Il nuovo Internet Security Report di WatchGuard evidenzia un drammatico aumento di malware fileless, del numero di rilevamenti di malware per singola appliance e attacchi di rete e ransomware in forte espansione

Malware, Italia sul podio nella classifica mondiale

WatchGuard® Technologies ha rilasciato il suo nuovo Internet Security Report riferito a Q2 2021, che descrive in dettaglio le principali tendenze del malware e delle minacce alla sicurezza della rete analizzate dai ricercatori del WatchGuard Threat Lab durante il secondo trimestre del 2021.

Il report include anche nuovi approfondimenti basati sull’intelligence delle minacce agli endpoint rilevate durante la prima metà del 2021. I principali risultati della ricerca hanno evidenziato un sorprendente 91,5% di malware in arrivo tramite connessioni crittografate HTTPS, un allarmante incremento di minacce malware fileless, una crescita importante del ransomware, un grande aumento degli attacchi di rete, e molto altro.

“Con gran parte delle aziende e organizzazioni nel mondo che operano ancora per lo più con un modello di forza di lavoro mobile o ibrido, serve un approccio diverso alla sicurezza informatica“, ha affermato Corey Nachreiner, chief security officer di WatchGuard. “Mentre una forte difesa perimetrale è ancora una parte importante della sicurezza a più livelli, una forte protezione degli endpoint (EPP) e il rilevamento e la risposta alle minacce per gli endpoint (EDR) sono sempre più essenziali.”

Di seguito vengono elencati alcuni dei risultati più importanti dell’Internet Security Report di WatchGuard riferito al secondo trimestre 2021:

