In base ai risultati del suo ultimo Internet Security Report WatchGuard Technologies, tra i dati più significativi, ha rilevato che l’attuale 95% del malware si diffonde attraverso connessioni cifrate. Le organizzazioni che non ispezionano il traffico SSL/TLS al perimetro di rete probabilmente stanno trascurando la maggior parte del malware. Inoltre, il malware “zero day” è sceso all’11% del totale delle rilevazioni di malware, un livello mai registrato in precedenza. Tuttavia, se si ispeziona il malware tramite connessioni cifrate, la quota di rilevazioni evasive è aumentata al 66%, il che indica che gli attaccanti continuano a diffondere principalmente malware sofisticato attraverso la crittografia.
Sugli endpoint, invece, risulta sorprendente notare una diminuzione (dell’8%) del volume di malware rispetto al trimestre precedente, nonostante l’aumento delle campagne di attacco. Questo fenomeno potrebbe essere attribuito a una maggiore efficacia delle misure di sicurezza implementate sugli endpoint stessi, ma non va sottovalutato, poiché gli attacchi continuano ad evolversi.
Un altro dato degno di nota è una crescente tendenza verso gli attacchi di doppia estorsione (+72%) rispetto al trimestre precedente. Questi attacchi non solo cifrano i dati aziendali, ma minacciano anche di divulgare dati sensibili, a meno che non venga pagato un riscatto. Questa tattica aggiuntiva rende gli attacchi ancora più dannosi e complessi da affrontare.
Sei nuove varianti di malware tra le prime 10 rilevazioni sugli endpoint. Il Threat Lab ha registrato un notevole aumento delle rilevazioni dell’installer compromesso di 3CX, che rappresenta il 48% del volume totale delle rilevazioni nella lista delle 10 principali minacce malware del secondo trimestre. Inoltre, Glupteba, un loader multifunzione, che agisce come botnet, info-stealer e criptominer, e che sembra mirare in modo indiscriminato alle vittime in tutto il mondo, ha fatto ritorno agli inizi del 2023 dopo essere stato interrotto nel 2021.
Inoltre l’indagine ha rilevato che gli attori delle minacce fanno sempre più uso di binari Windows “living off-the-land” per consegnare il malware. Nell’analizzare i vettori di attacco e il modo in cui gli attori delle minacce ottengono accesso agli endpoint, gli attacchi che sfruttano gli strumenti del sistema operativo Windows come WMI e PSExec sono cresciuti del 29%, rappresentando il 17% del volume totale, mentre il malware che utilizza script come PowerShell è diminuito del 41% in volume. Gli script rimangono il vettore di distribuzione di malware più comune con il 74% delle rilevazioni complessive. Gli exploit basati su browser sono diminuiti del 33% e rappresentano il 3% del volume totale.
I ricercatori del Threat Lab hanno anche trovato tre nuove firme nella Top 10 degli attacchi di rete per il secondo trimestre basate su vecchie vulnerabilità. Una di queste è una vulnerabilità del 2016 associata a un sistema di gestione dell’apprendimento open-source (GitHub) che è stato ritirato nel 2018. Le altre sono firme che rilevano gli overflow di numeri interi in PHP, il linguaggio di scripting utilizzato da molti siti web, e un buffer overflow del 2010 in un’applicazione di gestione HP chiamata Open View Network Node Manager.
Infine, nella ricerca di domini malevoli, il team del Threat Lab ha riscontrato casi di siti web autogestiti (come blog WordPress) e di un servizio di abbreviazione dei link compromessi per ospitare malware o un framework di command and control del malware. Inoltre, gli attori delle minacce di Qakbot hanno compromesso un sito web dedicato a un concorso educativo nella regione Asia-Pacifico per ospitare un’infrastruttura di comando e controllo per la loro botnet.
“I dati analizzati dal nostro Threat Lab per il nuovo Internet Security Report confermano come gli attacchi di malware avanzati variano in frequenza e come le minacce informatiche complesse continuino a evolversi, richiedendo una costante vigilanza e un approccio di sicurezza stratificato per affrontarli efficacemente“, ha dichiarato Corey Nachreiner, Chief Security Officer di WatchGuard. “Non esiste una strategia unica che gli attori delle minacce impiegano nei loro attacchi e alcune minacce presentano spesso diversi livelli di rischio in momenti diversi dell’anno. Le organizzazioni devono rimanere costantemente all’erta per monitorare queste minacce e adottare un approccio di sicurezza unificato, che può essere gestito in modo efficace dai fornitori di servizi gestiti, per garantire la migliore difesa possibile.”
Coerentemente con l’esclusivo approccio Unified Security Platform di WatchGuard e con i precedenti report trimestrali del WatchGuard Threat Lab, i dati analizzati in questo nuovo report si basano su dati sulle minacce in forma anonima e aggregata provenienti dai prodotti di protezione della rete e degli endpoint di WatchGuard attivi i cui proprietari hanno acconsentito alla condivisione dei dati per supportare gli sforzi di ricerca di WatchGuard.
Il report riferito al secondo trimestre del 2023 continua la presentazione dei metodi aggiornati del team del Threat Lab per normalizzare, analizzare e presentare i risultati della ricerca, già iniziati nel report dell’ultimo trimestre. I risultati della sicurezza di rete sono presentati come medie “per dispositivo”, e questo mese le metodologie aggiornate si estendono alla ricerca sugli attacchi di rete e sul malware degli endpoint del Threat Lab.