Le tendenze delle minacce cyber del quartro trimestre 2022, analizzate dai ricercatori di WatchGuard Threat Lab, mostrano uno scenario interessante: nella rete è stata rilevata una diminuzione del malware, invece il ransomware colpisce più che mai gli endpoint, tanto che l’aumento di questa minaccia raggiunge il +627%. Una minaccia persistente è rappresentata dal malware associato alle campagne di phishing. Sono questi i risultati dell’Internet Security Report di WatchGuard Technologies, realtà globale specializzata nella unified cybersecurity.
Il malware si sposta su traffico crittografato
Nonostante si sia assistito a un calo generale del malware, ulteriori analisi dei ricercatori, che hanno preso in esame le appliance WatchGuard Firebox che decrittografano il traffico HTTPS (TLS/SSL), hanno rilevato una maggiore incidenza del malware, il che indica che l’attività del malware si è spostata sul traffico crittografato. Poiché solo il 20% dei Firebox che forniscono dati per questo report ha la decrittazione abilitata, ciò indica che la stragrande maggioranza del malware non viene rilevata. L’attività del malware crittografato è stata un tema ricorrente anche in altri recenti report del Threat Lab di WatchGuard.
“Una tendenza continua e preoccupante emersa da nostri dati e dalle nostre ricerche dimostra che la crittografia – o, più precisamente, la mancanza di decrittazione nel perimetro della rete – sta nascondendo il quadro completo delle tendenze degli attacchi malware”, ha affermato Corey Nachreiner, Chief Security Officer di WatchGuard. “È fondamentale per i professionisti della sicurezza abilitare l’ispezione HTTPS per garantire che queste minacce vengano identificate e affrontate prima che possano causare danni”.
Altri risultati rilevanti dell’Internet Security Report
- I rilevamenti di ransomware sugli endpoint sono aumentati del 627%. Questo picco evidenzia la necessità di difese ransomware come i moderni controlli di sicurezza per la prevenzione proattiva, nonché buoni piani di disaster recovery e business continuity (backup).
- Il 93% del malware si nasconde dietro la crittografia. La ricerca del Threat Lab continua a indicare che la maggior parte del malware si nasconde nella crittografia SSL/TLS utilizzata dai siti Web protetti. Il quarto trimestre evidenzia una prosecuzione di questa tendenza, con un aumento dall’82% al 93%. I professionisti della sicurezza che non ispezionano questo traffico probabilmente perdono la maggior parte del malware e attribuiscono un maggiore onere alla sicurezza degli endpoint per rilevarlo.
- I rilevamenti di malware di rete sono diminuiti di circa il 9,2% durante il quarto trimestre (trimestre su trimestre). Ciò indica un continuo calo generale dei rilevamenti di malware negli ultimi due trimestri. Ma come accennato, quando si considera il traffico web crittografato, il malware rilevato è più alto. Il team di WatchGuard Threat Lab ritiene che questa tendenza alla diminuzione potrebbe non illustrare il quadro completo e necessita di più dati che sfruttino l’ispezione HTTPS per confermare questa tesi.
- I rilevamenti di malware sugli endpoint sono aumentati del 22%. Mentre i rilevamenti di malware di rete sono diminuiti, il rilevamento sugli endpoint è aumentato nel quarto trimestre. Ciò supporta l’ipotesi del team del Threat Lab di WatchGuard secondo cui il malware si sposta su canali crittografati. Sull’endpoint, la crittografia TLS è meno importante, poiché un browser la decrittografa affinché il software dell’endpoint del Threat Lab possa vederla. Tra i principali vettori di attacco, la maggior parte dei rilevamenti sono stati associati agli script, che hanno costituito il 90% di tutti i rilevamenti. Nei rilevamenti di malware del browser, gli attori delle minacce hanno preso di mira maggiormente Internet Explorer con il 42% dei rilevamenti, seguito da Firefox con il 38%.
- Il malware zero day o evasivo è sceso al 43% nel traffico non crittografato. Sebbene rappresenti ancora una percentuale significativa dei rilevamenti complessivi di malware, è la più bassa che il team di Threat Lab abbia registrato negli ultimi anni. Detto questo, la storia cambia completamente quando si osservano le connessioni TLS. Il 70% del malware su connessioni crittografate elude le firme.
- Le campagne di phishing sono aumentate. Tre delle varianti di malware presenti nell’elenco delle prime 10 del report (alcune compaiono anche nella lista estesa) sono usate in varie campagne di phishing. La famiglia di malware più rilevata, JS.A gent.UNS, contiene codice HTML malevolo che indirizza gli utenti a domini apparentemente legittimi mascherati da siti Web noti. Un’altra variante, Agent.GBPM, crea una pagina di phishing di SharePoint denominata “PDF Salary_Increase”, che tenta di accedere alle informazioni sugli account degli utenti. L’ultima nuova variante nella top 10, HTML.Agent.WR, apre una falsa pagina di notifica DHL in francese con un link di login che porta a un noto dominio di phishing. Il phishing e la compromissione della posta elettronica aziendale (BEC, business email compromise) rimangono uno dei principali vettori di attacco, quindi per difendersi occorre assicurarsi di disporre di efficaci difese preventive e di programmi di formazione sulla consapevolezza della sicurezza.
- Gli exploit ProxyLogin continuano a crescere. Un exploit per questo noto problema critico di Exchange è passato dall’ottavo posto in Q3 al quarto posto in Q4. Dovrebbe essere già stato risolto con patch da tempo, ma in caso contrario, i professionisti della sicurezza devono sapere che gli attaccanti lo stanno prendendo di mira. Le vecchie vulnerabilità possono tornare utili per gli attaccanti tanto quanto quelle nuove se sono in grado di compromettere una rete o un sistema. Molti attaccanti continuano a prendere di mira i server Microsoft Exchange o i sistemi di gestione. Le organizzazioni devono quindi essere consapevoli e sapere dove indirizzare i loro sforzi per difendere queste aree.
- Il volume degli attacchi di rete è stabile trimestre su trimestre. Tecnicamente, è aumentato di 35 hit, che rappresenta solo un aumento dello 0,0015%. La leggera variazione è notevole, poiché la successiva variazione più piccola è stata di 91.885 dal primo trimestre al secondo trimestre del 2020.
- LockBit rimane un gruppo ransomware (e una variante malware) prevalente. Il team di Threat Lab continua a rilevare con frequenza le varianti di LockBit, poiché questo gruppo sembra avere il maggior successo nel violare le aziende (tramite le loro affiliate) con il ransomware. Sebbene in calo rispetto al trimestre precedente, LockBit ha nuovamente registrato il maggior numero di vittime di estorsioni pubbliche, con 149 monitorate dal WatchGuard Threat Lab (rispetto alle 200 del terzo trimestre). Sempre nel quarto trimestre, il team di Threat Lab ha rilevato 31 nuovi ransomware e gruppi di estorsione.