L’Internet Security Report di WatchGuard Technologies, relativo al terzo trimestre, rivela come il COVID-19 abbia influenzato il panorama delle minacce alla sicurezza, con attaccanti che continuano a prendere di mira le reti aziendali nonostante il passaggio al lavoro da remoto e un aumento dei domini malevoli e delle campagne di phishing legati alla pandemia.
“La nostra intelligence sulle minacce fornisce informazioni su come gli attaccanti stiano adattando le loro tattiche mentre il Covid-19 continua a persistere, ha affermato Corey Nachreiner, chief technology officer di WatchGuard. Sebbene non esista ‘la nuova normalità’ quando si parla di sicurezza, è certo che per le aziende sarà importante nel 2021 e oltre aumentare la protezione sia per gli endpoint che per la rete. Sarà anche fondamentale stabilire un approccio a più livelli alla sicurezza delle informazioni, con servizi in grado di mitigare attacchi evasivi e crittografati, sofisticate campagne di phishing e altro ancora.”
Gli Internet Security Report di WatchGuard informano le aziende, i loro partner e i clienti finali fornendo dati concreti, analisi di esperti e approfondimenti utili sulle ultime tendenze relative alle minacce malware e agli attacchi di rete man mano che emergono e influenzano il panorama delle minacce in continua evoluzione.
Di seguito alcuni dei principali risultati del nuovo report riferito a Q3 2020:
- Attacchi alla rete e singoli rilevamenti raggiungono il massimo livello registrato negli ultimi due anni – Gli attacchi alla rete sono aumentati arrivando a oltre 3,3 milioni nel terzo trimestre, con un aumento del 90% rispetto al trimestre precedente e il livello più alto registrato negli ultimi due anni. Anche le firme uniche di attacchi alla rete hanno proseguito la loro traiettoria in ascesa, raggiungendo il massimo livello in due anni in Q3 2020. Questi risultati evidenziano il fatto che le aziende devono dare la priorità al mantenimento e al rafforzamento delle protezioni dalle minacce ad asset e servizi basati sulla rete, anche se la forza lavoro diventa sempre più remota.
- Prevalgono le truffe a tema COVID-19 – Nel terzo trimestre, una campagna adware COVID-19 in esecuzione su siti Web utilizzati per scopi legittimi di supporto alla pandemia è entrata nella lista dei primi 10 siti Web compromessi stilata da WatchGuard. WatchGuard ha anche scoperto un attacco di phishing che sfruttava Microsoft SharePoint per ospitare una pagina di pseudo-login che si spacciava per le Nazioni Unite (ONU) e l’hook dell’e-mail conteneva un messaggio relativo al supporto da parte dell’ONU per le piccole imprese a causa del COVID-19. Questi risultati sottolineano ulteriormente che le minacce continueranno a sfruttare la paura, l’incertezza e il dubbio che ruotano attorno alle crisi sanitarie globali per attirare e ingannare le loro vittime.
- Le aziende fanno clic su centinaia di attacchi di phishing e collegamenti malevoli – Nel terzo trimestre, il servizio DNSWatch di WatchGuard ha bloccato un totale di 2.764.736 connessioni a domini malevoli, il che si traduce in 499 connessioni bloccate per organizzazione in totale. Analizzando ulteriormente questi dati, ogni organizzazione avrebbe raggiunto 262 domini malware, 71 siti Web compromessi e 52 campagne di phishing. In combinazione con il già citato aumento di minacce legate al COVID-19, questi risultati confermano l’importanza di implementare servizi di DNS filtering e di fare formazione sulla consapevolezza della sicurezza degli utenti.
- Gli attaccanti vanno alla ricerca di sistemi SCADA vulnerabili negli Stati Uniti – La new entry nella lista delle minacce di rete più diffuse di WatchGuard nel terzo trimestre sfrutta una vulnerabilità di bypass dell’autenticazione precedentemente risolta con patch in un popolare sistema di controllo di supervisione e acquisizione dati (SCADA). Sebbene questa classe di vulnerabilità non sia grave come un difetto di esecuzione di codice in modalità remota, potrebbe comunque consentire a un utente malintenzionato di assumere il controllo del software SCADA in esecuzione sul server. Nel terzo trimestre gli attaccanti hanno preso di mira quasi il 50% delle reti statunitensi con questa minaccia, il che fa presagire che i sistemi di controllo industriale potrebbero essere una delle principali aree di interesse per i malintenzionati nel prossimo anno.
- Un malware simile a LokiBot debutta come una delle principali varianti malware più diffuse – Farelt, un password stealer che assomiglia a LokiBot, è entrato nella “top five” dei rilevamenti di malware più diffusi stilata da WatchGuard nel terzo trimestre. Sebbene non sia chiaro se la botnet Farelt utilizzi la stessa struttura di comando e controllo di LokiBot, è molto probabile che lo stesso gruppo, SilverTerrier, abbia creato entrambe le varianti di malware. Questa botnet richiede molti passaggi per aggirare i controlli antivirus e ingannare gli utenti nell’installazione del malware. Durante la ricerca su questa minaccia, WatchGuard ha trovato prove evidenti che indicano che il malware ha probabilmente preso di mira molte più vittime di quanto suggeriscano i dati.
- Emotet persiste – Emotet, un prolifico trojan bancario e noto password stealer, ha fatto il suo debutto per la prima volta nel terzo trimestre 2020 nella lista dei primi dieci malware stilata da WatchGuard e ha mancato di poco l’ingresso nella lista dei primi dieci domini che distribuiscono malware (solo per poche connessioni). Nonostante sia arrivato al numero 11 in quest’ultima lista, questa posizione è significativa poiché WatchGuard Threat Lab e altri team di ricerca hanno visto le attuali infezioni di Emotet rilasciare ulteriori payload come Trickbot e persino il ransomware Ryuk, senza segni di rallentamento.
I report trimestrali di WatchGuard si basano su dati in forma anonima provenienti dai Firebox Feed di appliance WatchGuard attive i cui proprietari hanno acconsentito alla condivisione dei dati per supportare gli sforzi di ricerca del Threat Lab di WatchGuard. Nel terzo trimestre, quasi 48.000 appliance WatchGuard hanno contribuito con i dati di intelligence sulle minacce al report (il dato più alto in assoluto), bloccando un totale di oltre 21,5 milioni di varianti di malware (450 per dispositivo) e più di 3,3 milioni di minacce di rete (o circa 70 rilevamenti per appliance). Anche le appliance Firebox hanno confermato una tendenza al rialzo dei rilevamenti di firme uniche, identificando e bloccando 438 firme di attacco univoche: un aumento del 6,8% rispetto al secondo trimestre e il numero più alto dal quarto trimestre del 2018.
Il report completo include ricerche approfondite e le best practice difensive che le aziende di tutte le dimensioni possono utilizzare per proteggersi dalle moderne minacce alla sicurezza. Il report presenta anche un’analisi dettagliata della violazione di Twitter che ha compromesso 130 account di alto profilo per promuovere una truffa Bitcoin in luglio.