Il nuovo Internet Security Report del Threat Lab di WatchGuard mette in guardia non solo sulle connessioni crittografate, ma anche sulle vulnerabilità dei server Exchange e dei sistemi di gestione SCADA.

connessioni crittografate

WatchGuard Technologies, player globale nella unified cybersecurity, ha pubblicato il suo ultimo Internet Security Report, che descrive in dettaglio le principali tendenze del malware e le minacce alla sicurezza della rete e degli endpoint analizzate dai ricercatori di WatchGuard Threat Lab nel terzo trimestre 2022. Tra i risultati principali emerge che la principale minaccia malware in Q3 è stata rilevata esclusivamente su connessioni crittografate; gli attacchi ICS stanno mantenendo la loro popolarità; il malware LemonDuck si sta evolvendo andando oltre la consegna di cryptominer; un cheat engine di Minecraft sta fornendo un payload malevolo.

“Non finiremo di sottolineare abbastanza quanto sia importante abilitare l’ispezione HTTPS, anche se richiede alcune regolazioni ed eccezioni per funzionare correttamente. La maggior parte del malware arriva tramite connessioni HTTPS crittografato e non ispezionarlo significa perdersi una parte di minacce“, ha affermato Corey Nachreiner, Chief Security Officer di WatchGuard Technologies. “Gli attaccanti in Q3 hanno continuato a colpire anche grandi target, come i server Exchange o i sistemi di gestione SCADA. Quando una patch è disponibile, è importante aggiornarla immediatamente, poiché gli attaccanti alla fine trarranno vantaggio da qualsiasi organizzazione che deve ancora implementare l’ultima patch”.

Di seguito altri risultati emersi dall’Internet Security Report di Q3 2022:

