WatchGuard Technologies, leader globale in sicurezza e intelligence di rete, protezione avanzata degli endpoint, autenticazione a più fattori (MFA) e Wi-Fi sicuro, ha pubblicato il suo ultimo Internet Security Report – Q2 2021, l’analisi che descrive in dettaglio i principali malware, le tendenze e le minacce alla sicurezza della rete analizzate dai ricercatori di WatchGuard Threat Lab durante il secondo trimestre del 2021.
Il report include anche nuovi approfondimenti basati sull’intelligence sulle minacce agli endpoint rilevata durante la prima metà del 2021. I principali risultati della ricerca hanno scoperto un sorprendente 91,5% di malware in arrivo tramite HTTPS- connessioni crittografate, impennate allarmanti di minacce malware senza file, crescita drammatica del ransomware, un forte aumento degli attacchi di rete e molto altro.
Tra i risultati più importanti, il rapporto sulla sicurezza Internet del secondo trimestre 2021 di WatchGuard rivela:
- Enormi quantità di malware arrivano tramite connessioni crittografate – Nel secondo trimestre, il 91,5% del malware è arrivato tramite una connessione crittografata, un notevole aumento rispetto al trimestre precedente. In parole povere, a qualsiasi organizzazione che non sta esaminando il traffico HTTPS crittografato nel perimetro mancano 9/10 di tutto il malware.
- Il malware utilizza gli strumenti di PowerShell per aggirare potenti protezioni: AMSI.Disable.A è apparso per la prima volta nella sezione malware principale di WatchGuard nel primo trimestre e subito è balzato in alto per questo trimestre, raggiungendo l’elenco al n. 1 per le minacce crittografate complessive. Questa famiglia di malware utilizza gli strumenti di PowerShell per sfruttare varie vulnerabilità in Windows. Ma ciò che lo rende particolarmente interessante è la sua tecnica evasiva. WatchGuard ha scoperto che AMSI.Disable.A utilizza un codice in grado di disabilitare l’Antimalware Scan Interface (AMSI) in PowerShell, consentendogli di aggirare i controlli di sicurezza degli script senza rilevare il payload del malware.
- Le minacce senza file aumentano, diventando ancora più evasive: solo nei primi sei mesi del 2021, i rilevamenti di malware provenienti da motori di scripting come PowerShell hanno già raggiunto l’80% del volume totale di attacchi avviati da script dello scorso anno, che a sua volta ha rappresentato un aumento sostanziale nel corso dell’anno precedente. Al ritmo attuale, i rilevamenti di malware senza file del 2021 sono sulla buona strada per raddoppiare di volume su base annua.
- Gli attacchi di rete sono in forte espansione nonostante il passaggio a forze lavoro principalmente remote: le appliance WatchGuard hanno rilevato un aumento sostanziale degli attacchi di rete, che sono aumentati del 22% rispetto al trimestre precedente e hanno raggiunto il volume più alto dall’inizio del 2018. Il primo trimestre ha visto quasi 4,1 milioni di attacchi di rete. Nel trimestre successivo, quel numero è balzato di un altro milione, tracciando un corso aggressivo che evidenzia la crescente importanza del mantenimento della sicurezza perimetrale insieme alle protezioni incentrate sull’utente.
- Gli attacchi ransomware si vendicano – Mentre i rilevamenti totali di ransomware sull’endpoint erano su una traiettoria discendente dal 2018 al 2020, questa tendenza si è interrotta nella prima metà del 2021, poiché il totale di sei mesi è terminato appena al di sotto del totale dell’intero anno per 2020. Se i rilevamenti giornalieri di ransomware rimarranno invariati per il resto del 2021, il volume di quest’anno raggiungerà un aumento di oltre il 150% rispetto al 2020.
