Lisboa, 29 de março de 2023 – A WatchGuard® Technologies, líder mundial em cibersegurança unificada, divulgou hoje os resultados do seu mais recente Relatório de Segurança na Internet, detalhando as principais tendências de malware e as ameaças à segurança de rede e endpoints analisadas pelos investigadores do WatchGuard Threat Lab no quarto trimestre de 2022. Embora o relatório mostre um declínio no malware de rede, o ransomware para endpoints, por outro lado, cresceu uns impressionantes 627% e o malware associado a campanhas de phishing continuou a ser uma ameaça persistente.
Assim, apesar de se verificar um declínio geral no malware, os investigadores do WatchGuard Threat Lab analisaram as appliances Firebox que desencriptam tráfego HTTPS (TLS/SSL) e encontraram uma maior incidência de malware, indicando que a atividade malware se passou a focar mais no tráfego encriptado. Uma vez que apenas cerca de 20% das Fireboxes que fornecem dados para este relatório têm desencriptação ativada, isto indica que a grande maioria do malware não está a ser detetada. A atividade do malware encriptado tem sido um tema recorrente em relatórios recentes do Threat Lab.
"Uma tendência contínua e preocupante nos nossos dados e pesquisas mostra que a encriptação - ou, mais precisamente, a falta de desencriptação no perímetro da rede - está a esconder o quadro completo das tendências de ataque de malware", sublinha Corey Nachreiner, chefe de segurança da WatchGuard. "É fundamental para os profissionais de segurança permitir a inspeção HTTPS para assegurar que estas ameaças sejam identificadas e abordadas antes que possam causar danos".
Outras conclusões chave do Relatório de Segurança na Internet do Q4 incluem:
- As deteções de ransomware em endpoints aumentaram 627%. Este pico destaca a necessidade de defesas anti-ransomware, tais como controlos de segurança modernos para uma prevenção proativa, bem como planos de recuperação de desastres e de continuidade do negócio (backup).
- 93% do malware esconde-se por detrás da encriptação. A investigação do Threat Lab continua a indicar que a maior parte do malware se esconde na encriptação SSL/TLS utilizada por websites seguros. No último trimestre do ano passado esta tendência continuou, com um aumento de 82% para 93%. Os profissionais de segurança que não inspecionam este tráfego estão provavelmente a perder a maioria do malware e a colocar um maior ónus na segurança do endpoint para o apanhar.
- As deteções de malware de rede caíram aproximadamente 9,2% de um trimestre para outro. Há uma continuidade no declínio geral nas deteções de malware ao longo dos últimos dois trimestres. Mas, tal como mencionado, se considerarmos o tráfego encriptado na Web, o malware está a aumentar. A equipa do Threat Lab acredita que esta tendência de declínio pode não ilustrar o quadro completo e precisa de mais dados que se foquem na inspeção HTTPS para confirmar esta contenção.
- As deteções de malware para endpoint aumentaram 22%. Enquanto as deteções de malware de rede caíram, a deteção de malware para endpoints aumentou no quarto trimestre. Isto apoia a convicção da equipa do Threat Lab de que o malware está progressivamente a focar-se nos canais encriptados. No endpoint, a encriptação TLS é um fator menos importante, já que o browser o descodifica para o software de endpoint do Threat Lab o conseguir ver. Entre os principais vetores de ataque, a maioria das deteções estiveram associadas a Scripts, o que constituiu 90% de todas as deteções. Nas deteções de malware no browser, os agentes de ameaças visaram mais o Internet Explorer com 42% das deteções, seguido do Firefox, com 38%.
- Malware de Zero-day ou evasivo caiu para 43% no tráfego não encriptado. Embora ainda uma percentagem significativa de detecções globais de malware, é a mais baixa que a equipa do Threat Lab tem visto em anos. Dito isto, a história muda completamente quando se olha para as ligações TLS. 70% do malware sobre ligações encriptadas foge às assinaturas.
- As campanhas de phishing estão a aumentar. Três das variantes de malware do top 10 do relatório estão na base de várias campanhas de phishing. A família de malware mais detetada, JS.A gent.UNS, contém HTML malicioso que direciona os utilizadores para domínios aparentemente legítimos que se mascaram como websites populares. Outra variante, Agent.GBPM, cria uma página de phishing do SharePoint intitulada "PDF Salary_Increase", que tenta aceder a informação de conta dos utilizadores. A última nova variante no top 10, HTML.Agent.WR, abre uma página de notificação falsa da DHL em francês com um link de login que leva a um domínio de phishing bem conhecido. O phishing e os ataques a emails empresariais (BEC) continuam a ser um dos principais vetores de ataque, pelo que as organizações devem certificar-se de que têm as defesas preventivas corretas e programas de formação de sensibilização de segurança adequados.
- Os Exploits ProxyLogin continuam a crescer. Um exploit para esta bem conhecida e crítica ameaça ao Exchange passou do oitavo lugar no terceiro trimestre para o quarto lugar no último trimestre. Há muito que já deveriam ter sido aplicados patches para esta vulnerabilidade, mas caso isso não tenha sido feito, pelo menos os profissionais de segurança têm que saber quando estão a ser atacados. As velhas vulnerabilidades podem ser tão úteis aos atacantes como as novas, desde que as consigam explorar. Além disso, muitos atacantes continuam a ter como alvo os servidores Exchange ou sistemas de gestão Microsoft. As organizações devem estar conscientes disto e saber onde colocar os seus esforços na defesa destas áreas.
- Ataques de rede mantêm-se estáveis. Tecnicamente, aumentou em 35 ataques, o que representa apenas uma subida de 0,0015%. A ligeira alteração é notável por ser tão reduzida, até porque a variação mais pequena seguinte foi de 91,885 do 1º para o 2º trimestre de 2020.
- O LockBit continua a ser um grupo de ransomware e uma variante prevalecente de malware. A equipa do Threat Lab continua a detetar frequentemente variantes do LockBit, uma vez que este grupo parece ter maior sucesso quando ataca empresas (através das suas afiliadas) com ransomware. Embora com menos força que no trimestre anterior, o LockBit voltou a ter como vítimas de extorsão organizações mais conhecidas, sendo que o WatchGuard Threat Lab detetou 149 vítimas (em comparação com as 200 no terceiro trimestre). Também no Q4, a equipa do Threat Lab detetou 31 novos grupos de ransomware e extorsão.
Os relatórios trimestrais de investigação da WatchGuard são baseados em dados anonimizados extraídos das appliances Firebox ativas, cujos proprietários optaram por partilhar dados em apoio direto aos esforços de investigação do Threat Lab. A abordagem Unified Security Platform® da empresa foi concebida exclusivamente para os fornecedores de serviços geridos, a fim de proporcionar uma segurança de classe mundial. No último trimestre, a WatchGuard bloqueou um total de mais de 15,7 milhões de variantes de malware (194 por dispositivo) e mais de 2,3 milhões de ameaças de rede (28 por dispositivo). O relatório completo inclui detalhes sobre malware adicional e tendências de rede do Q4 de 2022, estratégias de segurança recomendadas, dicas de defesa crítica para empresas de todas as dimensões e em qualquer sector, e muito mais.
Para uma visão mais aprofundada sobre a investigação da WatchGuard, leia aqui o Relatório completo de Segurança da Internet do quarto trimestre, ou um resumo do mesmo aqui.