacchi sono specificamente associati a uno degli exploit ProxyLogon, ProxyShell e ProxyNotShell. Una firma ProxyLogon, che è apparsa per la prima volta in Q4 2022 tra i primi cinque attacchi di rete più diffusi occupando la quarta posizione, è salita al secondo posto in Q4 2023. Questi attacchi confermano la necessità di ridurre la dipendenza dai server di posta elettronica locali per mitigare le minacce alla sicurezza.
Glupteba e GuLoader
- La mercificazione degli attacchi informatici continua, tendendo verso offerte “victim-as-a-service”. Glupteba e GuLoader sono stati ancora una volta annoverati tra i primi 10 malware endpoint più diffusi nel quarto trimestre. Tornano così a essere 2 delle varianti più prolifiche analizzate durante il trimestre. Glupteba è degno di nota come avversario performante e sofisticato, in parte a causa della sua prevalenza nel prendere di mira vittime su scala globale. Come malware-as-a-service (MaaS) dalle molteplici sfaccettature, le capacità malevole di Glupteba includono il download di malware aggiuntivo, il mascheramento da botnet, il furto di informazioni sensibili e il mining di criptovaluta in modo furtivo.
Calo delle violazioni pubbliche ransomware
- Tentativi di takedown che soffocano i gruppi di estorsione ransomware. Ancora una volta nel quarto trimestre, il Threat Lab ha segnalato un calo dei rilevamenti di ransomware rispetto al trimestre precedente, osservando un -20% del volume complessivo negli ultimi tre mesi del 2023. Gli analisti di WatchGuard hanno inoltre notato un calo delle violazioni pubbliche ransomware e attribuiscono questa tendenza ai continui sforzi delle forze dell’ordine per eliminare i gruppi di estorsione di ransomware.
