Principal ameaça de malware no terceiro trimestre de 2022 entregue através de ligações encriptadas

O Relatório de Segurança de Internet trimestral da WatchGuard revelou que a principal ameaça de malware neste período foi entregue exclusivamente através de ligações encriptadas e que os ataques ICS mantêm a sua popularidade.

Estes relatórios da WatchGuard têm por base dados anonimizados de Firebox Feed de Fireboxes WathGuard. Neste terceiro trimestre, a empresa de cibersegurança bloqueou mais de 17,3 milhões de variantes de malware e mais de 2,3 milhões de ameaças de rede.

O documento, que detalha as principais tendências de malware e ameaças à segurança de redes e de endpoints analisadas no Laboratório de Ameaças da WatchGuard, apresenta um conjunto de conclusões sobre Segurança, nomeadamente:

• Malware entregue através de ligações encriptadas: As deteções do Agent.IIQ foram entregues através de ligações encriptadas. Através de uma Firebox, e após inspecionar o tráfego encriptado, 82% do malware seria detetado através de ligação encriptada;
• Sistemas ICS e SCADA são tendência como alvos de ataques: Entre os principais ataques de rede n período avaliado está o ataque do tipo injeção SQL. Uma das empresas afetadas foi a Advantech, cujo portal WebAccess é utilizado para sistemas SCADA num conjunto de infraestruturas críticas. Outra das explorações envolveu o software U.motion Builder da Schneider Electric versões 1.2.1 e anteriores;
• Vulnerabilidades do servidor Exchange: O CVE-2021-26855 é uma vulnerabilidade do Microsoft Exchange Server Remote Code Execution para servidores no local. Sabe-se agora que esta vulnerabilidade foi explorada, tendo recebido uma pontuação de 9,8 CVE;
• Agentes de ameaça atingem quem procura software gratuito: O Laboratório de Ameaças examinou uma amostra encontrada num motor de batota para o jogo Minecraft. Ainda de o ficheiro partilhado afirmar ser o motor de batota Minecraft Vape V4 Beta, não era só isso que este continha. Apesar das semelhanças entre o Agent.FZUW e o Variant.Fugrafa, o ficheiro em si finge ter um software pirateado. Esta amostra apresentava também ligações com uma campanha de hacking de criptomoeda;
• Evolução de malware LemonDuck: No terceiro trimestre foi registado mais malware e tentativas de sites malware de domínios mais recentes do que o normal, depois de terem sido adicionadas mais três à lista dos principais domínios de malware, entre eles dois dos antigos domínios do malware LemonDuck. A monitorização e o bloqueio de utilizadores insuspeitos pode ser feita através da proteção DNS, que deverá ser mantida ativa;
• Ocultar JavaScript: O JavaScript é recorrentemente utilizado para atacar os utilizadores. Os agentes de ameaça recorrem a kits de exploração baseados em JavaScript nos mais diversos ataques. Apesar da melhoria das defesas dos browsers, a capacidade dos atacantes para ocultarem código malicioso JavaScript também aumentou;
• Comercialização dos ataques adversary-in-the-middle: Os casos analisados pelos especialistas do Laboratório de Ameaças mostram como os ataques AitM (adversary-in-the-middle) tiveram uma rápida ascensão, com os atacantes a optarem por técnicas mais sofisticadas. Este tipo de técnicas de ataque AitM requer uma mistura de ferramentas técnicas;
• Família de malware ligada ao Gothic Panda: Depois do relatório do segundo trimestre de 2022 ter associado o Gothic Panda a um agente de ameaça patrocinado pelo Estado ligado ao Ministério da Segurança de Estado chinês, a lista dos malwares encriptados no terceiro trimestre inclui uma fmília de nome Taidoor, criada pelo Gothic Panda;
• Novos grupos de ransomware: O LockBit lidera a lista deste terceiro trimestre com mais de 200 extorsões públicas na página na dark web, mas o Laboratório de Ameaças anunciou um esforço para seguir e monitorizar os grupos de extorsão de ransomware.