Attacchi malware fileless +900%

WatchGuard Technologies ha rilasciato il suo Internet Security Report riferito al quarto trimestre 2020, secondo cui gli attacchi malware fileless e cryptominer sono cresciuti rispettivamente di quasi il 900% e il 25% anno su anno, mentre i singoli payload ransomware sono crollati nel 2020 del 48% rispetto al 2019.

Inoltre, il WatchGuard Threat Lab ha rilevato che il Q4 2020 ha registrato un aumento del 41% dei rilevamenti di malware crittografato rispetto al trimestre precedente, mentre gli attacchi di rete hanno toccato i livelli più elevati degli ultimi anni dal 2018.

Come sottolineato fin dalle prime battute di una nota ufficiale da Corey Nachreiner, Chief Technology Officer di WatchGuard: «L’aumento di tattiche sofisticate ed evasive che ha interessato l’ultimo trimestre e tutto il 2020 dimostra quanto sia vitale implementare protezioni di sicurezza end-to-end su più livelli. Gli attacchi arrivano su tutti i fronti, dato che i criminali informatici sfruttano sempre di più i malware fileless, i cryptominer, gli attacchi crittografati e non solo, prendendo di mira gli utenti sia in postazioni remote che sugli asset aziendali al di là del tradizionale perimetro della rete. Per una sicurezza efficace oggi occorre privilegiare il rilevamento e la risposta alle minacce per gli endpoint, le difese di rete e altre misure fondamentali come la sensibilizzazione alla sicurezza e la gestione rigorosa delle patch».

Anche a seguito dell’acquisizione di Panda Security nel giugno 2020, gli Internet Security Report trimestrali di WatchGuard offrono informazioni preziose alle aziende, ai partner e ai clienti finali sugli ultimi malware e sulle tendenze degli attacchi agli endpoint e alla rete man mano che si manifestano.

I risultati principali dell’ultimo report riferito a Q4 2020:

  • Gli attacchi malware fileless salgono alle stelle – I malware fileless nel 2020 sono aumentati dell’888% rispetto al 2019. Queste minacce possono essere particolarmente pericolose a causa della loro capacità di eludere il rilevamento da parte dei tradizionali client di protezione degli endpoint e perché possono riuscire nel loro intento senza che le vittime facciano nient’altro che cliccare su un link malevolo o visitare inconsapevolmente un sito web compromesso. Toolkit come PowerSploit e CobaltStrike permettono agli aggressori di immettere facilmente un codice malevolo in altri processi in esecuzione e rimanere operativi anche se le difese della vittima individuano e rimuovono lo script originale. L’implementazione di soluzioni di rilevamento e risposta alle minacce per gli endpoint parallelamente a un anti-malware preventivo può aiutare a individuare questo tipo di attacchi.
  • Cryptominer in aumento dopo il periodo di stasi del 2019 – A seguito del crollo di pressoché tutti i prezzi delle criptovalute all’inizio del 2018, le infezioni di cryptominer sono diventate molto meno prevalenti e hanno raggiunto un minimo di 633 rilevamenti di singole varianti nel 2019. Detto questo, gli attaccanti hanno continuato ad aggiungere moduli cryptominer alle infezioni botnet esistenti ed estrarre reddito passivo dalle vittime mentre abusavano delle loro reti per altri crimini informatici. Di conseguenza, e con i prezzi che tendono di nuovo al rialzo nel Q4 2020, il volume dei rilevamenti di malware cryptominer è aumentato di oltre il 25% rispetto ai livelli del 2019, fino a raggiungere 850 singole varianti lo scorso anno.
  • Il volume degli attacchi ransomware continua a ridursi – Per il secondo anno di fila, il numero di singoli payload ransomware ha registrato una tendenza al ribasso nel 2020, scendendo a 2.152 payload unici rispetto ai 4.131 del 2019 e al massimo storico di 5.489 del 2018. Queste cifre rappresentano singole varianti di ransomware che possono aver infettato centinaia o migliaia di endpoint in tutto il mondo. La maggior parte di questi rilevamenti è scaturita da firme originariamente implementate nel 2017 per individuare WannaCry e le sue varianti correlate, dimostrando che le tattiche dei ransomworm continuano a prosperare a distanza di oltre tre anni dalla comparsa di WannaCry. Il progressivo calo del volume dei ransomware indica che gli attaccanti continuano a discostarsi dalle campagne diffuse e poco mirate del passato, puntando verso attacchi altamente mirati contro organizzazioni sanitarie, aziende manifatturiere e altre vittime per le quali i tempi di inattività sono inaccettabili.

