Secondo i dati dell’ultimo ‘Internet Security Report’ di WatchGuard Technologies crescita del 94% nei rilevamenti di malware di rete. L’analisi con cadenza trimestrale descrive le principali minacce alla sicurezza di rete, endpoint e malware osservate dai ricercatori del WatchGuard Threat Lab nel quarto trimestre del 2024.
il ruolo dei servizi anti-malware più proattivi
I dati mostrano anche un aumento in tutti i rilevamenti di malware. Incluso un +6% nei rilevamenti di Gateway AntiVirus (GAV) e un +74% nei rilevamenti di Advanced Persistent Threat (APT) Blocker, entrambi servizi delle appliance Firebox WatchGuard. Gli aumenti più significativi provengono dal rilevamento proattivo basato sul machine learning offerto dal servizio WatchGuard IntelligentAV (IAV), che ha raggiunto il 315%.
Malware di rete sempre più sofisticati
Questo indica il ruolo crescente dei servizi anti-malware più proattivi nell’intercettare malware sofisticati ed evasivi, come il malware zero-day, quando proviene da canali crittografati. L’aumento dei rilevamenti evasivi suggerisce che gli attaccanti si stanno concentrando su tecniche di offuscamento e crittografia, sfidando le difese tradizionali.
Cresce l’attenzione dei criminali per i Bitcoin
Il Threat Lab ha inoltre osservato un aumento significativo del rilevamento dei miner di criptovalute, pari al 141% rispetto al trimestre precedente. Il mining di criptovalute è un processo naturale per l’acquisizione di criptovalute su alcune blockchain, tra cui Bitcoin. Un miner di monete malevolo può apparire come un software che installa un miner di monete all’insaputa o senza il consenso dell’utente. Con l’aumento del prezzo e della popolarità di Bitcoin, i rilevamenti dei miner di criptovalute si distinguono anche come una tattica utilizzata dagli autori delle minacce.
Il malware di rete batte le difese tradizionali
Corey Nachreiner, Chief Security Officer di WatchGuard Technologies I risultati del report rivelano un panorama di sicurezza informatica dove gli attaccanti si affidano costantemente a vecchie abitudini e a vulnerabilità e falle facili da sfruttare. Usando, al contempo, tecniche malware evasive per eludere le difese tradizionali. I dati dimostrano l’importanza di rimanere vigili sui principi fondamentali. Come, ad esempio, mantenere i sistemi aggiornati in modo proattivo, monitorare le attività anomale, utilizzare difese a più livelli per intercettare gli inevitabili tentativi di exploit su reti ed endpoint. In questo modo, le aziende possono mitigare notevolmente le minacce emerse in questo trimester. Oltre a essere preparate a ciò che gli avversari e il panorama delle minacce in continua evoluzione potrebbero portare con sé.
I risultati chiave del report del quarto trimestre
Il malware Zero-Day è risalito al 53%, con un netto aumento rispetto al minimo storico del 20% registrato nel terzo trimestre del 2024. Questo rafforza l’osservazione precedente secondo cui il malware si diffonde sempre più spesso tramite connessioni crittografate. Queste tendono a veicolare minacce più sofisticate e difficili da rilevare.
Il numero totale di minacce malware uniche è significativamente diminuito nel quarto trimestre, con un calo storico del 91%. Questo è probabilmente dovuto a una riduzione degli attacchi mirati isolati e a un aumento del malware generico. Tuttavia, un numero inferiore di minacce non significa che quelle che cercano di superare le difese saranno attacchi semplici se non affrontate in modo rapido e scrupoloso.
Il malware di rete e gli altri attacchi principali
Gli attacchi alla rete sono diminuiti del 27% rispetto al trimestre precedente. I dati del Threat Lab mostrano che molti exploit collaudati hanno continuato a essere tra i principali attacchi del trimestre. A conferma del fatto che gli attaccanti tendono a utilizzare tecniche che sanno essere efficaci.
La lista dei principali domini di phishing è rimasta invariata rispetto al trimestre precedente. Evidenziando l’uso continuativo di un’infrastruttura di phishing persistente e ad alto impatto. I domini di phishing a tema SharePoint, che spesso imitano portali di login legittimi per rubare credenziali, indicano che gli attaccanti continuano a sfruttare tattiche di compromissione delle email aziendali (BEC) per colpire le organizzazioni che utilizzano i servizi di Office 365.
Come cambia il modus operandi degli attaccanti
Gli attacchi ‘Living off-the-land’ (LotL), che sfruttano strumenti di sistema legittimi, come PowerShell, Windows Management Instrumentation (WMI) o macro di Office invece di affidarsi a malware esterni per caricare minacce, sono in aumento. Questo è evidente nel 61% delle tecniche di attacco agli endpoint che utilizzano injection e script PowerShell. Questi rappresentano quasi l’83% di tutti i vettori di attacco agli endpoint. Di questo ~83%, il 97% proviene da PowerShell, a conferma del fatto che PowerShell è responsabile della stragrande maggioranza delle modalità di attacco utilizzate dagli attori delle minacce.
Oltre la metà delle 10 principali rilevazioni di rete riguarda firme generiche, che individuano le comuni vulnerabilità delle applicazioni web. Questa tendenza evidenzia come gli attaccanti puntino in massa su attacchi ‘classici’ e largamente diffusi.
