Ransomware-18.jpg

Ransomware de endpoint cresce; malware nas redes cai, diz estudo

Da Redação
31/03/2023

Embora tenha havido um declínio na infecção por malware nas redes, o ransomware de endpoint aumentou 627% e o malware associado a campanhas de phishing continuou a ser uma ameaça persistente no último trimestre do ano passado. Os dados são do relatório de segurança na internet do WatchGuard Threat Lab, da WatchGuard Technologies.

Mas mesmo com a redução geral na disseminação de malware, uma análise mais aprofundada dos pesquisadores da WatchGuard verificaram que os firewalls Fireboxes da empresa, que descriptografam o tráfego HTTPS (TLS/SSL), encontraram uma incidência maior de malware, indicando que a atividade maliciosa mudou para o tráfego criptografado.

Como apenas 20% dos Fireboxes que forneceram dados para relatório têm a descriptografia habilitada, isso indica que a grande maioria dos malwares não é detectada. A atividade de malware criptografado tem sido um tema recorrente nos relatórios recentes do WatchGuard Threat Lab.

“Uma tendência contínua e preocupante em nossos dados e pesquisas mostra que a criptografia, ou, mais precisamente, a falta de descriptografia no perímetro da rede, está dificultando para que possamos ter um cenário completo das tendências de ataque de malware”, disse Corey Nachreiner, diretor de segurança da WatchGuard. “É fundamental que os profissionais de segurança habilitem a inspeção HTTPS para garantir que essas ameaças sejam identificadas e abordadas antes que possam causar danos.”

Outras descobertas importantes do relatório de segurança da internet do quarto trimestre incluem:

• 93% dos malwares se escondem atrás da criptografia. A pesquisa continua indicando que a maioria dos malwares se esconde na criptografia SSL/TLS usada por sites seguros. O quarto trimestre manteve essa tendência com um aumento de 82% para 93%. Os profissionais de segurança que não inspecionam esse tráfego provavelmente estão perdendo a maioria dos malwares e colocando um ônus maior na segurança do endpoint para detectá-los.

• As detecções de malware baseadas em rede caíram aproximadamente 9,2% durante o quarto trimestre. Isso corrobora o declínio geral verificado nas detecções de malware nos últimos dois trimestres do ano. Mas, como mencionado, se for considerado o tráfego da web criptografado, o malware está em alta. A equipe do Threat Lab acredita que essa tendência de declínio pode não ilustrar o quadro completo e precisa de mais dados que aproveitem a inspeção de HTTPS para confirmar essa afirmação.

• As detecções de malware de endpoint aumentaram 22%. Enquanto as detecções de malware de rede caíram, a detecção de endpoint subiu no quarto trimestre de 2022. Isso sustenta a hipótese da equipe do Threat Lab de que o malware está mudando para canais criptografados. No endpoint, a criptografia TLS é menos importante, pois um navegador a descriptografa para o software de endpoint do Threat Lab verificar. Entre os principais vetores de ataque, a maioria das detecções foi associada a scripts, que constituíram 90% de todas as detecções. Nas detecções de malware de navegador, os operadores de ameaças visaram mais o Internet Explorer, com 42% das detecções, seguido pelo Firefox, com 38%.

• O malware de dia zero ou evasivo caiu para 43% no tráfego não criptografado. Embora ainda seja uma porcentagem significativa de detecções gerais de malware, é a mais baixa que a equipe do Threat Lab verificou em anos. Dito isso, a história muda completamente quando se olha para as conexões TLS: 70% do malware em conexões criptografadas evita assinaturas.

• As campanhas de phishing aumentaram. Três das variantes de malware vistas na lista das dez principais do relatório — algumas também aparecem na lista ampla — auxiliam em várias campanhas de phishing. A família de malware mais detectada, JS.Agent.UNS, contém HTML malicioso que direciona os usuários para domínios aparentemente legítimos que se disfarçam de sites conhecidos. Outra variante, Agent.GBPM, cria uma página de phishing do SharePoint intitulada “Aumento de salário em PDF”, que tenta acessar as informações da conta dos usuários. A última nova variante no top 10, a HTML.Agent.WR, abre uma página falsa de notificação da DHL em francês com um link de login que leva a um conhecido domínio de phishing. Phishing e comprometimento de e-mail comercial (BEC) continuam sendo os principais vetores de ataque, portanto, certifique-se de ter as defesas preventivas corretas e os programas de treinamento de conscientização de segurança para se defender contra isso.

Veja isso
Empresas citam dificuldade para gerenciar segurança de endpoints
Mais de 10% dos ativos de TI não têm proteção de endpoints

• As explorações do ProxyLogin continuam a crescer. Um exploit para esse conhecido e crítico problema do Exchange subiu do oitavo lugar no terceiro trimestre para o quarto lugar no último trimestre de 2022. Deve ser corrigido há muito tempo, mas se não, os profissionais de segurança devem saber que os invasores o estão atacando. Vulnerabilidades antigas podem ser tão úteis para os invasores quanto as novas. Além disso, muitos invasores continuam tendo como alvo servidores Microsoft Exchange ou sistemas de gerenciamento. As organizações devem estar atentas e saber onde colocar seus esforços na defesa dessas áreas.

• O volume de ataque à rede se manteve estável trimestre a trimestre. Tecnicamente, aumentou 35 hits, o que representa um aumento de apenas 0,0015%. A ligeira mudança é notável, já que a próxima menor mudança foi de 91.885 do primeiro para o segundo trimestre de 2020.

• O LockBit continua sendo um grupo de ransomware predominante e uma variante de malware. A equipe do Threat Lab registrou a existência de variantes do LockBit com frequência, pois esse grupo parece ter as empresas de violação mais bem-estruturadas —por meio de suas afiliadas — com ransomware. Embora abaixo do trimestre anterior, o LockBit novamente teve o maior número de vítimas de extorsão pública, com 149 rastreadas pelo WatchGuard Threat Lab, na comparação com 200 no terceiro trimestre de 2022. Também no quarto trimestre, a equipe detectou 31 novos grupos de ransomware e extorsão.

Os relatórios de pesquisa trimestrais da WatchGuard são baseados em dados anonimizados do Firebox Feed do WatchGuard Fireboxes ativos, cujos proprietários concordaram em compartilhá-los em apoio direto aos esforços de pesquisa do Threat Lab.

Compartilhar: