A WatchGuard publicou no Brasil o seu relatório de Internet Security para o segundo trimestre de 2021, detalhando as principais tendências de malware e ameaças de segurança de rede analisadas pelos seus pesquisadores. As principais descobertas da pesquisa indicam que 91,5% dos malwares chegam por conexões criptografadas com HTTPS; além disso, há surtos alarmantes de fileless malware, o crescimento drástico de ataques de ransomware e um grande aumento em ataques de rede.
Os relatórios de pesquisa trimestrais da WatchGuard são baseados em dados anônimos do seu serviço Firebox Feed, cujos proprietários optaram por compartilhar dados para apoiar os esforços de pesquisa do Threat Lab. No segundo trimestre, a empresa informa ter bloqueado mais de 16,6 milhões de variantes de malware (438 por dispositivo em média) e quase 5,2 milhões de ameaças de rede (137 por dispositivo). O relatório completo inclui detalhes sobre malware adicional e tendências de rede do segundo trimestre de 2021, um mergulho ainda mais profundo nas ameaças detectadas no endpoint durante o primeiro semestre de 2021, estratégias de segurança recomendadas e dicas críticas de defesa para empresas de todos os tamanhos e em qualquer setor.
Veja isso
Mais de 2/3 dos malwares no 1º trimestre foram camuflados no HTTPS
Arquitetura zero trust evita grandes prejuízos
Estas são as principais conclusões do relatório:
● Grandes quantidades de malware chegam por meio de conexões criptografadas – No segundo trimestre, 91,5% dos malwares chegaram por meio de uma conexão criptografada, um grande aumento em relação ao trimestre anterior. Simplificando, qualquer organização que não esteja usando criptografia HTTPS está perdendo 9/10 de todo o malware no perímetro.
● Malware está usando ferramentas do PowerShell para contornar proteções poderosas – “AMSI.Disable.A” apareceu na lista da WatchGuard dos “top malware” pela primeira vez no primeiro trimestre e, imediatamente, atingiu o 2º lugar da lista no geral, ficando em 1º lugar em “ameaças criptografadas”. Essa família de malware usa ferramentas PowerShell para explorar várias vulnerabilidades no Windows. Mas o que a torna especialmente interessante é sua técnica evasiva. A WatchGuard descobriu que o “AMSI.Disable.A” possui um código capaz de desabilitar o Antimalware Scan Interface (AMSI) no PowerShell, permitindo que ele contorne as verificações de segurança do script com sua carga de malware.
● Fileless malware torna-se ainda mais evasivos – Apenas nos primeiros seis meses de 2021, as detecções de malware originadas de mecanismos de script como o PowerShell já atingiram 80% do volume total de ataques iniciados por script do ano passado, o que representou um aumento substancial em relação ao ano anterior. Com 2.021 detecções de fileless malware, o total do ano está a caminho de dobrar de volume em relação a 2020.
● Ataques à rede estão crescendo – Os appliances da WatchGuard detectaram um aumento substancial nos ataques de rede, que aumentaram 22% em relação ao trimestre anterior e atingiram o maior volume desde o início de 2018. O primeiro trimestre viu quase 4,1 milhões de ataques à rede. No trimestre seguinte, esse número saltou para outro milhão – traçando um curso agressivo que destaca a crescente importância de manter a segurança do perímetro ao lado de proteções focadas no usuário.
● Ransomware ataca novamente com força total – Enquanto o total de detecções de ransomware no endpoint estava em uma trajetória descendente de 2018 a 2020, essa tendência quebrou no primeiro semestre de 2021, já que o total de seis meses terminou um pouco tímido do total do ano inteiro para 2020. Se as detecções diárias de ransomware permanecer estável até o resto de 2021, o volume deste ano alcançará um aumento de mais de 150% em relação a 2020.
● Ransomware faz ataques do estilo “shotgun blast” – O ataque à Colonial Pipeline em 7 de maio de 2021 deixou bastante claro que o ransomware como uma ameaça veio para ficar. Como o principal incidente de segurança do trimestre, a violação ressalta como os cibercriminosos não estão apenas colocando os serviços mais vitais – como hospitais, controle industrial e infraestrutura – em sua mira, mas parecem estar aumentando os ataques contra esses alvos de alto valor. A análise de incidentes da WatchGuard examina as consequências, como será o futuro para a segurança da infraestrutura crítica e as etapas que as organizações em qualquer setor podem tomar para ajudar na defesa contra esses ataques e retardar sua propagação.
● Serviços antigos continuam sendo alvos valiosos – Diferentemente dos relatórios trimestrais anteriores, havia quatro novas assinaturas entre os 10 principais ataques de rede da WatchGuard no segundo trimestre. Notavelmente, o mais recente foi uma vulnerabilidade de 2020 na popular linguagem de script da web PHP, mas os outros três não são novos. Isso inclui uma vulnerabilidade de 20ll do Oracle GlassFish Server, uma falha de injeção de SQL de 2013 no aplicativo de registros médicos OpenEMR e uma vulnerabilidade de execução remota de código (RCE) de 2017 no Microsoft Edge. Embora desatualizados, todos ainda representam riscos se não forem corrigidos.
● Ameaças baseadas no Microsoft Office persistem em popularidade – O segundo trimestre viu uma nova adição à lista dos 10 ataques de rede mais difundidos e fez sua estreia no topo. A assinatura, 1133630, é a vulnerabilidade RCE de 2017 mencionada acima que afeta os navegadores da Microsoft. Embora possa ser um exploit antigo e corrigido na maioria dos sistemas, aqueles que ainda não corrigiram terão um rude despertar se um invasor for capaz de acessá-lo antes que o façam. Na verdade, uma falha de segurança RCE de alta gravidade muito semelhante, rastreada como CVE-2021-40444, ganhou as manchetes no início deste mês quando foi ativamente explorada em ataques direcionados contra Microsoft Office e Office 365 em computadores Windows 10. Ameaças baseadas em Office continuam populares quando se trata de malware, e é por isso que ainda estamos detectando esses ataques testados e comprovados à solta. Felizmente, eles ainda estão sendo detectados por defesas IPS testadas e comprovadas.
● Os domínios de phishing se disfarçam como domínios legítimos e amplamente reconhecidos – A WatchGuard observou um aumento no uso do malware recentemente visando servidores Microsoft Exchange e usuários de e-mail genéricos para baixar Trojans de acesso remoto (RATs) em locais altamente confidenciais. Isso provavelmente se deve ao fato de o segundo trimestre ser o segundo trimestre consecutivo em que os funcionários e alunos remotos retornaram a escritórios e ambientes acadêmicos híbridos ou a comportamentos anteriormente normais de atividade no local. Em qualquer caso – ou local – é recomendado um forte reconhecimento de segurança e monitoramento de comunicações de saída em dispositivos que não estão necessariamente conectados diretamente aos dispositivos conectados.
O relatório pode ser acessado em:
https://www.watchguard.com/wgrd-resource-center/security-report-q2-2021