A WatchGuard Technologies apresenta o seu Internet Security Report para o primeiro trimestre de 2021. As descobertas mais notáveis incluem o fato de que 74% das ameaças detectadas no último trimestre eram malware zero-day – ou aquelas para as quais uma solução antivírus baseada em assinatura não detectou no momento da distribuição do malware – capaz de contornar as soluções antivírus convencionais. O relatório também cobre nova inteligência de ameaças no aumento das taxas de ataque à rede, como os invasores estão tentando disfarçar e redirecionar exploits antigos, os principais ataques de malware do trimestre e muito mais.
"O último trimestre viu o nível mais alto de detecções de malware zero-day que já registramos. As taxas de malware evasivo na verdade eclipsaram as ameaças tradicionais, o que é mais um sinal de que as organizações precisam evoluir suas defesas para ficar à frente de agentes de ameaças cada vez mais sofisticadas." diz Corey Nachreiner, chief security officer da WatchGuard. "As soluções antimalware tradicionais por si só não são suficientes para o ambiente de ameaças atual. Cada organização precisa de uma estratégia de segurança pró-ativa em camadas que envolve aprendizado de máquina e análise comportamental para detectar e bloquear ameaças novas e avançadas."
Outras descobertas importantes do Internet Security Report do primeiro trimestre de 2021 da WatchGuard incluem:
- Variante de fileless malware explode em popularidade – XML.JSLoader é uma payload maliciosa que apareceu pela primeira vez nas listas dos principais malwares da WatchGuard por volume e de detecções de malware mais difundidos. Foi também a variante detectada com mais frequência pela WatchGuard por meio da inspeção HTTPS no primeiro trimestre. A amostra identificada pela WatchGuard usa um ataque de entidade externa XML (XXE) para abrir um shell para executar comandos para ignorar a política de execução do PowerShell local e é executada de forma não interativa, oculta do usuário ou vítima. Este é outro exemplo da prevalência crescente de fileless malware e da necessidade de recursos avançados de detecção e resposta de endpoint.
- Um truque simples de nome de arquivo ajuda os hackers a passar o carregador de ransomware como anexos PDF legítimos – O carregador de ransomware Zmutzy apareceu como uma das duas principais variantes de malware criptografado por volume no primeiro trimestre. Associado especificamente ao ransomware Nibiru, as vítimas encontram essa ameaça como um anexo de arquivo compactado em um e-mail ou download de um site malicioso. Ao executar o arquivo zip, ele baixa um executável, que parece ser um PDF legítimo. Os invasores usaram uma vírgula em vez de um ponto no nome do arquivo e um ícone ajustado manualmente para passar o arquivo zip malicioso como um PDF. Esse tipo de ataque destaca a importância da educação e do treinamento de phishing, bem como da implementação de soluções de backup no caso de uma variante como esta desencadear uma infecção de ransomware.
- Cibercriminosos continuam a atacar os dispositivos IoT – Embora não tenha feito parte da lista dos 10 principais malwares da WatchGuard no primeiro trimestre, a variante Linux.Ngioweb.B foi usada por cibercriminosos recentemente para visar dispositivos IoT. A primeira versão desta amostra tinha como alvo servidores Linux executando WordPress, chegando inicialmente como um arquivo de linguagem de formato estendido (EFL). Outra versão desse malware transforma os dispositivos IoT em uma botnet com comando rotativo e servidores de controle.
- Ataques de rede aumentam em mais de 20% – Os appliances da WatchGuard detectaram mais de 4 milhões de ataques de rede, um aumento de 21% em comparação com o trimestre anterior e o maior volume desde o início de 2018. Servidores corporativos e ativos no local ainda são alvos de alto valor para invasores, apesar da mudança para o trabalho remoto e híbrido, portanto, as organizações devem manter a segurança do perímetro juntamente com proteções focadas no usuário.
- O retorno de uma técnica antiga de passagem de diretório – A WatchGuard detectou uma nova assinatura de ameaça no primeiro trimestre que envolve um ataque de travessia de diretório por meio de arquivos de gabinete (CAB), um formato de arquivamento desenvolvido pela Microsoft destinado à compressão de dados sem perdas e certificados digitais incorporados. Uma nova adição à lista dos 10 principais ataques de rede da WatchGuard, esse exploit engana os usuários para que eles abram um arquivo CAB malicioso usando técnicas convencionais ou falsificando uma impressora conectada à rede para enganar os usuários para que eles instalem um driver de impressora através de um arquivo CAB comprometido.
- HAFNIUM zero days oferece lições sobre táticas de ameaças e melhores práticas de resposta – No último trimestre, a Microsoft relatou que os adversários usaram as quatro vulnerabilidades HAFNIUM em várias versões do Exchange Server para obter execução remota completa de código de sistema não autenticado e acesso arbitrário de gravação de arquivo a qualquer servidor sem patch exposto à Internet, como ocorre com a maioria dos servidores de e-mail. A análise de incidentes da WatchGuard analisa as vulnerabilidades e destaca a importância da inspeção HTTPS, correção oportuna e substituição de sistemas legados.
- Os atacantes agregam domínios legítimos em campanhas de criptominação – No primeiro trimestre, o serviço DNSWatch da WatchGuard bloqueou vários domínios comprometidos e mal-intencionados associados a ameaças de criptomineração. O malware Cryptominer se tornou cada vez mais popular devido aos recentes picos de preços no mercado de criptomoedas e à facilidade com que os agentes de ameaças podem desviar recursos de vítimas inocentes.
Os relatórios de pesquisa trimestrais da WatchGuard são baseados em dados anônimos do Firebox Feed ativos, cujos proprietários optaram por compartilhar dados para apoiar os esforços de pesquisa do Threat Lab. No primeiro trimestre, a WatchGuard bloqueou um total de mais de 17,2 milhões de variantes de malware (461 por dispositivo) e quase 4,2 milhões de ameaças de rede (113 por dispositivo). O relatório completo inclui detalhes sobre malware adicional e tendências de rede a partir do primeiro trimestre de 2021, uma análise detalhada dos exploits do HAFNIUM Microsoft Exchange Server, dicas críticas de defesa para leitores e muito mais.
Leia o relatório completo de segurança da Internet do primeiro trimestre de 2021 da WatchGuard aqui.