Estudo da WatchGuard Technologies, Internet Security Report, detalha as principais tendências de malware e ameaças de segurança de rede e endpoint analisadas pelos seus pesquisadores no terceiro trimestre de 2022. As descobertas mais relevantes dos dados revelam que a principal ameaça de malware do trimestre foi detectada exclusivamente em conexões criptografadas, os ataques ICS estão mantendo a popularidade, o malware LemonDuck está evoluindo além da entrega do criptominerador, um mecanismo de trapaça do Minecraft está entregando uma carga maliciosa e muito mais.
"Não podemos enfatizar o suficiente como é importante que a inspeção HTTPS seja habilitada, mesmo que exija alguns ajustes e exceções para funcionar corretamente. A maioria do malware chega por meio de HTTPS criptografado, e não inspecioná-lo significa que você está perdendo essas ameaças", diz Corey Nachreiner, chief security officer da WatchGuard Technologies. "Com razão, os grandes prêmios para os invasores, como um servidor Exchange ou um sistema de gerenciamento SCADA, também merecem atenção extraordinária neste trimestre. Quando um patch está disponível, é importante atualizá-lo imediatamente, pois os invasores irão se beneficiar de qualquer organização que ainda não tenha implementado o patch mais recente."
Outras descobertas importantes incluem:
1. A grande maioria dos malwares continuam chegando por meio de conexões criptografadas – Embora o Agent.IIQ tenha ficado em terceiro lugar na lista normal dos top 10 malware neste trimestre, ele ficou em primeiro lugar no topo da lista de malwares criptografados no terceiro trimestre. Na verdade, se você observar as detecções em ambas as listas, verá que todas as detecções do Agent.IIQ vêm de conexões criptografadas. No terceiro trimestre, se um Firebox estava inspecionando o tráfego criptografado, 82% do malware detectado foi por meio dessa conexão criptografada, deixando apenas míseros 18% detectados sem criptografia. Se você não estiver inspecionando o tráfego criptografado em seu Firebox, é muito provável que essa proporção média permaneça verdadeira e você esteja perdendo uma grande parte do malware. Felizmente, você pelo menos tem proteção de endpoint implementada para ter uma chance de pegá-lo.
2. Sistemas ICS e SCADA continuam sendo alvos de ataques – Uma novidade na lista dos 10 principais ataques de rede neste trimestre é um ataque do tipo injeção de SQL que afetou vários fornecedores. Uma dessas empresas é a Advantech, cujo portal WebAccess é usado para sistemas SCADA em uma variedade de infraestruturas críticas. Outra exploração séria no terceiro trimestre, que também apareceu nos cinco principais ataques de rede por volume, envolveu as versões 1.2.1 e anteriores do software U.motion Builder da Schneider Electric. Este é um lembrete claro de que os invasores não estão esperando silenciosamente por uma oportunidade – em vez disso, eles estão buscando ativamente comprometer o sistema sempre que possível.
3. Vulnerabilidades do servidor Exchange continuam a representar risco – O CVE mais recente entre as novas assinaturas do Threat Lab neste trimestre, CVE-2021-26855, é uma vulnerabilidade de execução remota de código (RCE) do Microsoft Exchange Server para servidores locais. Essa vulnerabilidade RCE recebeu uma pontuação de 9,8 CVE e é conhecida por ter sido explorada. A data e a gravidade deste CVE-2021-26855 também devem ser lembradas, pois é um dos exploits usados pelo grupo HAFNIUM. Embora a maioria dos servidores Exchange afetados por ele provavelmente já tenha sido corrigida, a maioria não é igual a todos. Portanto, os riscos permanecem.
4. Cibercriminosos visam os buscadores de software livre – Fugrafa baixa malware que injeta código malicioso. Neste trimestre, o Threat Lab examinou uma amostra dele que foi encontrada em um mecanismo de trapaça para o popular jogo Minecraft. Embora o arquivo compartilhado principalmente no Discord afirme ser o mecanismo de trapaça do Minecraft Vape V4 Beta, não é tudo o que ele contém. O Agent.FZUW tem algumas semelhanças com o Variant.Fugrafa, mas em vez de ser instalado por meio de um cheat engine, o próprio arquivo finge ter um software crackeado. O Threat Lab descobriu que esta amostra específica tem conexões com o Racoon Stealer, uma campanha de hacking de criptomoeda usada para sequestrar informações de contas de serviços de troca de criptomoedas.
