Comunicato stampa
Dic
11

Il nuovo report di WatchGuard Threat Lab mostra un aumento degli attori delle minacce che sfruttano software di accesso remoto

I risultati della ricerca rivelano anche un aumento dell’89% degli attacchi ransomware sugli endpoint e una diminuzione del malware che arriva tramite connessioni crittografate

Milano, 11 dicembre 2023 – WatchGuard® Technologies, leader globale nella cybersecurity unificata, ha annunciato i risultati del suo ultimo Internet Security Report, che descrive le principali tendenze del malware e le minacce alla sicurezza della rete e degli endpoint analizzate dai ricercatori di WatchGuard Threat Lab. I dati della ricerca mostrano casi crescenti di abuso di software di accesso remoto, l’aumento di attaccanti che utilizzano password-stealer e info-stealer per rubare credenziali e autori di minacce che passano dall’utilizzo di script all’impiego di altre tecniche living-off-the-land per dare inizio a un attacco endpoint.

 

“Gli autori delle minacce continuano a utilizzare strumenti e metodi diversi nelle loro campagne di attacco, rendendo fondamentale per le organizzazioni tenersi al passo con le ultime tattiche per rafforzare la propria strategia di sicurezza”, ha affermato Corey Nachreiner, chief security officer di WatchGuard. “Le moderne piattaforme di sicurezza che includono firewall e software di protezione degli endpoint possono fornire una protezione avanzata per reti e dispositivi. Ma quando si tratta di attacchi che impiegano tattiche di ingegneria sociale, l’utente finale diventa l’ultima linea di difesa tra gli attori malintenzionati e il loro successo nell’infiltrarsi in un’organizzazione. È importante che le organizzazioni forniscano formazione sull’ingegneria sociale e adottino un approccio unificato alla sicurezza in grado di fornire vari livelli di difesa, che possono essere amministrati in modo efficace dai fornitori di servizi gestiti”.

 

Di seguito sono elencati i risultati principali dell’ultimo Internet Security Report di WatchGuard basato su dati riferiti al terzo trimestre del 2023:

 

  • Gli autori delle minacce utilizzano sempre più strumenti e software di gestione remota per eludere il rilevamento anti-malware, cosa che sia l'FBI che la CISA hanno riconosciuto. Ad esempio, durante la ricerca sui principali domini di phishing, il Threat Lab ha osservato una truffa di supporto tecnico che avrebbe portato una vittima a scaricare una versione preconfigurata e non autorizzata di TeamViewer, che avrebbe consentito a un utente malintenzionato l'accesso remoto completo al computer.

 

  • La variante del ransomware Medusa è aumentata nel terzo trimestre, portando gli attacchi ransomware sugli endpoint ad un aumento dell'89%. A prima vista, i rilevamenti di ransomware sugli endpoint sono diminuiti nel terzo trimestre. Eppure la variante del ransomware Medusa, emersa per la prima volta nella top 10 delle minacce malware, è stata rilevata con una firma generica dal motore di firma automatizzata del Threat Lab. Se si tiene conto dei rilevamenti di Medusa, gli attacchi ransomware sono aumentati dell’89% su base trimestrale.

 

  • Gli autori delle minacce si spostano dall'uso di attacchi basati su script e impiegano sempre più altre tecniche living-off-the-land. L’uso di script malevoli come vettore di attacco è diminuito dell'11% nel terzo trimestre, dopo essere già diminuito del 41% nel secondo trimestre. Tuttavia, gli attacchi basati su script rimangono il vettore di attacco più grande, rappresentando il 56% degli attacchi totali, e linguaggi di scripting come PowerShell vengono spesso utilizzati negli attacchi living-off-the-land. In alternativa, i file binari living-off-the-land di Windows sono aumentati del 32%. Questi risultati indicano ai ricercatori del Threat Lab che gli autori delle minacce continuano a utilizzare molteplici tecniche living-off-the-land, probabilmente in risposta a maggiori protezioni attorno a PowerShell e altri script. Gli attacchi living-off-the-land costituiscono la maggior parte degli attacchi endpoint. 

 

  • Il malware che arriva tramite connessioni crittografate è sceso al 48%, il che significa che poco meno della metà di tutto il malware rilevato proviene da traffico crittografato. Questo dato è degno di nota perché è notevolmente in calo rispetto ai trimestri precedenti. Nel complesso, i rilevamenti totali di malware sono aumentati del 14%.

