A pesquisa indica que as conexões criptografadas se tornaram o método preferido para a entrega de malware, colocando as organizações que não descriptografam o tráfego em maior risco
A WatchGuard Technologies anuncia as descobertas de seu mais recente Internet Security Report, detalhando as principais tendências de malware e ameaças de segurança de rede e endpoint analisadas pelos pesquisadores do WatchGuard Threat Lab no quarto trimestre de 2022. Embora as principais descobertas dos dados tenham mostrado declínios no malware detectado na rede, o ransomware de endpoint aumentou surpreendentes 627% e o malware associado a campanhas de phishing continuou sendo uma ameaça persistente.
Apesar de observar um declínio geral no malware, uma análise mais aprofundada dos pesquisadores do WatchGuard Threat Lab que analisam os Fireboxes que descriptografam o tráfego HTTPS (TLS/SSL) encontrou uma incidência maior de malware, indicando que a atividade do malware mudou para o tráfego criptografado. Como apenas cerca de 20% dos Fireboxes que fornecem dados para este relatório têm a descriptografia habilitada, isso indica que a grande maioria dos malwares não é detectada. A atividade de malware criptografado tem sido um tema recorrente nos relatórios recentes do Threat Lab.
“Uma tendência contínua e preocupante em nossos dados e pesquisas mostra que a criptografia – ou, mais precisamente, a falta de descriptografia no perímetro da rede – está ocultando a imagem completa das tendências de ataque de malware”, disse Corey Nachreiner, diretor de segurança da WatchGuard. “É fundamental que os profissionais de segurança habilitem a inspeção HTTPS para garantir que essas ameaças sejam identificadas e abordadas antes que possam causar danos.”
Outras descobertas importantes incluem:
• As detecções de ransomware em endpoint aumentaram 627%. Esse aumento destaca a necessidade de defesas contra ransomware, como controles de segurança modernos para prevenção proativa, bem como bons planos de recuperação de desastres e continuidade de negócios (backup).
• 93% do malware se esconde atrás da criptografia. A pesquisa do Threat Lab continua indicando que a maioria dos malwares se esconde na criptografia SSL/TLS usada por sites seguros. O quarto trimestre continua essa tendência com um aumento de 82% para 93%. Os profissionais de segurança que não inspecionam esse tráfego provavelmente estão perdendo a maioria dos malwares e colocando um ônus maior na segurança do endpoint para capturá-los.
• As detecções de malware baseadas em rede caíram aproximadamente 9,2% durante o quarto trimestre. Isso continua um declínio geral nas detecções de malware nos últimos dois trimestres. Mas, como mencionado, ao considerar o tráfego da Web criptografado, o malware está em alta. A equipe do Threat Lab acredita que essa tendência de declínio pode não ilustrar o quadro completo e precisa de mais dados que aproveitem a inspeção de HTTPS para confirmar essa afirmação.
• As detecções de malware em endpoint aumentaram 22%. Enquanto as detecções de malware de rede caíram, a detecção de endpoint aumentou no quarto trimestre. Isso apoia a hipótese da equipe do Threat Lab de que o malware está mudando para canais criptografados. No endpoint, a criptografia TLS é menos importante, pois um navegador a descriptografa para o software de endpoint do Threat Lab ver. Entre os principais vetores de ataque, a maioria das detecções foi associada a Scripts, que constituíram 90% de todas as detecções. Nas detecções de malware de navegador, os agentes de ameaças visaram mais o Internet Explorer com 42% das detecções, seguido pelo Firefox com 38%.
• O malware de dia zero ou evasivo caiu para 43% no tráfego não criptografado. Embora ainda seja uma porcentagem significativa de detecções gerais de malware, é a mais baixa que a equipe do Threat Lab viu em anos. Dito isso, a história muda completamente quando se olha para as conexões TLS. 770% do malware em conexões criptografadas evita assinaturas.
• As campanhas de phishing aumentaram. Três das variantes de malware vistas na lista top 10 do relatório (algumas também aparecem na lista ampla) auxiliam em várias campanhas de phishing. A família de malware mais detectada, JS.A gent.UNS, contém HTML malicioso que direciona os usuários para domínios aparentemente legítimos que se disfarçam de sites conhecidos. Outra variante, Agent.GBPM, cria uma página de phishing do SharePoint intitulada “PDF Salary_Increase”, que tenta acessar as informações da conta dos usuários. A última nova variante no top 10, HTML.Agent.WR, abre uma página falsa de notificação da DHL em francês com um link de login que leva a um conhecido domínio de phishing. Phishing e comprometimento de e-mail comercial (BEC) continuam sendo um dos principais vetores de ataque, portanto, certifique-se de ter as defesas preventivas corretas e os programas de treinamento de conscientização de segurança para se defender contra isso.
• As explorações do ProxyLogin continuam a crescer. Um exploit para este conhecido e crítico problema do Exchange subiu do oitavo lugar no terceiro trimestre para o quarto lugar no último trimestre. Deve ser corrigido há muito tempo, mas se não, os profissionais de segurança devem saber que os invasores o estão atacando. Vulnerabilidades antigas podem ser tão úteis para os invasores quanto as novas, se eles conseguirem chegar a um acordo. Além disso, muitos invasores continuam tendo como alvo servidores Microsoft Exchange ou sistemas de gerenciamento. As organizações devem estar atentas e saber onde colocar seus esforços na defesa dessas áreas.
• O volume de ataque de rede é estável trimestre a trimestre. Tecnicamente, representou um aumento de apenas de 0,0015%. A ligeira mudança é notável, já que a próxima menor mudança foi de 91.885 do primeiro ao segundo trimestre de 2020.
• O LockBit continua sendo um grupo de ransomware predominante e uma variante de malware. A equipe do Threat Lab continua vendo variantes do LockBit com frequência, pois esse grupo parece ter as empresas de violação mais bem-sucedidas (por meio de suas afiliadas) com ransomware. Embora abaixo do trimestre anterior, o LockBit novamente teve o maior número de vítimas de extorsão pública, com 149 rastreadas pelo WatchGuard Threat Lab (em comparação com 200 no terceiro trimestre). Também no quarto trimestre, a equipe do Threat Lab detectou 31 novos grupos de ransomware e extorsão.
