Relatório da WatchGuard revela o aumento de malwares evasivos

A WatchGuard Technologies, empresa global em segurança cibernética unificada, anunciou as descobertas de seu mais recente estudo Internet Security Report, detalhando as principais tendências de malware e ameaças de segurança de rede e endpoint analisadas pelos pesquisadores do WatchGuard Threat Lab. As principais descobertas mostram um aumento dramático no malware evasivo que impulsionou um grande aumento no total de malware, atores de ameaça direcionando servidores de e-mail locais como alvos principais para explorar e detecções de ransomware continuando a declinar, potencialmente como resultado dos esforços internacionais de derrubada de grupos de extorsão por ransomware pela aplicação da lei.

“A pesquisa mais recente do Threat Lab mostra que os atores de ameaça estão empregando várias técnicas enquanto procuram vulnerabilidades para atacar, incluindo em softwares e sistemas mais antigos, por isso as organizações devem adotar uma abordagem de defesa em camadas para se proteger contra essas ameaças”, disse Corey Nachreiner, chief security officer da WatchGuard. “Atualizar os sistemas e softwares nos quais as organizações dependem é um passo vital para lidar com essas vulnerabilidades. Além disso, plataformas de segurança modernas operadas por provedores de serviços gerenciados podem fornecer a segurança unificada e abrangente que as organizações precisam e permitir que elas combatam as últimas ameaças”, comentou.

Entre as principais descobertas, o relatório revelou:

– Malwares evasivos, básicos e criptografados aumentaram no quarto trimestre, impulsionando um aumento no total de malwares. A média de detecção de malwares por Firebox aumentou 80% em relação ao trimestre anterior, ilustrando um volume substancial de ameaças de malware chegando ao perímetro da rede. Geograficamente, a maioria das instâncias de malware aumentado afetou as Américas e a região da Ásia-Pacífico.

– As instâncias de malware TLS e zero-day também aumentaram. Aproximadamente 55% dos malwares chegaram por meio de conexões criptografadas, um aumento de 7% em relação ao trimestre anterior. As detecções de malware zero-day saltaram para 60% de todas as detecções de malware, em comparação com os 22% do trimestre anterior. No entanto, as detecções de malware zero-day com TLS caíram para 61%, uma diminuição de 10% em relação ao trimestre anterior, mostrando a imprevisibilidade dos malwares em circulação.

– Duas variantes de malware entre as cinco mais comuns redirecionam para a rede DarkGate. Entre as cinco detecções de malware mais amplamente espalhadas estavam JS.Agent.USF e Trojan.GenericKD.67408266. Ambas as variantes redirecionam os usuários para links maliciosos, e ambos os carregadores de malware tentam carregar o malware DarkGate no computador da vítima.

– Um aumento nas técnicas de living-off-the-land. O quarto trimestre mostrou um ressurgimento de ameaças baseadas em scripts, já que os scripts aumentaram significativamente como um vetor de ataque de endpoint, com ameaças detectadas aumentando 77% em relação ao terceiro trimestre. O PowerShell foi o principal vetor de ataque que o Threat Lab viu hackers usarem em endpoints. As explorações baseadas em navegador também aumentaram significativamente, com um aumento de 56%.

– Quatro dos cinco principais ataques de rede mais difundidos foram ataques ao servidor Exchange. Esses ataques estão especificamente associados a um dos exploits ProxyLogon, ProxyShell e ProxyNotShell. Uma assinatura de ProxyLogon que apareceu pela primeira vez entre os cinco principais ataques de rede mais difundidos no quarto trimestre de 2022, na posição número 4, e subiu para a posição número 2 no quarto trimestre de 2023. Esses ataques ilustram a necessidade de reduzir a dependência de servidores de e-mail locais para mitigar ameaças de segurança.

– A comoditização dos ciberataques continua, seguindo a tendência para ofertas de “vítima como serviço”. Glupteba e GuLoader foram mais uma vez contados entre os 10 malwares de endpoint mais prevalentes no quarto trimestre, retornando como duas das variantes mais prolíficas analisadas durante o período. Glupteba merece destaque como um adversário particularmente formidável e sofisticado, em parte devido à sua prevalência ao visar vítimas em escala global. Como um malware como serviço (MaaS) multifacetado, as capacidades maliciosas do Glupteba incluem o download de malwares adicionais, a mascarada como botnet, o roubo de informações sensíveis e a mineração de criptomoedas com tremendo sigilo.

– Aplicação da lei sufoca grupos de extorsão por ransomware. Mais uma vez no quarto trimestre, o Threat Lab reportou uma queda nas detecções de ransomware em comparação com o trimestre anterior – observando uma diminuição de 20% no volume geral nos últimos três meses de 2023. Os analistas de ameaças da WatchGuard também observaram uma queda nas violações públicas de ransomware e atribuem essa tendência aos esforços contínuos da aplicação da lei para derrubar grupos de extorsão por ransomware.

Em conformidade com a abordagem da Plataforma de Segurança Unificada da WatchGuard e as atualizações de pesquisa trimestrais anteriores do WatchGuard Threat Lab, os dados analisados neste relatório trimestral são baseados em inteligência de ameaças anonimizada e agregada de produtos ativos de rede e endpoint da WatchGuard, cujos proprietários optaram por compartilhar em apoio direto aos esforços de pesquisa da WatchGuard.