Analysis

Ransomware em endpoints cresceu 627% no fim de 2022

O Relatório de Segurança na Internet da WatchGuard Technologies indica que enquanto o ransomware para endpoints disparou, o malware de rede decresceu

30/03/2023

Ransomware em endpoints cresceu 627% no fim de 2022

Apesar de ter havido um declínio no malware de rede, o ransomware para endpoints cresceu 627% e o malware associado a campanhas de phishing continuou a ser uma ameaça persistente. Os dados são do Relatório de Segurança na Internet, da WatchGuard Technologies, que detalha as principais tendências de malware e as ameaças à segurança de rede e endpoints analisadas pelos investigadores do WatchGuard Threat Lab no quarto trimestre de 2022.

Assim, apesar de se verificar um declínio geral no malware, os investigadores do WatchGuard Threat Lab analisaram as appliances Firebox que desencriptam tráfego HTTPS (TLS/SSL) e encontraram uma maior incidência de malware, indicando que a atividade malware se passou a focar mais no tráfego encriptado. Uma vez que apenas cerca de 20% das Fireboxes que fornecem dados para o relatório têm desencriptação ativada, isto indica que a grande maioria do malware não está a ser detetada.

Uma tendência contínua e preocupante nos nossos dados e pesquisas mostra que a encriptação - ou, mais precisamente, a falta de desencriptação no perímetro da rede - está a esconder o quadro completo das tendências de ataque de malware”, sublinha Corey Nachreiner, chefe de segurança da WatchGuard. “É fundamental para os profissionais de segurança permitir a inspeção HTTPS para assegurar que estas ameaças sejam identificadas e abordadas antes que possam causar danos”, continua.

Noutras conclusões, o relatório indica que as deteções de ransomware em endpoints aumentaram 627%. Este pico destaca a necessidade de defesas anti-ransomware, tais como controlos de segurança modernos para uma prevenção proativa, bem como planos de recuperação de desastres e de continuidade do negócio (backup). 

Mais, a investigação do Threat Lab continua a indicar que a maior parte do malware se esconde na encriptação SSL/TLS utilizada por websites seguros. No último trimestre do ano passado esta tendência continuou, com um aumento de 82% para 93%. Os profissionais de segurança que não inspecionam este tráfego estão provavelmente a perder a maioria do malware e a colocar um maior ónus na segurança do endpoint para o apanhar.

As deteções de malware de rede caíram aproximadamente 9,2% de um trimestre para outro. Há uma continuidade no declínio geral nas deteções de malware ao longo dos últimos dois trimestres. Mas, tal como mencionado, se considerarmos o tráfego encriptado na Web, o malware está a aumentar. A equipa do Threat Lab acredita que esta tendência de declínio pode não ilustrar o quadro completo e precisa de mais dados que se foquem na inspeção HTTPS para confirmar esta contenção.

As deteções de malware para endpoint aumentaram 22%. Enquanto as deteções de malware de rede caíram, a deteção de malware para endpoints aumentou no quarto trimestre. Isto apoia a convicção da equipa do Threat Lab de que o malware está progressivamente a focar-se nos canais encriptados. No endpoint, a encriptação TLS é um fator menos importante, já que o browser o descodifica para o software de endpoint do Threat Lab o conseguir ver. Entre os principais vetores de ataque, a maioria das deteções estiveram associadas a Scripts, o que constituiu 90% de todas as deteções. Nas deteções de malware no browser, os agentes de ameaças visaram mais o Internet Explorer com 42% das deteções, seguido do Firefox, com 38%.

Malware de Zero-day ou evasivo caiu para 43% no tráfego não encriptado. Embora ainda uma percentagem significativa de detecções globais de malware, é a mais baixa que a equipa do Threat Lab tem visto em anos. Dito isto, a história muda completamente quando se olha para as ligações TLS. 70% do malware sobre ligações encriptadas foge às assinaturas.

As campanhas de phishing estão a aumentar. Três das variantes de malware do top 10 do relatório estão na base de várias campanhas de phishing. A família de malware mais detetada, JS.A gent.UNS, contém HTML malicioso que direciona os utilizadores para domínios aparentemente legítimos que se mascaram como websites populares. Outra variante, Agent.GBPM, cria uma página de phishing do SharePoint intitulada "PDF Salary_Increase", que tenta aceder a informação de conta dos utilizadores. A última nova variante no top 10, HTML.Agent.WR, abre uma página de notificação falsa da DHL em francês com um link de login que leva a um domínio de phishing bem conhecido. O phishing e os ataques a emails empresariais (BEC) continuam a ser um dos principais vetores de ataque, pelo que as organizações devem certificar-se de que têm as defesas preventivas corretas e programas de formação de sensibilização de segurança adequados.

Os Exploits ProxyLogin continuam a crescer. Um exploit para esta bem conhecida e crítica ameaça ao Exchange passou do oitavo lugar no terceiro trimestre para o quarto lugar no último trimestre. Há muito que já deveriam ter sido aplicados patches para esta vulnerabilidade, mas caso isso não tenha sido feito, pelo menos os profissionais de segurança têm que saber quando estão a ser atacados. As velhas vulnerabilidades podem ser tão úteis aos atacantes como as novas, desde que as consigam explorar. Além disso, muitos atacantes continuam a ter como alvo os servidores Exchange ou sistemas de gestão Microsoft. As organizações devem estar conscientes disto e saber onde colocar os seus esforços na defesa destas áreas.

Ataques de rede mantêm-se estáveis. Tecnicamente, aumentou em 35 ataques, o que representa apenas uma subida de 0,0015%. A ligeira alteração é notável por ser tão reduzida, até porque a variação mais pequena seguinte foi de 91,885 do primeiro para o segundo trimestre de 2020.

O LockBit continua a ser um grupo de ransomware e uma variante prevalecente de malware. A equipa do Threat Lab continua a detetar frequentemente variantes do LockBit, uma vez que este grupo parece ter maior sucesso quando ataca empresas (através das suas afiliadas) com ransomware. Embora com menos força que no trimestre anterior, o LockBit voltou a ter como vítimas de extorsão organizações mais conhecidas, sendo que o WatchGuard Threat Lab detetou 149 vítimas (em comparação com as 200 no terceiro trimestre). Também no quarto trimestre, a equipa do Threat Lab detetou 31 novos grupos de ransomware e extorsão.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº20 Outubro 2024

IT SECURITY Nº20 Outubro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.