  • Enormi quantità di malware arrivano tramite connessioni crittografate – Nel secondo trimestre, il 91,5% del malware è stato distribuito tramite una connessione crittografata, un notevole aumento rispetto al trimestre precedente. In altre parole, qualsiasi organizzazione che non si sta preoccupando di esaminare il traffico HTTPS crittografato nel perimetro, non intercetta i 9/10 di tutto il malware.
  • Il malware utilizza gli strumenti di PowerShell per aggirare robuste protezioni –Disable.A è apparso per la prima volta nella lista dei Top Malware di WatchGuard nel primo trimestre ed è subito balzato in cima alla lista in questo secondo trimestre, raggiungendo il secondo posto per volume totale e conquistando il primo posto per le minacce crittografate complessive. Questa famiglia di malware utilizza gli strumenti di PowerShell per sfruttare varie vulnerabilità in Windows. Ma ciò che lo rende particolarmente interessante è la sua tecnica evasiva. WatchGuard ha scoperto che AMSI.Disable.A utilizza un codice in grado di disabilitare l’Antimalware Scan Interface (AMSI) in PowerShell, consentendogli di aggirare i controlli di sicurezza degli script senza che venga rilevato il payload del malware.
  • Le minacce fileless aumentano, diventando ancora più evasive – Solo nei primi sei mesi del 2021, i rilevamenti di malware provenienti da motori di scripting come PowerShell hanno già raggiunto l’80% del volume totale di attacchi avviati da script del 2020, che a sua volta aveva visto un aumento sostanziale rispetto all’anno precedente. Con l’attuale ritmo, i rilevamenti di malware fileless del 2021 sono sulla buona strada per raddoppiare di volume anno su anno.
  • Gli attacchi di rete sono in forte espansione nonostante il passaggio al lavoro da remoto – Le appliance WatchGuard hanno rilevato un aumento sostanziale degli attacchi di rete, che sono aumentati del 22% rispetto al trimestre precedente e hanno raggiunto il volume più alto dall’inizio del 2018. Il primo trimestre ha visto quasi 4,1 milioni di attacchi di rete. In Q2, quel numero è balzato in avanti di un altro milione, tracciando un trend aggressivo che evidenzia la crescente importanza del mantenimento della sicurezza perimetrale insieme alle protezioni incentrate sull’utente.
  • Gli attacchi ransomware sugli endpoint tornano a crescere – Mentre i rilevamenti di ransomware totali sull’endpoint hanno messo in evidenza una traiettoria discendente dal 2018 al 2020, questa tendenza si è interrotta nella prima metà del 2021: il numero totale di questi primi sei mesi si attesta appena al di sotto del totale sull’intero anno 2020. Se i rilevamenti giornalieri di ransomware rimarranno invariati per il resto del 2021, il volume di quest’anno raggiungerà un aumento di oltre il 150% rispetto al 2020.
  • Il ransomware ‘big game’ segna l’eclisse di attacchi in stile “shotgun blast” – L’attacco a Colonial Pipeline del 7 maggio 2021 ha messo un sigillo sul fatto che il ransomware come minaccia è destinato a rimanere. Questa violazione, risultata il principale incidente di sicurezza del secondo trimestre, sottolinea come i criminali informatici non solo stiano mirando ai servizi più vitali (come ospedali, sistemi di controllo industriale e infrastrutture), ma sembrano anche intensificare gli attacchi contro obiettivi di alto valore. L’analisi degli incidenti di WatchGuard esamina le possibili ricadute, come apparirà il futuro per la sicurezza delle infrastrutture critiche e i passi che le organizzazioni di qualsiasi settore possono intraprendere per difendersi da questi attacchi e rallentarne la propagazione.
  • Vecchi servizi continuano a rappresentare obiettivi degni di nota – Contrariamente alle solite una o due nuove firme viste nei precedenti report trimestrali, nel secondo trimestre sono state rilevate quattro nuove firme nella lista dei primi 10 attacchi di rete di WatchGuard. In particolare, la più recente è stata una vulnerabilità del 2020 nel popolare linguaggio di scripting web PHP, ma le altre tre non sono affatto nuove. Riguardano una vulnerabilità Oracle GlassFish Server 20ll, un difetto di SQL injection del 2013 nell’applicazione OpenEMR per cartelle cliniche e una vulnerabilità RCE (Remote Code Execution) del 2017 in Microsoft Edge. Sebbene datati, tutti comportano ancora dei rischi se non vengono applicate patch.
  • Le minacce basate su Microsoft Office continuano a essere popolari – Il secondo trimestre ha visto una new entry nella lista dei 10 attacchi di rete più diffusi che si è guadagnata subito il primo posto al suo debutto. La firma 1133630 è la vulnerabilità RCE del 2017 menzionata al punto precedente che interessa i browser Microsoft. Sebbene sia un vecchio exploit, e dovrebbe quindi essere stato risolto con una patch nella maggior parte dei sistemi (almeno, così si spera), chi deve ancora applicare la patch subirà un brusco risveglio se un utente malintenzionato sarà in grado di approfittarne. In effetti, un difetto di sicurezza RCE di elevata gravità molto simile, tracciato come CVE-2021-40444, è balzato all’attenzione all’inizio di settembre quando è stato attivamente sfruttato in attacchi mirati contro Microsoft Office e Office 365 su computer con sistema operativo Windows 10. Le minacce basate su Office continuano a essere popolari quando si tratta di malware, motivo per cui se ne individuano ancora. Fortunatamente, vengono ancora rilevati da difese IPS collaudate.
  • I domini di phishing si mascherano da domini legittimi e ampiamente riconosciuti – WatchGuard ha osservato un aumento nell’uso di malware che di recente prende di mira i server Microsoft Exchange e utenti generici di posta elettronica per scaricare trojan di accesso remoto (RAT) in punti altamente sensibili. Ciò è probabilmente dovuto al fatto che il Q2 2021 è stato il secondo trimestre consecutivo in cui lavoratori e gli studenti remoti sono tornati in uffici ibridi e in ambienti accademici o hanno adottato i comportamenti normali tipici dell’attività in loco. In ogni caso – o luogo – si consiglia di avere un atteggiamento di forte consapevolezza della sicurezza e di monitorare le comunicazioni in uscita su dispositivi che non sono necessariamente collegati direttamente ai dispositivi connessi. 

I report trimestrali di WatchGuard si basano su dati in forma anonima provenienti dai Firebox Feed di appliance WatchGuard attive i cui proprietari hanno acconsentito alla condivisione dei dati per supportare gli sforzi di ricerca del Threat Lab. Nel secondo trimestre, WatchGuard ha bloccato un totale di oltre 16,6 milioni di varianti di malware (438 per dispositivo) e quasi 5,2 milioni di minacce di rete (137 per dispositivo). Il report completo include dettagli su ulteriori malware e tendenze emerse nel secondo trimestre del 2021, un’analisi ancora più approfondita delle minacce rilevate all’endpoint durante la prima metà del 2021, e le strategie di sicurezza consigliate e i suggerimenti di difesa per aziende di ogni dimensione e settore.

L’Internet Security Report di WatchGuard è disponibile qui:

https://www.watchguard.com/wgrd-resource-center/security-report-q2-2021