La tendenza vede un aumento del ransomware che colpisce gli endpoint, mentre si assiste a un calo del malware rilevato in rete. Questi i dati del report di WatchGuard Threat Lab. Internet Security Report descrive in dettaglio le principali tendenze del malware. Oltre alle minacce alla sicurezza della rete e degli endpoint analizzate dai ricercatori di WatchGuard Threat Lab nel quarto trimestre del 2022. I principali risultati emersi evidenziano una diminuzione del malware rilevato in rete e un aumento del 627%del ransomware che colpisce gli endpoint. Mentre il malware associato alle campagne di phishing continua a rappresentare una minaccia persistente.
I ransomware che colpiscono gli endpoint
Ulteriori analisi dei ricercatori, che hanno preso in esame le appliance WatchGuard Firebox che decrittografano il traffico HTTPS (TLS/SSL), rilevano una maggiore incidenza del malware. Il che indica che l’attività del malware si è spostata sul traffico crittografato. Poiché solo il 20% dei Firebox che forniscono dati per questo report ha la decrittazione abilitata, ciò indica che la stragrande maggioranza del malware non viene rilevata. L’attività del malware crittografato è stata un tema ricorrente anche in altri recenti report del Threat Lab di WatchGuard.
Una tendenza preoccupante
Corey Nachreiner, Chief Security Officer di WatchGuard Una tendenza continua e preoccupante emersa da nostri dati dimostra che la crittografia sta nascondendo il quadro completo delle tendenze degli attacchi malware. È fondamentale per i professionisti della sicurezza abilitare l’ispezione HTTPS. Così da garantire che queste minacce vengano identificate e affrontate prima che possano causare danni.
Altri risultati emersi dall’Internet Security Report del quarto trimestre 2022
I rilevamentidi ransomware sugli endpoint sono aumentati del 627%. Questo picco evidenzia la necessità di difese ransomware come i moderni controlli di sicurezza per la prevenzione proattiva. Nonché buoni piani di disaster recovery e business continuity (backup).
Il 93% del malware si nasconde dietro la crittografia. La ricerca indica che la maggior parte del malware si nasconde nella crittografia SSL/TLS utilizzata dai siti Web protetti. Il quarto trimestre evidenzia una prosecuzione di questa tendenza, con un aumento dall’82% al 93%.
I rilevamenti di malware di rete sono diminuiti di circa il 9,2% durante il quarto trimestre (trimestre su trimestre). Ciò indica un continuo calo generale dei rilevamenti di malware negli ultimi due trimestri. Quando si considera il traffico web crittografato, il malware rilevato è più alto. Il team di WatchGuard Threat Lab ritiene che questa tendenza alla diminuzione non illustra il quadro completo e necessita di più dati che sfruttino l’ispezione HTTPS per confermare questa tesi.
In aumento i ransomware che colpiscono gli endpoint
I rilevamenti di malware sugli endpoint sono aumentati del 22%. Mentre i rilevamenti di malware di rete sono diminuiti, il rilevamento sugli endpoint è aumentato nel quarto trimestre. Ciò supporta l’ipotesi del team del Threat Lab di WatchGuard secondo cui il malware si sposta su canali crittografati. Sull’endpoint, la crittografia TLS è meno importante. Poiché un browser la decrittografa affinché il software dell’endpoint del Threat Lab possa vederla. Tra i principali vettori di attacco, la maggior parte dei rilevamenti sono stati associati agli script. Nei rilevamenti di malware del browser, gli attori delle minacce hanno preso di mira maggiormente Internet Explorer, seguito da Firefox.
Il malware zero day o evasivo è sceso al 43% nel traffico non crittografato. Sebbene rappresenti ancora una percentuale significativa dei rilevamenti complessivi di malware, è la più bassa che il team di Threat Lab abbia registrato negli ultimi anni. Detto questo, la storia cambia completamente quando si osservano le connessioni TLS. Il 70% del malware su connessioni crittografate elude le firme.
Le campagne di phishing sono aumentate. Tre delle varianti di malware presenti nell’elenco delle prime 10 del report sono usate in varie campagne di phishing. La famiglia di malware più rilevata, JS.A gent.UNS, contiene codice HTML malevolo che indirizza gli utenti a domini apparentemente legittimi mascherati da siti Web noti. Un’altra variante, Agent.GBPM, crea una pagina di phishing di SharePoint denominata “PDF Salary_Increase”.
L’ultima nuova variante nella top 10, HTML.Agent.WR, apre una falsa pagina di notifica DHL in francese con un link di login che porta a un noto dominio di phishing. Il phishing e la compromissione della posta elettronica aziendale (BEC, business email compromise) rimangono uno dei principali vettori di attacco. Quindi per difendersi occorre assicurarsi di disporre di efficaci difese preventive e di programmi di formazione sulla consapevolezza della sicurezza.
Gli exploit ProxyLogin continuano a crescere. Un exploit per questo noto problema critico di Exchange è passato dall’ottavo posto in Q3 al quarto posto in Q4. Dovrebbe essere già stato risolto con patch da tempo. In caso contrario, i professionisti della sicurezza devono sapere che gli attaccanti lo stanno prendendo di mira. Le vecchie vulnerabilità possono tornare utili per gli attaccanti tanto quanto quelle nuove se sono in grado di compromettere una rete o un sistema. Molti attaccanti continuano a prendere di mira i server Microsoft Exchange o i sistemi di gestione. Le organizzazioni devono essere consapevoli e sapere dove indirizzare i loro sforzi per difendere queste aree.
Il report e i ransomware che colpiscono gli endpoint
Il volume degli attacchi di rete è stabile trimestre su trimestre. Tecnicamente, è aumentato di 35 hit, che rappresenta solo un aumento dello 0,0015%. La leggera variazione è notevole. Poiché la successiva variazione più piccola è stata di 91.885 dal primo trimestre al secondo trimestre del 2020.
LockBit rimane un gruppo ransomware (e una variante malware) prevalente. Il team di Threat Lab continua a rilevare con frequenza le varianti di LockBit. Questo gruppo sembra avere il maggior successo nel violare le aziende con il ransomware. Sebbene in calo rispetto al trimestre precedente, LockBit ha registrato il maggior numero di vittime di estorsioni pubbliche. Sempre nel quarto trimestre, il team di Threat Lab ha rilevato 31 nuovi ransomware e gruppi di estorsione.
Da dove provengono i dati del report
I report trimestrali di WatchGuard si basano su dati in forma anonima provenienti dai Firebox Feed di appliance WatchGuard attive. I proprietari hanno acconsentito alla condivisione dei dati per supportare gli sforzi di ricerca del Threat Lab. Nel quarto trimestre, WatchGuard ha bloccato un totale di oltre 15,7 milioni di varianti di malware (194 per dispositivo) e oltre 2,3 milioni di minacce di rete (28 per dispositivo). Il report completo include dettagli su altri malware e tendenze registrate nel quarto trimestre del 2022. Oltre a strategie di sicurezza consigliate, suggerimenti di difesa critici per aziende di tutte le dimensioni e in qualsiasi settore.
