Comunicato stampa
Gen
20

Nuovo report WatchGuard: a fine Q3 2021, il volume di malware e ransomware sugli endpoint aveva già superato il totale registrato nel 2020

Tra i principali risultati del nuovo Internet Security Report riferito a Q3 2021, emerge che gli attacchi basati su script agli endpoint hanno stabilito un nuovo record, la maggior parte degli attacchi di rete ha preso di mira le Americhe e le connessioni crittografate stanno diventando il meccanismo di distribuzione principale del malware zero-day

Milano, 20 gennaio 2022WatchGuard® Technologies ha rilasciato il suo ultimo Internet Security Report  riferito al terzo trimestre del 2021. Dai dati emerge che mentre il volume totale di rilevamento di malware perimetrale è diminuito rispetto ai massimi raggiunti in Q2 2021, il totale dei rilevamenti di malware che hanno preso di mira gli endpoint ha già superato alla fine del terzo trimestre 2021 il volume totale registrato nell’intero 2020. Inoltre, una percentuale significativa di malware continua ad arrivare tramite connessioni crittografate, in continuità con il trend dei trimestri precedenti.

"Sebbene il volume totale degli attacchi di rete sia leggermente diminuito nel terzo trimestre, il malware per dispositivo è aumentato per la prima volta dall'inizio della pandemia", ha affermato Corey Nachreiner, chief security officer di WatchGuard. “Guardando all'anno nel suo insieme, la sicurezza continua a porre nuove sfide. È importante che le organizzazioni si concentrino sui trend persistenti. Un esempio è l'uso accelerato delle connessioni crittografate per rilasciare malware zero-day. Siamo convinti che una piattaforma di sicurezza unificata, come la Unified Security Platform di WatchGuard, offra la migliore protezione completa per combattere la varietà di minacce che le organizzazioni devono affrontare oggi".

Di seguito i risultati più importanti emersi dall’ultimo Internet Security Report di WatchGuard riferito a Q3 2021:

  • Quasi la metà del malware zero-day viene ora distribuito tramite connessioni crittografate - Mentre la quantità totale di malware zero-day è aumentata di un modesto 3% arrivando al 67,2% nel terzo trimestre, la percentuale di malware tramite Transport Layer Security (TLS) è passata dal 31,6% al 47%. La percentuale di zero-day crittografati è diminuita, ma è comunque preoccupante dato che i dati di WatchGuard mostrano che molte organizzazioni non stanno decrittografando queste connessioni e quindi hanno una scarsa visibilità sulla quantità di malware che colpisce le loro reti.
     
  • Man mano che gli utenti effettuano l'aggiornamento a versioni più recenti di Microsoft Windows e Office, gli attaccanti si concentrano sulle nuove vulnerabilità – Se da un lato le vulnerabilità senza patch nei software meno recenti continuano a fornire un terreno fertile per i criminali informatici per sferrare attacchi, dall’altro gli attaccanti stanno anche cercando di sfruttare i punti deboli nelle ultime versioni dei prodotti più ampiamente utilizzati di Microsoft. Nel terzo trimestre, CVE-2018-0802, che sfrutta una vulnerabilità nell'Equation Editor di Microsoft Office, è entrato nell'elenco di WatchGuard dei primi 10 malware per gateway antivirus per volume, raggiungendo la sesta posizione, dopo essere apparso nell'elenco dei malware più diffusi in Q2 2021. Inoltre, due code injectors di Windows (Win32/Heim.D e Win32/Heri) si sono piazzati rispettivamente al primo posto e al sesto nell'elenco dei più rilevati.
     
  • Gli attaccanti hanno preso grandemente di mira le Americhe - La stragrande maggioranza degli attacchi di rete ha preso di mira le Americhe nel terzo trimestre (64,5%) rispetto all'Europa (15,5%) e all'area APAC (20%).
     
  • I rilevamenti complessivi degli attacchi di rete hanno ripreso una traiettoria più normale ma pongono ancora rischi significativi - Dopo trimestri consecutivi di crescita superiore al 20%, il servizio di Intrusion Prevention (IPS) di WatchGuard ha rilevato circa 4,1 milioni di exploit di rete unici nel terzo trimestre. Il calo del 21% ha portato i volumi ai livelli del primo trimestre 2021, ancora elevati rispetto all'anno precedente. Il cambiamento non significa necessariamente che gli avversari stiano allentando la presa, ma che probabilmente stanno spostando la loro attenzione verso attacchi più mirati.
     
  • Le prime 10 firme rappresentano la stragrande maggioranza di tutti gli attacchi - Dei 4.095.320 attacchi rilevati dal servizio IPS nel terzo trimestre, l'81% è stato attribuito alle prime 10 firme. In effetti, c'era solo una nuova firma nella top 10 del terzo trimestre, "WEB Remote File Inclusion/etc/passwd" (1054837), che prende di mira i server Web IIS (Internet Information Services) Microsoft più vecchi, ma ancora ampiamente utilizzati. Una firma (1059160), un SQL injection, ha continuato a mantenere la sua posizione in cima alla lista dal secondo trimestre del 2019.
     