- Il ransomware di grandi dimensioni colpisce attacchi in stile “shotgun blast” – L’attacco Colonial Pipeline del 7 maggio 2021 ha reso abbondantemente e spaventosamente chiaro che il ransomware come minaccia è qui per rimanere. Essendo il principale incidente di sicurezza del trimestre, la violazione sottolinea come i criminali informatici non solo stiano mettendo nel mirino i servizi più vitali, come ospedali, controllo industriale e infrastrutture, ma sembrano intensificare gli attacchi contro questi obiettivi di alto valore come bene. L’analisi degli incidenti di WatchGuard esamina le ricadute, l’aspetto del futuro per la sicurezza delle infrastrutture critiche e i passi che le organizzazioni di qualsiasi settore possono intraprendere per difendersi da questi attacchi e rallentarne la propagazione.
- I vecchi servizi continuano a dimostrarsi obiettivi degni di nota – Deviando dalla solita una a due nuove firme viste nei precedenti rapporti trimestrali, ci sono state quattro nuove firme tra i primi 10 attacchi di rete di WatchGuard per il secondo trimestre. In particolare, la più recente è stata una vulnerabilità del 2020 nel popolare linguaggio di scripting web PHP, ma le altre tre non sono affatto nuove. Questi includono una vulnerabilità Oracle GlassFish Server 20ll, un difetto di iniezione SQL 2013 nell’applicazione OpenEMR per cartelle cliniche e una vulnerabilità RCE (Remote Code Execution) 2017 in Microsoft Edge. Sebbene datati, tutti comportano ancora dei rischi se non vengono riparati.
- Le minacce basate su Microsoft Office persistono in popolarità– Il secondo trimestre ha visto una nuova aggiunta all’elenco dei 10 attacchi di rete più diffusi e ha fatto il suo debutto in cima. La firma, 1133630, è la vulnerabilità RCE del 2017 menzionata sopra che interessa i browser Microsoft. Sebbene possa essere un vecchio exploit e patchato nella maggior parte dei sistemi (si spera), quelli che devono ancora patchare subiranno un brusco risveglio se un utente malintenzionato è in grado di raggiungerlo prima di loro. In effetti, un difetto di sicurezza RCE molto simile ad alta gravità, tracciato come CVE-2021-40444, ha fatto notizia all’inizio di questo mese quando è stato attivamente sfruttato in attacchi mirati contro Microsoft Office e Office 365 su computer Windows 10. Le minacce basate su Office continuano a essere popolari quando si tratta di malware, motivo per cui stiamo ancora individuando questi attacchi collaudati in natura. Fortunatamente, vengono ancora rilevati da difese IPS collaudate.
- I domini di phishing si mascherano da domini legittimi e ampiamente riconosciuti: WatchGuard ha osservato un aumento nell’uso di malware che ha recentemente preso di mira i server Microsoft Exchange e gli utenti di posta elettronica generici per scaricare trojan di accesso remoto (RAT) in luoghi altamente sensibili. Ciò è probabilmente dovuto al fatto che il secondo trimestre è stato il secondo trimestre consecutivo in cui lavoratori e studenti remoti sono tornati in uffici ibridi e ambienti accademici o in comportamenti precedentemente normali dell’attività in loco. In ogni caso – o luogo – si consiglia una forte consapevolezza della sicurezza e il monitoraggio delle comunicazioni in uscita su dispositivi che non sono necessariamente collegati direttamente ai dispositivi connessi.
I rapporti di ricerca trimestrali di WatchGuard si basano su dati di feedbox anonimi provenienti da Firebox WatchGuard attivi i cui proprietari hanno scelto di condividere i dati a sostegno diretto degli sforzi di ricerca del Threat Lab. Nel secondo trimestre, WatchGuard ha bloccato un totale di oltre 16,6 milioni di varianti di malware (438 per dispositivo) e quasi 5,2 milioni di minacce di rete (137 per dispositivo).
Il report completo include dettagli su ulteriori malware e tendenze di rete dal secondo trimestre del 2021, un’analisi ancora più approfondita delle minacce rilevate all’endpoint durante la prima metà del 2021, strategie di sicurezza consigliate e suggerimenti di difesa critici per aziende di tutte le dimensioni e in qualsiasi settore, e di più.
L’Internet Security Report – Q2 2021 è disponibile al seguente link qui: https://www.watchguard.com/wgrd-resource-center/security-report-q2-2021
