Nonostante una diminuzione dell’8% nelle rilevazioni malware complessive in Q2, il 70% di tutti gli attacchi hanno visto protagonista il malware zero day (varianti che aggirano le firme antivirus), in crescita del 12% rispetto al primo quarter dell’anno. Sono questi alcuni dei risultati emersi nell’ultimo Internet Security Report relativo a Q2 2020 di WatchGuard Technologies.
L’Internet Security Report di WatchGuard fornisce un’analisi dettagliata delle ultime tendenze per quanto riguarda gli attacchi di rete e malware, una ricerca approfondita sulle minacce, e le best practice che le organizzazioni possono adottare per proteggere meglio se stesse, i clienti e i partner. Ecco alcuni dei risultati principali emersi dal report di Q2 2020.
Gli attaccanti continuano a sfruttare le minacce evasive e crittografate – il malware zero day ha rappresentato più di due terzi dei rilevamenti totali nel secondo trimestre 2020, mentre gli attacchi inviati tramite connessioni HTTPS crittografate hanno rappresentato il 34%. Le organizzazioni che non sono in grado di ispezionare il traffico crittografato non riusciranno a bloccare un terzo delle minacce in arrivo. Anche se la percentuale di minacce che utilizzano la crittografia è diminuita rispetto al 64% del primo trimestre, il volume di malware crittografato con HTTPS è aumentato notevolmente. Sembra che più amministratori stiano adottando gli step necessari per abilitare l’ispezione HTTPS sulle appliance di sicurezza WatchGuard Firebox, ma c’è ancora molto lavoro da fare.
Gli attacchi basati su JavaScript sono in aumento – lo script truffa Trojan.Gnaeus ha fatto il suo debutto in cima alla lista dei “Top 10 malware” stilata da WatchGuard per il secondo trimestre, rappresentando quasi uno su cinque rilevamenti di malware. Il malware Gnaeus consente agli autori delle minacce di modificare le impostazioni del browser della vittima con codice offuscato e di reindirizzare l’utente verso siti web sotto il controllo dell’attaccante. Un altro attacco JavaScript in stile popup, J.S. PopUnder, è stata una delle varianti di malware più diffuse nell’ultimo trimestre. In questo caso, uno script offuscato analizza le proprietà di sistema di una vittima e blocca i tentativi di debug come tattica anti-rilevamento. Per combattere queste minacce, le organizzazioni dovrebbero impedire agli utenti di caricare un’estensione del browser da una fonte sconosciuta, mantenere aggiornati i browser con le ultime patch, utilizzare adblocker affidabili e mantenere un motore anti-malware aggiornato.
Gli attaccanti utilizzano sempre più file Excel crittografati per nascondere il malware – XML-Trojan.Abracadabra è una new-entry nella lista dei 10 principali rilevamenti malware di WatchGuard, il che conferma una rapida crescita in popolarità da quando questa tecnica è emersa ad aprile. Abracadabra è una variante del malware rilasciata come file Excel crittografato con la password “VelvetSweatshop” (la password di default per i documenti Excel). Una volta aperto, Excel decrittografa automaticamente il file e uno script VBA macro all’interno del foglio di calcolo scarica ed esegue un eseguibile. L’uso della password di default consente a questo malware di aggirare molte soluzioni antivirus di base poiché il file viene crittografato e quindi decrittografato da Excel. Le organizzazioni non dovrebbero mai consentire macro da una fonte non attendibile e sfruttare il sandbox basato su cloud per verificare in modo sicuro il vero intento dei file potenzialmente pericolosi prima che possano causare un’infezione.
Fa il suo ritorno un vecchio attacco DoS altamente sfruttabile – una vulnerabilità DoS (Denial of Service) vecchia di sei anni che ha colpito WordPress e Drupal è apparsa nell’elenco dei primi 10 attacchi di rete di WatchGuard per volume nel secondo trimestre. Questa vulnerabilità è particolarmente grave perché colpisce ogni installazione di Drupal e WordPress a cui non siano state apportate patch e crea scenari DoS in cui i malintenzionati possono causare l’esaurimento della CPU e della memoria sull’hardware. Nonostante l’elevato volume di questi attacchi, sono stati iper-focalizzati su poche dozzine di reti principalmente in Germania. Poiché gli scenari DoS richiedono traffico sostenuto verso le reti delle vittime, ciò significa che è molto probabile che gli attaccanti stessero selezionando intenzionalmente i loro obiettivi.
I domini malware sfruttano i server di comando e controllo per creare scompiglio – due nuove destinazioni sono entrate nella lista WatchGuard dei principali domini malware nel secondo trimestre. Il più comune è il sito findresults [.], che utilizza un server C&C per una variante del trojan Dadobra che crea un file offuscato e un registro associato per garantire che l’attacco venga eseguito e possa esfiltrare dati sensibili e scaricare malware aggiuntivo quando gli utenti avviano i sistemi Windows. Un utente ha avvisato il team di WatchGuard di Cioco-froll [.] Com, che utilizza un altro server C&C per supportare una variante botnet Asprox (spesso fornita tramite documento PDF) e fornisce un beacon C&C per far sapere all’autore dell’attacco che ha acquisito persistenza ed è pronto per partecipare alla botnet. La protezione a livello DNS può aiutare le organizzazioni a rilevare e bloccare questi tipi di minacce indipendentemente dal protocollo dell’applicazione per la connessione.
“Le aziende non sono le uniche ad avere messo in atto cambiamenti a causa della pandemia globale COVID-19 – anche i criminali l’hanno fatto,” ha spiegato Corey Nachreiner, CTO di WatchGuard. “La crescita in attacchi sofisticati, nonostante le rilevazioni del malware complessivo siano diminuite in Q2 (probabilmente a causa del passaggio per molti al lavoro da remoto), mostra che gli attaccanti stanno adottando in maggior misura tattiche evasive che le tradizionali difese anti-malware basate su firme non possono rilevare. Ogni organizzazione dovrebbe dare priorità al rilevamento delle minacce basato sul comportamento, alla sandbox in cloud, e a servizi di sicurezza a livelli per proteggere sia la rete aziendale che i lavoratori in remoto.”
L’Internet Security Report di WatchGuard si basa sui dati in forma anonima provenienti dai Firebox Feed di appliance WatchGuard attive i cui proprietari hanno acconsentito alla condivisione dei dati per supportare gli sforzi di ricerca del Threat Lab di WatchGuard. Nel secondo trimestre del 2020, circa 42.000 appliance WatchGuard in tutto il mondo hanno fornito dati di intelligence sulle minacce per questo report: hanno bloccato più di 28.5 milioni di varianti di malware in totale (684 per dispositivo) e più di 1.75 milioni di attacchi di rete (42 attacchi per dispositivo). Le appliance WatchGuard Firebox in totale hanno rilevato e bloccato 410 firme uniche di attacco in Q2, il 15% in più rispetto a Q1, il numero più alto dal Q4 2018.
Il report completo include ulteriori approfondimenti sui principali malware e tendenze di rete che interessano oggi le aziende del midmarket, nonché le strategie di sicurezza consigliate e le best practice per difendersi. Il report include anche un’analisi dettagliata della recente ondata di violazioni dei dati provocata dal gruppo di hacker ShinyHunters.