WatchGuard Threat Lab revela que 91,5% dos malwares chegam por conexões criptografadas com HTTPS

A WatchGuard® Technologies, líder global em segurança e inteligência de redes, segurança Wi-Fi, autenticação multifator e proteção avançada de endpoint, divulga seu mais novo Internet Security Report, detalhando as principais tendências de malware e ameaças de segurança de rede analisadas pelos pesquisadores do WatchGuard Threat Lab durante o segundo trimestre de 2021. O relatório também inclui novos insights com base na inteligência de ameaças de endpoint detectada ao longo do primeiro semestre de 2021. As principais descobertas da pesquisa revelaram que surpreendentes 91,5% dos malwares chegam por conexões criptografadas com HTTPS, além de surtos alarmantes de fileless malware, o drástico crescimento de ransomware, um grande aumento em ataques de rede e muito mais.

“Com grande parte do mundo ainda operando firmemente em um modelo de força de trabalho móvel ou híbrido, o perímetro de rede tradicional nem sempre influencia na equação de defesa da segurança cibernética,” diz Corey Nachreiner, chief security officer da WatchGuard. “Embora uma forte defesa ainda seja uma parte importante de uma abordagem de segurança em camadas, a proteção forte de endpoint (EPP) e a detecção e resposta de endpoint (EDR) são cada vez mais essenciais.” 

Entre suas descobertas mais notáveis, o Internet Security Report da WatchGuard do segundo trimestre de 2021 revela:

●      Grandes quantidades de malware chegam por meio de conexões criptografadas – No segundo trimestre, 91,5% dos malwares chegaram por meio de uma conexão criptografada, um grande aumento em relação ao trimestre anterior. Simplificando, qualquer organização que não esteja usando criptografia HTTPS está perdendo 9/10 de todo o malware no perímetro.

●      Malware está usando ferramentas do PowerShell para contornar proteções poderosas – AMSI.Disable.A apareceu na lista da WatchGuard dos “top malware” pela primeira vez no primeiro trimestre e, imediatamente, disparou neste trimestre, atingindo o 2º lugar da lista no geral em volume e ficando em 1º lugar em ameaças criptografadas em geral. Esta família de malware usa ferramentas PowerShell para explorar várias vulnerabilidades no Windows. Mas o que a torna especialmente interessante é sua técnica evasiva. A WatchGuard descobriu que o AMSI.Disable.A possui um código capaz de desabilitar a Antimalware Scan Interface (AMSI) no PowerShell, permitindo que ele contorne as verificações de segurança do script com sua carga de malware não detectada.

●      Fileless malware aumentam, tornando-se ainda mais evasivos – Apenas nos primeiros seis meses de 2021, as detecções de malware originadas de mecanismos de script como o PowerShell já atingiram 80% do volume total de ataques iniciados por script do ano passado, o que representou um aumento substancial em relação ao ano anterior. Em seu ritmo atual, 2.021 detecções de fileless malware estão a caminho de dobrar de volume em relação ao ano anterior.

●      Ataques à rede estão crescendo – Os appliances da WatchGuard detectaram  um aumento substancial nos ataques de rede, que aumentaram 22% em relação ao trimestre anterior e atingiram o maior volume desde o início de 2018. O primeiro trimestre viu quase 4,1 milhões de ataques à rede. No trimestre seguinte, esse número saltou para outro milhão - traçando um curso agressivo que destaca a crescente importância de manter a segurança do perímetro ao lado de proteções focadas no usuário.

●      Ransomware ataca novamente com força total – Enquanto o total de detecções de ransomware no endpoint estava em uma trajetória descendente de 2018 a 2020, essa tendência quebrou no primeiro semestre de 2021, já que o total de seis meses terminou um pouco tímido do total do ano inteiro para 2020. Se as detecções diárias de ransomware permanecer estável até o resto de 2021, o volume deste ano alcançará um aumento de mais de 150% em relação a 2020.

●      Ransomware faz ataques do estilo “shotgun blast” – O ataque à Colonial Pipeline em 7 de maio de 2021 deixou bastante claro que o ransomware como uma ameaça veio para ficar. Como o principal incidente de segurança do trimestre, a violação ressalta como os cibercriminosos não estão apenas colocando os serviços mais vitais - como hospitais, controle industrial e infraestrutura - em sua mira, mas parecem estar aumentando os ataques contra esses alvos de alto valor. A análise de incidentes da WatchGuard examina as consequências, como será o futuro para a segurança da infraestrutura crítica e as etapas que as organizações em qualquer setor podem tomar para ajudar na defesa contra esses ataques e retardar sua propagação.

●      Serviços antigos continuam sendo alvos valiosos – Diferentemente dos relatórios trimestrais anteriores, havia quatro novas assinaturas entre os 10 principais ataques de rede da WatchGuard no segundo trimestre. Notavelmente, o mais recente foi uma vulnerabilidade de 2020 na popular linguagem de script da web PHP, mas os outros três não são novos. Isso inclui uma vulnerabilidade de 20ll do Oracle GlassFish Server, uma falha de injeção de SQL de 2013 no aplicativo de registros médicos OpenEMR e uma vulnerabilidade de execução remota de código (RCE) de 2017 no Microsoft Edge. Embora desatualizados, todos ainda representam riscos se não forem corrigidos.

●      Ameaças baseadas no Microsoft Office persistem em popularidade – O segundo trimestre viu uma nova adição à lista dos 10 ataques de rede mais difundidos e fez sua estreia no topo. A assinatura, 1133630, é a vulnerabilidade RCE de 2017 mencionada acima que afeta os navegadores da Microsoft. Embora possa ser um exploit antigo e corrigido na maioria dos sistemas, aqueles que ainda não corrigiram terão um rude despertar se um invasor for capaz de acessá-lo antes que o façam. Na verdade, uma falha de segurança RCE de alta gravidade muito semelhante, rastreada como CVE-2021-40444, ganhou as manchetes no início deste mês quando foi ativamente explorada em ataques direcionados contra Microsoft Office e Office 365 em computadores Windows 10. Ameaças baseadas em Office continuam populares quando se trata de malware, e é por isso que ainda estamos detectando esses ataques testados e comprovados à solta. Felizmente, eles ainda estão sendo detectados por defesas IPS testadas e comprovadas.

●      Os domínios de phishing se disfarçam como domínios legítimos e amplamente reconhecidos – A WatchGuard observou um aumento no uso do malware recentemente visando servidores Microsoft Exchange e usuários de e-mail genéricos para baixar Trojans de acesso remoto (RATs) em locais altamente confidenciais. Isso provavelmente se deve ao fato de o segundo trimestre ser o segundo trimestre consecutivo em que os funcionários e alunos remotos retornaram a escritórios e ambientes acadêmicos híbridos ou a comportamentos anteriormente normais de atividade no local. Em qualquer caso - ou local - é recomendado um forte reconhecimento de segurança e monitoramento de comunicações de saída em dispositivos que não estão necessariamente conectados diretamente aos dispositivos conectados.

Os relatórios de pesquisa trimestrais da WatchGuard são baseados em dados anônimos do Firebox Feed ativos, cujos proprietários optaram por compartilhar dados para apoiar os esforços de pesquisa do Threat Lab. No segundo trimestre, a WatchGuard bloqueou um total de mais de 16,6 milhões de variantes de malware (438 por dispositivo) e quase 5,2 milhões de ameaças de rede (137 por dispositivo). O relatório completo inclui detalhes sobre malware adicional e tendências de rede do segundo trimestre de 2021, um mergulho ainda mais profundo nas ameaças detectadas no endpoint durante o primeiro semestre de 2021, estratégias de segurança recomendadas e dicas críticas de defesa para empresas de todos os tamanhos e em qualquer setor, e muito mais.