  • Gli attacchi di malware crittografati ed evasivi registrano una crescita a due cifre – Nonostante si tratti del quarto trimestre consecutivo caratterizzato da una diminuzione generale dei volumi di malware, quasi la metà (47%) di tutti gli attacchi rilevati da WatchGuard sul perimetro della rete nel quarto trimestre erano crittografati. Inoltre, il malware trasmesso attraverso connessioni HTTPS è aumentato del 41%, mentre il malware zero day crittografato (varianti che eludono le firme antivirus) è aumentato del 22% rispetto al terzo trimestre.
  • Il malware botnet, che prende di mira dispositivi IoT e router, diventa un fenomeno di punta – Nel quarto trimestre, il virus Linux.Generic (noto anche come “The Moon”) ha fatto il suo debutto nella classifica dei 10 principali rilevamenti di malware di WatchGuard. Questo malware fa parte di una rete di server che prendono di mira direttamente i dispositivi IoT e i dispositivi di rete di livello consumer, come i router, per sfruttare eventuali vulnerabilità esposte. L’indagine di WatchGuard ha individuato un malware specifico di Linux progettato per i processori ARM e un altro payload progettato per i processori MIPS all’interno dell’infrastruttura dell’attaccante, evidenziando una chiara attenzione verso gli attacchi evasivi contro i dispositivi IoT.
  • La violazione di SolarWinds pone in evidenza i pericoli derivanti dagli attacchi alla supply chain – La sofisticata violazione alla supply chain di SolarWinds, presumibilmente appoggiata dallo stato, avrà importanti ripercussioni nel settore della sicurezza per gli anni a venire. Gli effetti si sono estesi ben oltre SolarWinds, raggiungendo quasi 100 aziende, tra cui alcune importanti multinazionali di Fortune 500, grandi società di sicurezza e persino il governo degli Stati Uniti. L’analisi dettagliata della violazione a cura di WatchGuard mostra l’importanza di difendersi dagli attacchi alla supply chain in un ecosistema digitale interconnesso come quello odierno.
  • Un nuovo trojan inganna gli scanner di e-mail con un approccio multi-payload – Trojan.Script.1026663 si è imposto nella classifica dei cinque malware più diffusi rilevati da WatchGuard nel quarto trimestre. L’attacco ha inizio con un’e-mail che chiede alle vittime di visionare un elenco di ordini in allegato. Il documento innesca una serie di payload e codici malevoli che portano il computer della vittima a caricare l’aggressore finale: il trojan di accesso remoto Agent Tesla (RAT) e il keylogger.
  • Il volume degli attacchi alla rete si avvicina al picco del 2018 – Il totale dei rilevamenti è cresciuto del 5% nel quarto trimestre, raggiungendo il livello più alto da oltre due anni. Inoltre, il totale delle singole firme di attacco alla rete ha registrato una crescita costante, con un incremento del 4% rispetto al terzo trimestre. Ciò dimostra che anche se nel mondo si continua a operare da remoto, il perimetro della rete aziendale è tuttora molto utilizzato, dato che gli attaccanti continuano a prendere di mira le risorse informatiche interne.

Nel quarto trimestre, le appliance WatchGuard hanno bloccato un totale di oltre 20,6 milioni di varianti di malware (456 per dispositivo) e quasi 3,5 milioni di minacce alla rete (77 rilevamenti per appliance). Le appliance Firebox WatchGuard hanno bloccato complessivamente 455 singole firme di attacco nel quarto trimestre: una crescita del 4% rispetto al terzo trimestre e il valore più elevato dal quarto trimestre 2018.

I report trimestrali di WatchGuard si basano su dati in forma anonima provenienti dai Firebox Feed di appliance WatchGuard attive i cui proprietari hanno acconsentito alla condivisione dei dati per supportare gli sforzi di ricerca del Threat Lab. Inoltre, la nuova intelligence sulle minacce agli endpoint del report fornisce una visione più approfondita degli attacchi malware specifici e delle tendenze per tutto il 2020 sulla base di oltre 2,5 milioni di singole notifiche di payload rilevate su 1,7 milioni di endpoint in 92 Paesi.

Il report completo include dettagli su ulteriori malware e tendenze di attacco a partire dal quarto trimestre 2020, un’analisi dettagliata del tristemente noto attacco alla catena di distribuzione di SolarWinds e le migliori pratiche sulla sicurezza per gli utenti.