Le principali tendenze del malware e delle minacce alla sicurezza della rete e gli approfondimenti basati sull’intelligence delle minacce agli endpoint (rilevate durante la prima metà del 2021) sono gli elementi costitutivi dell’ultimo Internet Security Report di Watchguard. La ricerca, a cadenza trimestrale, si basa su dati raccolti in forma anonima provenienti dai Firebox Feed di appliance Watchguard attive, i cui proprietari hanno acconsentito alla condivisione dei dati per supportare gli sforzi di ricerca del Threat Lab.
Ed i numeri dicono che nel secondo trimestre, Watchguard ha bloccato un totale di oltre 16,6 milioni di varianti di malware (438 per dispositivo) e quasi 5,2 milioni di minacce di rete (137 per dispositivo). Il report include anche tutti i dettagli su ulteriori malware e tendenze emerse nel secondo trimestre del 2021, con un’analisi approfondita delle minacce rilevate sugli endpoint durante la prima metà del 2021, le indicazioni sulle strategie di sicurezza da adottare e i suggerimenti di difesa per aziende, di ogni dimensione e settore.
Watchguard, il malware non intercettato su Https
Il dettaglio della fotografia scattata dal report evidenzia un primo aspetto sorprendente: il 91,5% del malware arriva tramite connessioni crittografate Https – significa che chi dovrebbe esaminare il traffico crittografato nel perimetro, non intercetta i 9/10 di tutto il malware – con un incremento di minacce malware fileless che suscita preoccupazione quanto un’altrettanto importante crescita del ransomware, in un contesto di fatto di crescita degli attacchi di rete.
I numeri relativi alle minacce fileless dicono che solo nei primi sei mesi del 2021, i rilevamenti di malware provenienti da motori di scripting come Powershell hanno già raggiunto l’80% del volume totale di attacchi avviati da script del 2020. Una tendenza che potrebbe portare al raddoppio dei volumi anno su anno, anche considerato l’incremento già registrato l’anno precedente a questo. Mentre per quanto riguarda il ransomware si assiste ad una nuova inversione di tendenza.
Se tra il 2018 ed il 2020 la traiettoria è stata di tipo discendente, ora viviamo una nuova recrudescenza degli attacchi: il numero totale nei sei mesi si attesta appena al di sotto del totale sull’intero anno 2020. Significa che se i rilevamenti giornalieri di ransomware rimarranno invariati per il resto del 2021, il volume di quest’anno raggiungerà un aumento di oltre il 150% rispetto al 2020. Un esempio su tutti: l’attacco a Colonial Pipeline a maggio è risultato il principale incidente di sicurezza del secondo trimestre e sottolinea come i criminali informatici non solo stiano mirando ai servizi più vitali (come ospedali, sistemi di controllo industriale e infrastrutture), ma sembrano anche intensificare gli attacchi contro obiettivi di alto valore.
Legato a doppio filo con il tema ransomware è anche quello del phishing, sovente vera e propria attività propedeutica ad esporre l’azienda a minacce ben più importanti. Watchguard ha osservato un aumento nell’uso di malware/phishing che prende di mira i server Microsoft Exchange e utenti generici di posta elettronica per scaricare trojan di accesso remoto (Rat) in punti altamente sensibili. Ciò è probabilmente dovuto al fatto che il Q2 2021 è stato il secondo trimestre consecutivo in cui lavoratori e gli studenti remoti sono tornati in uffici ibridi e in ambienti accademici o hanno adottato i comportamenti normali tipici dell’attività in loco.
Ancora, il report evidenzia come il malware utilizza gli strumenti di PowerShell per aggirare le protezioni. Così Disable.A è balzato in cima alla lista in questo secondo trimestre, raggiungendo il secondo posto per volume totale e conquistando il primo posto per le minacce crittografate complessive; un “successo” legato alla particolare tecnica evasiva utilizzata dal malware che sfrutta codice in grado di disabilitare l’Antimalware Scan Interface (Amsi) in Powershell.
Con l’utilizzo intensivo dei servizi per il lavoro da remoto non è calata nemmeno l’attenzione per le opportunità di attacco offerte dalle reti aziendali, dalle suite office e dai servizi meno aggiornati. Watchguard rileva un aumento sostanziale degli attacchi di rete, +22% rispetto al trimestre precedente e, con quasi 4,1 milioni di attacchi di rete si tratta del volume più alto dal 2018, per un trend aggressivo che evidenzia la crescente importanza del mantenimento della sicurezza perimetrale insieme alle protezioni incentrate sull’utente.
In proposito Corey Nachreiner, chief security officer di Watchguard, spiega che “Con gran parte delle aziende e organizzazioni nel mondo che operano ancora per lo più con un modello di forza di lavoro mobile o ibrido, serve un approccio diverso alla sicurezza informatica e mentre una forte difesa perimetrale è ancora una parte importante della sicurezza a più livelli, una forte protezione degli endpoint (Epp) e il rilevamento e la risposta alle minacce per gli endpoint (Edr) sono sempre più essenziali”.
Per quanto riguarda Office di Microsoft il secondo trimestre ha visto una new entry nella lista dei 10 attacchi di rete più diffusi in un vecchio exploit che dovrebbe quindi essere stato risolto con una patch nella maggior parte dei sistemi. Le minacce basate su Office quindi continuano a essere popolari quando si tratta di malware, motivo per cui se ne individuano ancora. Fortunatamente, vengono ancora rilevati da difese Ips collaudate.
E ancora, tra le liste dei primi dieci attacchi di rete, proprio a convalidare l’importanza di monitorare i vecchi servizi e relative vulnerabilità, Watchguard ha rilevato quattro nuove firme di cui una sola relativa a vulnerabilità “recenti” (2020), mentre le altre tre sono relative a una vulnerabilità Oracle GlassFish Server 20ll, un difetto di Sql injection del 2013 nell’applicazione Openemr per cartelle cliniche e una vulnerabilità Rce del 2017 in Microsoft Edge. L’applicazione delle patch resta quindi vitale.
© RIPRODUZIONE RISERVATA