5. O malware LemonDuck evoluindo além da entrega do criptominerador – Mesmo com uma queda no total de domínios de malware bloqueados ou rastreados no terceiro trimestre de 2022, é fácil ver que os ataques a usuários desavisados ainda são altos. Com três novas adições à lista de principais domínios de malware – dois dos quais eram antigos domínios de malware LemonDuck e a outra parte de um domínio classificado Emotet – o terceiro trimestre viu mais sites de malware e tentativas de malware que eram domínios mais novos do que o normal. Essa tendência mudará e se modificará com o cenário turbulento da criptomoeda, à medida que os invasores procuram outros locais para enganar os usuários. Manter a proteção de DNS habilitada é uma maneira de monitorar e impedir que usuários desavisados permitam malware ou outros problemas sérios em sua organização.
6. Ofuscação de JavaScript em kits de exploit – A assinatura 1132518, uma vulnerabilidade genérica para detectar ataques de ofuscação de JavaScript contra navegadores, foi a única nova adição à lista de assinaturas de ataque de rede mais difundida neste trimestre. O JavaScript é um vetor comum para atacar usuários e os agentes de ameaças usam kits de exploração baseados em JavaScript o tempo todo – em malvertising, watering hole e ataques de phishing, apenas para citar alguns. À medida que as fortificações defensivas melhoraram nos navegadores, o mesmo aconteceu com a capacidade dos invasores de ofuscar o código JavaScript malicioso.
7. Anatomia de ataques adversary-in-the-middle comoditizados – Embora a autenticação multifator (MFA) seja inegavelmente a melhor tecnologia que você pode implantar para proteger contra a maior parte dos ataques de autenticação, ela não é por si só uma bala de prata contra todos os vetores de ataque. Os adversários cibernéticos deixaram isso claro com o rápido aumento e comoditização de ataques de adversário no meio (AitM), e o mergulho profundo do Threat Lab no EvilProxy, o principal incidente de segurança do terceiro trimestre, mostra como os agentes mal-intencionados estão começando a girar a técnicas AitM mais sofisticadas. Assim como a oferta de ransomware como serviço que se tornou popular nos últimos anos, o lançamento em setembro de 2022 de um kit de ferramentas AitM chamado EvilProxy reduziu significativamente a barreira de entrada para o que antes era uma técnica de ataque sofisticada. Do ponto de vista defensivo, combater com sucesso esse tipo de técnica de ataque AitM requer uma combinação de ferramentas técnicas e conscientização do usuário.
8. Uma família de malware com laços com o Gothic Panda – O relatório do segundo trimestre de 2022 do Threat Lab descreveu como o Gothic Panda – um agente de ameaças patrocinado pelo estado conectado ao Ministério de Segurança do Estado da China – era conhecido por usar uma das principais detecções de malware daquele trimestre. Curiosamente, a lista dos principais malwares criptografados do terceiro trimestre inclui uma família de malware chamada Taidoor, que não foi criada apenas pelo Gothic Panda, mas só foi vista sendo usada por atores cibernéticos do governo chinês. Embora esse malware geralmente se concentre em alvos no Japão e em Taiwan em geral, a amostra do Generic.Taidoor analisada neste trimestre foi encontrada visando principalmente organizações na França, sugerindo que alguns Fireboxes nessa região podem ter detectado e bloqueado partes de um ciberataque patrocinado pelo estado.
9. Novos grupos de ransomware e extorsão à solta – Além disso, neste trimestre, o Threat Lab tem o prazer de anunciar um novo esforço conjunto para rastrear grupos de extorsão de ransomware atuais e desenvolver seus recursos de inteligência de ameaças para fornecer mais informações relacionadas a ransomware em relatórios futuros. No terceiro trimestre, o LockBit lidera a lista do terceiro trimestre com mais de 200 extorsões públicas em sua página da dark web – quase quatro vezes mais do que Basta, o segundo grupo de ransomware mais prolífico que a WatchGuard observou neste trimestre.
