Relatório da WatchGuard revela queda nos volumes de malware de Endpoint

A WatchGuard Technologies, empresa global em segurança cibernética unificada, anuncia as descobertas de seu mais recente Internet Security Report, detalhando as principais tendências de malware e ameaças à segurança de redes e Endpoints analisadas pelos pesquisadores do WatchGuard Threat Lab. As principais conclusões do relatório incluem 95% do malware que agora chega através de conexões criptografadas, uma diminuição nos volumes de malware de endpoint, apesar das campanhas se tornarem mais difundidas, detecções de ransomware em declínio em meio a um aumento nos ataques de extorsão dupla, vulnerabilidades de software mais antigas que persistem como alvos populares para explorar entre atores de ameaças modernos e muito mais.

“Os Dados analisados pelo nosso Laboratório de Ameaças para o nosso último relatório reforçam como os ataques de malware avançados flutuam na ocorrência e as ameaças cibernéticas multifacetadas continuam a evoluir, exigindo vigilância constante e uma abordagem de segurança em camadas para combatê-los de forma eficaz”, disse Corey Nachreiner, diretor de segurança da Vigia. “Não existe uma estratégia única que os agentes de ameaças utilizem nos seus ataques e certas ameaças apresentam frequentemente níveis variados de risco em diferentes épocas do ano. As organizações devem estar continuamente em alerta para monitorar essas ameaças e empregar uma abordagem de segurança unificada, que possa ser administrada de forma eficaz por provedores de serviços gerenciados, para sua melhor defesa.”

Algumas das descobertas mais notáveis do último Internet Security Report, são:
Noventa e cinco por cento do malware se esconde atrás da criptografia. A maioria dos malwares se esconde por trás da criptografia SSL/TLS utilizada por sites seguros. As organizações que não realizam uma inspeção do tráfego SSL/TLS no perímetro da rede, provavelmente estão perdendo a maior parte das ameaças. Embora a detecção de malwares de dia zero tenha diminuído para 11% do total de detecções de malwares, o menor nível de todos os tempos, a inspeção de malwares em conexões criptografadas revelou que a parcela de detecções evasivas aumentou para 66%. Isso indica que os invasores continuam a distribuir malwares sofisticados principalmente por meio de criptografia.

O volume total de malware em Endpoints caiu ligeiramente, embora as campanhas generalizadas de malware tenham aumentado. Uma diminuição de 8% nas detecções de malware em Endpoints foi registrada no segundo trimestre, em comparação com o trimestre anterior. No entanto, a análise de detecções capturadas por diferentes sistemas revelou um aumento de 22% e 21%, respectivamente, em detecções de malware em Endpoints entre 10 a 50 sistemas ou 100 ou mais sistemas. Esse aumento de detecções entre mais máquinas sugere um aumento nas campanhas generalizadas de malware, que ocorreram entre o primeiro e o segundo trimestre de 2023.

Os ataques de dupla extorsão de grupos de ransomware aumentaram 72% trimestre após trimestre, como o Threat Lab observou 13 novos grupos de extorsão. No entanto, o aumento nos ataques de dupla extorsão ocorreu à medida que as detecções de ransomware em Endpoints diminuíram 21% trimestre após trimestre e 72% ano após ano.

Seis novas variantes de malware nas 10 principais detecções de endpoint. O Threat Lab notou um grande aumento nas detecções de um instalador 3CX comprometido, que representou 48% do volume total de detecções na lista das 10 principais ameaças de malware no segundo trimestre. Além disso, o Glupteba – um carregador multifuncional, botnet, ladrão de informações e minerador de criptomoedas – voltou a aparecer no início de 2023, após ter sido interrompido em 2021. Esse malware parece atacar indiscriminadamente vítimas em todo o mundo.

Os atores de ameaças aproveitam cada vez mais os binários externos do Windows para entregar malware. Ao analisar vetores de ataque e como os agentes de ameaças obtêm acesso em Endpoints, os ataques que abusaram de ferramentas do sistema operacional Windows, como WMI e PSExec, cresceram 29%, respondendo por 17% de todo o volume total, enquanto o malware que usou scripts como o PowerShell caiu 41% em volume. Os scripts continuam sendo o vetor de entrega de malware mais comum, respondendo por 74% das detecções em geral. As explorações baseadas em navegador diminuíram 33% e representam 3% do volume total.

Os cibercriminosos continuam a atacar vulnerabilidades de software mais antigas. Os pesquisadores do Threat Lab descobriram três novas assinaturas em 10 dos principais ataques de rede do segundo trimestre. Esses ataques foram baseados em vulnerabilidades já conhecidas. Uma delas foi encontrada em um sistema de gerenciamento de aprendizagem de código aberto (GitHub) que foi retirado em 2018 e apresentava uma vulnerabilidade desde 2016. Outras duas assinaturas referem-se a estouros de números inteiros em PHP e um buffer overflow em aplicativo de gerenciamento HP, chamado Open View Network Node Manager, ambos com vulnerabilidades antigas – PHP de 2010 e HP de 2014.

Domínios comprometidos em blogs WordPress e serviço de encurtamento de links. Durante a investigação de domínios maliciosos, a equipe do Threat Lab descobriu que alguns sites autogerenciados, como blogs WordPress, e um serviço de encurtamento de URL foram hackeados para hospedar malware ou estruturas de comando e controle de malware. Além disso, os responsáveis pela ameaça Qakbot usaram um site dedicado a um concurso educacional na região Ásia-Pacífico para abrigar a infraestrutura de comando e controle de sua botnet.

Consistente com a abordagem Unified Security Platform da WatchGuard e com as atualizações de pesquisa trimestrais anteriores do WatchGuard Threat Lab, os Dados analisados neste relatório trimestral são baseados em inteligência de ameaças agregada e anônima da rede ativa da WatchGuard e produtos de Endpoint cujos proprietários optaram por compartilhar em suporte direto de Os esforços de pesquisa da WatchGuard.

O relatório do segundo trimestre de 2023 dá continuidade à implementação dos métodos atualizados da equipe do Threat Lab para normalizar, analisar e apresentar os resultados do relatório, que teve início no relatório do último trimestre. Os resultados de segurança de rede são apresentados como médias “por dispositivo”, e neste mês, as metodologias atualizadas se estendem à pesquisa de ataques de rede e malware de Endpoint do Threat Lab.

Serviço
WatchGuard.com