  1. La stragrande maggioranza del malware arriva tramite connessioni crittografate: sebbene Agent.IIQ si sia classificato al terzo posto nella lista dei 10 principali malware nel terzo trimestre, è arrivato al primo posto nella lista dei malware crittografati (sempre riferito a Q3). Infatti, osservando i rilevamenti in entrambe queste liste, si può notare che tutti i rilevamenti di Agent.IIQ provengono da connessioni crittografate. Nel terzo trimestre, i firewall Firebox WatchGuard che sono stati impostati per ispezionare il traffico delle connessioni crittografate hanno registrato che l’82% del malware rilevato proveniva delle connessioni crittografate, mentre solo un esiguo 18% di malware è stato rilevato dal traffico non crittografato. È consigliabile almeno implementare la protezione degli endpoint per poter rilevare il malware più in basso nella cyber kill chain.
  2. I sistemi ICS e SCADA rimangono obiettivi di attacco di tendenza – Una novità nella lista dei primi 10 attacchi di rete del terzo trimestre 2022 è un attacco di tipo SQL injection che ha colpito diversi fornitori. Una di queste società è Advantech, il cui portale WebAccess viene utilizzato per i sistemi SCADA in una varietà di infrastrutture critiche. Un altro grave exploit nel terzo trimestre, anch’esso apparso tra i primi cinque attacchi di rete per volume, ha coinvolto le versioni 1.2.1 e precedenti del software U.motion Builder di Schneider Electric. Questo è un duro promemoria del fatto che gli attaccanti non stanno aspettando in silenzio un’opportunità, ma stanno cercando attivamente di compromettere i sistemi ove possibile.
  3. Le vulnerabilità dei server Exchange continuano a rappresentare un rischio – Il CVE più recente tra le nuove firme del Threat Lab di WatchGuard del terzo trimestre, CVE-2021-26855, è una vulnerabilità RCE (Remote Code Execution) di Microsoft Exchange Server per i server locali. A questa vulnerabilità RCE è stato assegnato un punteggio CVE di 9,8 ed è noto che sia stata sfruttata. Anche la data e la gravità di questo CVE-2021-26855 dovrebbero suonare come un campanello, in quanto è uno degli exploit utilizzati dal gruppo HAFNIUM. Mentre alla maggior parte dei server Exchange interessati sono probabilmente già state applicate patch, la maggior parte non equivale a tutti. Pertanto, i rischi rimangono.
  4. Attori delle minacce che prendono di mira chi cerca software libero Fugrafa scarica malware che inietta codice malevolo. In Q3, il Threat Lab di WatchGuard ne ha esaminato un campione trovato in un cheat engine per il popolare gioco Minecraft. Sebbene il file condiviso principalmente su Discord affermi di essere il cheat engine di Minecraft Vape V4 Beta, non è questo tutto ciò che contiene. Agent.FZUW ha alcune somiglianze con Variant.Fugrafa, ma invece dell’installazione tramite un cheat engine, il file stesso finge di avere un software crackato. Il Threat Lab ha scoperto che questo particolare campione ha connessioni con Racoon Stealer, una campagna di hacking di criptovaluta utilizzata per dirottare le informazioni dell’account dai servizi di scambio di criptovaluta.
  5. Il malware LemonDuck si evolve andando oltre la consegna dei cryptominer – Anche se si è registrato un calo dei domini di malware bloccati o monitorati nel terzo trimestre del 2022, è evidente che gli attacchi agli utenti ignari sono ancora elevati. Con tre nuove aggiunte alla lista dei principali domini malware – due dei quali erano ex domini malware LemonDuck e il terzo un dominio classificato Emotet – il terzo trimestre ha visto più malware e tentativi di siti malware che erano domini più recenti del solito. Questa tendenza cambierà e si modificherà con il panorama della criptovaluta in agitazione, poiché gli attaccanti cercheranno altre vie per ingannare gli utenti. Mantenere abilitata la protezione DNS serve a monitorare e impedire a utenti ignari di consentire a malware o ad altri problemi gravi di fare breccia in azienda.
  6. Offuscamento JavaScript negli exploit kit – La firma 1132518, una vulnerabilità generica per il rilevamento degli attacchi di offuscamento JavaScript nei confronti dei browser, è stata l’unica nuova aggiunta alla lista di firme di attacco di rete più diffuse del terzo trimestre. JavaScript è un vettore comune per attaccare gli utenti e gli attori delle minacce utilizzano continuamente exploit kit basati su JavaScript, in attacchi di malvertising, watering hole e phishing, solo per citarne alcuni. Poiché le difese sono migliorate sui browser, è migliorata anche la capacità degli attaccanti di offuscare il codice JavaScript malevolo.
  7. Anatomia degli attacchi adversary-in-the-middle diventati una commodity – Sebbene l’autenticazione a più fattori (MFA) sia innegabilmente l’unica migliore tecnologia che è possibile implementare per proteggersi dalla maggior parte degli attacchi all’autenticazione, non è di per sé una soluzione contro tutti i vettori di attacco. Gli attaccanti lo hanno confermato, con il rapido aumento degli attacchi adversary-in-the-middle (AitM) diventati una commodity, e l’approfondimento del Threat Lab di WatchGuard su EvilProxy, il principale incidente di sicurezza del terzo trimestre, dimostra come gli attori malintenzionati stiano iniziando a rivolgersi verso tecniche AitM più sofisticate. Come l’offerta Ransomware as a Service resa popolare negli ultimi anni, il rilascio nel settembre 2022 di un toolkit AitM chiamato EvilProxy ha notevolmente abbassato la barriera di ingresso per quella che in precedenza era una sofisticata tecnica di attacco. Da un punto di vista difensivo, combattere con successo questo tipo di tecnica di attacco AitM richiede un mix di strumenti tecnici e consapevolezza dell’utente.
  8. Una famiglia di malware con legami con Gothic Panda – L’Internet Security Report del secondo trimestre 2022 del Threat Lab di WatchGuard descriveva come Gothic Panda, un attore di minacce sponsorizzato dallo stato collegato al Ministero della sicurezza statale cinese, fosse noto per utilizzare uno dei migliori rilevamenti di malware di quel trimestre. È interessante notare che l’elenco dei principali malware crittografati per il terzo trimestre include una famiglia di malware chiamata Taidoor, che non solo è stata creata da Gothic Panda, ma è stata utilizzata solo dagli attori informatici del governo cinese. Sebbene questo malware si concentri in genere su obiettivi in ​​Giappone e Taiwan in generale, il campione Generic.Taidoor analizzato in Q3 è stato rilevato principalmente in organizzazioni in Francia, il che fa pensare che alcuni WatchGuard Firebox in questa regione potrebbero aver rilevato e bloccato parti di un attacco informatico sponsorizzato dallo stato.
  9. Nuovi ransomware e gruppi di estorsione in azione – Nel terzo trimestre, il Threat Lab di WatchGuard ha lanciato una nuova attività di monitoraggio nei confronti degli attuali gruppi di estorsioni ransomware con l’intenzione di utilizzare le proprie capacità di intelligence sulle minacce per fornire più informazioni relative al ransomware nei prossimi report della multinazionale. Nel terzo trimestre, il gruppo LockBit è risultato in cima alla lista con oltre 200 estorsioni pubbliche sulla loro pagina nel dark web, quasi quattro volte di più di quelle della gang Basta, il secondo gruppo di ransomware più prolifico osservato da WatchGuard nel terzo trimestre.