Threats
Relatório de Segurança de Internet da WatchGuard indica que, no quarto trimestre de 2020, existiu um aumento massivo de ataques aos endpoints e novas ameaças a dispositivos IoT
31/03/2021
A WatchGuard anunciou a divulgação do seu Internet Security Report relativo ao quarto trimestre de 2020. O relatório inclui novas análises que têm por base a inteligência de ameaças de endpoint resultante da aquisição da Panda Security pela WatchGuard em junho de 2020. Entre as principais conclusões, o relatório revela que os ataques com recurso malware fileless e cryptominers aumentaram em 2020 quase 900% e 25% respetivamente, enquanto os payloads de ransomware sofreram, por seu turno, uma queda de 48%, face ao ano anterior. Além disso, o WatchGuard Threat Lab descobriu que no quarto trimestre de 2020 houve um aumento de 41% nas deteções de malware encriptado em relação ao trimestre anterior e que os ataques de rede atingiram os seus níveis mais elevados desde 2018. “O aumento na utilização de ameaças evasivas e sofisticadas no último trimestre do ano passado e ao longo de todo 2020 mostra como é vital implementar proteções de segurança por camadas e end-to-end”, sublinha Corey Nachreiner, diretor de tecnologia da WatchGuard. “Os ataques estão a surgir de todas as frentes, à medida que os cibercriminosos recorrem cada vez mais a malware fileless, Cryptominers, ataques encriptados e muito mais, e escolhem vítimas tanto em localizações remotas como em ativos empresariais sob o perímetro tradicional da rede. Hoje em dia, uma segurança eficaz significa priorizar a deteção e resposta dos endpoints, contar com defesas de rede, formação e consciencialização de segurança e uma gestão de patches rigorosa”. Os relatórios trimestrais de segurança na Internet da WatchGuard informam as empresas, os seus parceiros e clientes finais acerca das tendências mais recentes de malware e ataques de rede à medida que vão surgindo. As principais conclusões do relatório do quarto trimestre de 2020 são as seguintes: Ataques de malware fileles disparam – Em 2020 as taxas de malware fileless dispararam 888% em relação a 2019. Estas ameaças podem ser particularmente perigosas devido à sua capacidade de escapar à deteção da proteção tradicional de endpoints, mas também porque para terem sucesso basta ao utilizador clicar num link malicioso ou aceder a um site comprometido. Kits de ferramentas como PowerSploit e CobaltStrike permitem que os agentes da ameaça injetem facilmente código malicioso noutros processos em execução e permaneçam operativos, mesmo que as defesas da vítima identifiquem e removam o script original. A implementação de soluções de deteção e resposta de endpoint juntamente com anti-malware preventivo pode ajudar a identificar estas ameaças. Cryptominers em alta após um 2019 calmo - Depois de praticamente todos os preços de criptomoeda terem caído abruptamente no início de 2018, as infeções por cryptominers tornaram-se muito menos prevalentes e atingiram um mínimo de 633 deteções de variantes únicas em 2019. No entanto, os invasores continuaram a adicionar módulos de cryptominers às infeções de botnet existentes e a extrair receitas passivas das vítimas, abusando ao mesmo tempo das suas redes para outros cibercrimes. Como resultado, e com os preços a subir novamente no quarto trimestre de 2020, o volume de deteções de malware cryptominer subiu mais de 25% em relação aos níveis de 2019, chegando às 850 variantes únicas no ano passado. Volumes de ataque por ransomware continuam a diminuir - Pelo segundo ano consecutivo, o número de payloads de randsomware teve uma tendência de baixa em 2020, caindo dos 4.131 em 2019 para os 2.152 payloads em 2020, muito abaixo do máximo histórico de 5.489 registado em 2018. Estes números representam variantes individuais de ransomware que podem ter infetado centenas ou milhares de endpoints em todo o mundo. A maioria destas deteções resultou de assinaturas originalmente implementadas em 2017 para detetar o WannaCry e as as suas variantes, mostrando que as táticas de ransomworm ainda estão em crescimento três anos depois do aparecimento deste popular ransomware. O declínio constante no volume de ransomware indica que os invasores estão progressivamente a afastar-se das campanhas difusas, passando a apostar nos ataques direcionados a organizações de saúde, empresas de fabrico e outras vítimas empresariais para quem qualquer tempo de inatividade é inaceitável. Ataques de malware encriptado e evasivo crescem dois dígitos - Apesar de ser o quarto trimestre consecutivo de redução nos volumes de malware em geral, quase metade (47%) de todos os ataques que a WatchGuard detetou no perímetro da rede no quarto trimestre de 2020 eram encriptados. Além disso, o malware disseminado através de ligações HTTPS aumentou 41%, enquanto o malware de dia zero encriptado (variantes que contornam as assinaturas de antivírus) cresceu 22% face ao terceiro trimestre. Malware de botnet contra dispositivos IoT e routers em crescimento - No quarto trimestre, o vírus Linux.Generic (também conhecido como “The Moon”) fez a sua estreia na lista das 10 principais deteções de malware da WatchGuard. Este malware é parte de uma rede de servidores que tem como alvo direto dispositivos IoT e dispositivos de rede domésticos, como routers, para explorar vulnerabilidades existentes. A investigação da WatchGuard revelou malware específico de Linux concebido para processadores ARM e outra carga útil desenhada para processadores MIPS dentro da infraestrutura do invasor, indicando uma aposta clara nos ataques evasivos contra dispositivos IoT. Violação SolarWinds mostra os perigos dos ataques às cadeias de abastecimento - A violação na sofisticada cadeia de abastecimento da SolarWinds (alegadamente patrocinada por um estado) terá amplas implicações em todo o setor da segurança nos próximos anos. Os seus efeitos vão muito para além da SolarWinds, chegando a quase 100 empresas, incluindo algumas das principais Fortune 500, grandes empresas de segurança e até mesmo o governo dos Estados Unidos. A análise detalhada da WatchGuard bem mostrar a importância de uma defesa contra ataques a cadeias de abastecimento, sobretudo no atual panorama dos dias de hoje. Novo trojan engana proteções de e-mail com múltiplos payloads - O Trojan.Script.1026663 entrou na lista das cinco principais deteções de malware mais difundidas da WatchGuard no quarto trimestre. O ataque começa com um e-mail pedindo às vítimas que analisem um anexo. O documento dispara então uma série de payloads e códigos maliciosos que levam a máquina da vítima a carregar o ataque final: o Trojan de acesso remoto (RAT) e o keylogger do Agente Tesla. Volume de ataques de rede aproxima-se do pico de 2018 - O total de deteções de ataques de rede cresceu 5% no quarto trimestre, atingindo o seu nível mais elevado em mais de dois anos. Além disso, o total de assinaturas exclusivas de ataques de rede também apresentou um crescimento constante, com um aumento de 4% no terceiro trimestre. Isto mostra que, mesmo com o mundo a funcionar remotamente, o perímetro da rede corporativa ainda está em perigo, visto que os agentes de ameaças continuam a visar ativos on-premises. |