 

  • Una famiglia di dropper che viene diffusa tramite e-mail e che distribuisce payload malevoli è compresa in quattro dei 5 principali rilevamenti di malware crittografato nel terzo trimestre. Tutte le varianti nella Top 5 tranne una contengono la famiglia di dropper denominata Stacked, che arriva come allegato in un tentativo di spear phishing via e-mail. Gli autori delle minacce inviano e-mail con allegati malevoli che sembrano provenire da un mittente noto e dichiarano di includere una fattura o un documento importante da esaminare, con l'obiettivo di indurre gli utenti finali a scaricare il malware. Due delle varianti Stacked – Stacked.1.12 e Stacked.1.7 – sono apparse anche nella Top 10 dei rilevamenti di malware.

 

  • Emerge malware mercificato. Una nuova famiglia di malware, Lazy.360502, è entrata nella Top 10 delle principali minacce malware. Fornisce la variante adware 2345explorer e il password stealer Vidar. Questa minaccia malware si collega a un sito Web cinese che fornisce uno stealer di credenziali e sembra funzionare come un "password stealer as a service", in cui gli autori delle minacce possono pagare per le credenziali rubate, il che dimostra come viene utilizzato il malware mercificato.

 

  • Gli attacchi di rete hanno registrato un aumento del 16% nel terzo trimestre. ProxyLogon è stata la vulnerabilità numero uno presa di mira negli attacchi di rete, con il 10% di tutti i rilevamenti di rete in totale.

 

  • Tre nuove firme sono apparse nei primi 50 attacchi di rete. Tra queste, una vulnerabilità Apache PHP Common Gateway Interface del 2012 che provocherebbe un overflow del buffer. Un'altra è una vulnerabilità di Microsoft .NET Framework 2.0 del 2016 che potrebbe provocare un attacco denial-of-service. Infine, una vulnerabilità SQL injection in Drupal, il CMS open source, del 2014. Questa vulnerabilità consente agli attaccanti di sfruttare Drupal in remoto senza alcuna necessità di autenticazione.

 

Coerentemente  con l'esclusivo approccio Unified Security Platform® di WatchGuard e con i  precedenti report trimestrali del WatchGuard Threat Lab, i dati analizzati in questo nuovo report si basano su dati sulle minacce in forma anonima e aggregata provenienti dai prodotti di protezione della rete e degli endpoint di WatchGuard attivi i cui proprietari hanno acconsentito alla condivisione dei dati per supportare gli sforzi di ricerca di WatchGuard.  

 

Per uno sguardo approfondito sui dati della ricerca, a questo link è disponibile la ricerca completa “Internet Security Report” riferita al terzo trimestre 2023: https://www.watchguard.com/wgrd-resource-center/security-report-q3-2023.

Informazioni su WatchGuard Technologies, Inc.

WatchGuard® Technologies, Inc. è un leader globale nella sicurezza informatica unificata. La nostra Unified Security Platform® è concepita unicamente per i provider di servizi gestiti che offrono sicurezza di alto livello per aumentare la scalabilità e la velocità del proprio business, migliorandone al contempo l'efficienza operativa. Scelti da oltre 17.000 rivenditori e fornitori di servizi che provvedono alla sicurezza di più di 250.000 clienti, i pluripremiati prodotti e servizi della nostra azienda coprono l'intelligence e la sicurezza di rete, la protezione avanzata degli endpoint, l'autenticazione a più fattori e la protezione Wi-Fi. Tutto questo offre i cinque elementi essenziali di una piattaforma di sicurezza: sicurezza completa, conoscenza condivisa, trasparenza e controllo, allineamento operativo, automazione. La sede centrale di WatchGuard si trova a Seattle (Washington, Stati Uniti), con uffici dislocati in Nord America, Europa, Asia e America Latina. Per saperne di più, visita www.watchguard.com/it.

Per maggiori informazioni, promozioni e aggiornamenti, è possibile seguire WatchGuard su Twitter @watchguarditaly, Facebook WatchGuard Italia e sulla pagina Linkedin dell’azienda, oltre che sul nuovo blog Secplicity per informazioni in tempo reale circa le ultime minacce e per sapere come affrontarle. Registrati alla serie di podcast “The 443 – Security Simplified” su Secplicity.org.

WatchGuard è un marchio registrato di WatchGuard Technologies, Inc. Tutti gli altri marchi sono di proprietà dei rispettivi proprietari.