Relatório da WatchGuard: dois terços do malware estão criptografados

A WatchGuard Technologies, empresa global em segurança e inteligência de redes, segurança Wi-Fi e autenticação multifator, anuncia o seu Internet Security Report para o primeiro trimestre de 2020. Pela primeira vez, o relatório inclui dados sobre o percentual de malware ativo entregue por meio de conexões HTTPS criptografadas. A inteligência de ameaças da WatchGuard mostra que 67% de todos os malwares no primeiro trimestre foram entregues via HTTPS; portanto, as organizações sem soluções de segurança capazes de inspecionar o tráfego criptografado deixarão passar dois terços das ameaças recebidas. Além disso, 72% do malware criptografado foi classificado como sendo de zero dia (o que significa que não existe assinatura antivírus para ele e que ele consegue evitar as proteções baseadas em assinatura). Essas descobertas mostram que a inspeção HTTPS e soluções avançadas de detecção e resposta à ameaças baseadas em comportamento são agora requisitos para toda organização preocupada com a segurança.
“Algumas organizações relutam em configurar a inspeção HTTPS devido ao trabalho extra envolvido, mas nossos dados de ameaças mostram claramente que a maioria dos malwares é entregue através de conexões criptografadas e que deixar o tráfego sem inspeção não é mais uma opção”, disse Corey Nachreiner, chief technology officer da WatchGuard. “À medida que o malware continua se tornando mais avançado e evasivo, a única abordagem confiável para a defesa é a implementação de um conjunto de serviços de segurança em camadas, incluindo métodos avançados de detecção de ameaças e inspeção HTTPS”.

O Internet Security Report da WatchGuard prepara as empresas, os provedores de serviços que os apoiam e os usuários finais que trabalham para eles com dados sobre as tendências, pesquisas e melhores práticas necessárias para se defender contra as ameaças à segurança modernas. Aqui estão as principais conclusões do relatório do primeiro trimestre de 2020:
• Criptomineradores Monero aumentam em popularidade. Cinco dos dez principais domínios que distribuem malware no primeiro trimestre (identificados pelo DNSWatch do serviço de filtragem de DNS da WatchGuard) hospedam ou controlam os criptomineradores Monero. Esse salto repentino na popularidade dos criptomineradores pode ser simplesmente devido à sua utilidade; adicionar um módulo de criptografia ao malware é uma maneira fácil para criminosos online gerar renda passiva.
• As variantes de malware “Flawed-Ammyy” e “Cryxos” entram nas principais listas. O trojan Cryxos ficou em terceiro na lista da WatchGuard dos cinco principais malwares criptografados e também em terceiro na lista dos cinco mais detectados, com foco principalmente em Hong Kong. Ele é entregue como um anexo de e-mail disfarçado de fatura e solicita ao usuário que digite seu e-mail e senha, que serão armazenados. O Flawed-Ammyy é um golpe de suporte em que o invasor usa o software de suporte Ammyy Admin para obter acesso remoto ao computador da vítima.
• A vulnerabilidade da Adobe de três anos aparece nos principais ataques de rede. Um exploit do Adobe Acrobat Reader que foi corrigido em agosto de 2017 apareceu pela primeira vez na lista de principais ataques à rede da WatchGuard do primeiro trimestre. Essa vulnerabilidade ressurgiu vários anos após ser descoberta e resolvida, o que ilustra a importância de aplicar patches e atualizar sistemas regularmente.
• Mapp Engage, AT&T e Bet365 são alvos de campanhas de spear phishing. Três novos domínios que hospedam campanhas de phishing apareceram na lista dos dez principais da WatchGuard, no primeiro trimestre de 2020. Eles representam a plataforma de marketing digital e análises Mapp Engage, a plataforma de apostas online Bet365 (esta campanha era em chinês) e uma página de login da AT&T (esta campanha não está mais ativa no momento da publicação do relatório).
• Impacto do Covid-19. O primeiro trimestre de 2020 foi apenas o começo das grandes mudanças no cenário de ameaças cibernéticas provocadas pela pandemia do Covid-19. Nesses três primeiros meses de 2020, vimos um aumento maciço de trabalhadores remotos e ataques contra indivíduos.
• Ocorrências de malware e ataques de rede diminuem. No geral, houve 6,9% menos ocorrências de malware e 11,6% menos ataques à rede no primeiro trimestre, apesar de um aumento de 9% no número de Fireboxes que contribuem com dados. Isso pode ser atribuído a um menor número de alvos em potencial operando no perímetro da rede tradicional, com políticas mundiais de trabalho em casa com força total durante a pandemia do COVID-19.
• Grã-Bretanha e Alemanha são fortemente alvo de ameaças de malware generalizadas. A lista de malware mais disseminada da WatchGuard mostrou que a Alemanha e a Grã-Bretanha foram os principais alvos de quase todos os malwares mais predominantes no primeiro trimestre.
Testes de terceiros descobriram que os produtos WatchGuard mantêm consistentemente um alto rendimento ao inspecionar o tráfego HTTPS. Muitos produtos concorrentes mostram uma degradação significativa no desempenho nesse cenário. Por exemplo, um teste independente realizado pela Miercom descobriu que o Firebox M370 supera os produtos concorrentes ao inspecionar o tráfego HTTPS com os serviços de segurança completos habilitados.
As descobertas dos Internet Security Reports da WatchGuard são extraídas de dados anônimos do Firebox Feed de dispositivos WatchGuard ativos cujos proprietários optaram por compartilhar dados para apoiar os esforços de pesquisa do Threat Lab. Hoje, mais de 44.000 equipamentos em todo o mundo contribuem com dados de inteligência de ameaças para o relatório. No primeiro trimestre de 2020, eles bloquearam mais de 32.148.519 variantes de malware no total (730 amostras por dispositivo) e mais de 1.660.000 ataques à rede (38 ataques por dispositivo).
O relatório completo inclui as principais práticas defensivas que empresas de todos os portes podem usar para se proteger no cenário de ameaças atual e uma análise detalhada de como a pandemia do Covid-19 e a mudança associada ao trabalho remoto afetaram o cenário de segurança cibernética.