  • Gli attacchi di script sugli endpoint continuano a un ritmo record – Prima della fine del terzo trimestre, l'intelligence sulle minacce di WatchGuard AD360 e WatchGuard Endpoint Protection, Detection and Response (EPDR) avevano già registrato il 10% in più di script di attacco rispetto a tutto il 2020 (che, a sua volta, ha visto un 666% di aumento rispetto all'anno precedente). Poiché la forza lavoro ibrida inizia ad essere la regola piuttosto che l'eccezione, un perimetro forte non è più sufficiente per fermare le minacce. Sebbene i criminali informatici abbiano diversi modi per attaccare gli endpoint, dagli exploit delle applicazioni agli attacchi basati su script, anche quelli con competenze limitate possono eseguire completamente un payload malware con strumenti di scripting come PowerSploit, PowerWare e Cobalt Strike, eludendo il rilevamento dell'endpoint di base.   
     
  • Anche i domini normalmente sicuri possono essere compromessi - Un difetto di protocollo nel sistema Exchange Server Autodiscover di Microsoft ha consentito agli attaccanti di raccogliere le credenziali di dominio e di compromettere diversi domini normalmente affidabili. Complessivamente, nel terzo trimestre le appliance WatchGuard Fireboxes hanno bloccato 5,6 milioni di domini malevoli, inclusi diversi nuovi domini malware che tentano di installare software per il cryptomining, key logger e trojan di accesso remoto (RAT), nonché domini di phishing mascherati da siti SharePoint per raccogliere le credenziali di accesso di Office365. Sebbene in calo del 23% rispetto al trimestre precedente, il numero di domini bloccati è ancora diverse volte superiore al livello registrato nel quarto trimestre del 2020 (1,3 milioni). Ciò evidenzia la necessità fondamentale per le organizzazioni di concentrarsi sul mantenimento di server, database, siti Web e sistemi aggiornati con le patch più recenti per limitare le vulnerabilità che gli attaccanti possono sfruttare.
     
  • Ransomware, Ransomware, Ransomware – Dopo un forte calo nel 2020, gli attacchi ransomware hanno raggiunto il 105% del volume del 2020 a fine settembre 2021 (come previsto da WatchGuard alla fine del trimestre precedente) e sono in procinto di raggiungere il 150% una volta che verranno analizzati i dati completi dell'anno 2021. Le operazioni di ransomware-as-a-service come REvil e GandCrap continuano ad abbassare il livello, fornendo a criminali con scarse o nessuna capacità di codifica l'infrastruttura e il payload del malware per eseguire attacchi a livello globale in cambio di una percentuale del riscatto.  
     
  • Il principale incidente di sicurezza del terzo trimestre 2021 - quello di Kaseya - è un'altra dimostrazione della continua minaccia alla supply chain digitale – Poco prima dell'inizio del lungo weekend del 4 luglio negli Stati Uniti, dozzine di organizzazioni hanno iniziato a segnalare attacchi ransomware contro i loro endpoint. L'analisi degli incidenti di WatchGuard ha descritto come gli attaccanti che lavorano con l'operazione REvil ransomware-as-a-service (RaaS) abbiano sfruttato tre vulnerabilità zero-day (tra cui CVE-2021-30116 e CVE-2021-30118) nel software Kaseya VSA Remote Monitoring and Management (RMM) per fornire ransomware a circa 1.500 organizzazioni e potenzialmente milioni di endpoint. Sebbene l'FBI alla fine abbia compromesso i server di REvil e ottenuto la chiave di decrittazione pochi mesi dopo, l'attacco ha fornito un altro chiaro monito della necessità per le organizzazioni di adottare misure proattive come l'adozione di zero-trust, di utilizzare il principio del privilegio minimo per l'accesso dei fornitori e di garantire che i sistemi siano aggiornati e con le patch necessarie, per ridurre al minimo l'impatto degli attacchi alla supply chain.

 

I report trimestrali di WatchGuard si basano su dati in forma anonima provenienti dai Firebox Feed di appliance WatchGuard attive i cui proprietari hanno acconsentito alla condivisione dei dati per supportare gli sforzi di ricerca del Threat Lab. Nel terzo trimestre 2021, WatchGuard ha bloccato un totale di oltre 16,6 milioni di varianti di malware (454 per dispositivo) e più di 4 milioni di minacce di rete. Il report completo include dettagli su ulteriori malware e tendenze emerse nel terzo trimestre del 2021, un'analisi ancora più approfondita delle minacce rilevate all'endpoint durante la prima metà del 2021, e le strategie di sicurezza consigliate e i suggerimenti di difesa per aziende di ogni dimensione e settore.  

Per scoprire anche tutti gli altri risultati emersi dalla ricerca, consultare l’Internet Security Report di Q3 2021 a questo link: https://www.watchguard.com/it/wgrd-resource-center/security-report-q3-2021

Informazioni su WatchGuard Technologies, Inc.

WatchGuard® Technologies, Inc. è un leader globale nella sicurezza informatica unificata. La nostra Unified Security Platform® è concepita unicamente per i provider di servizi gestiti che offrono sicurezza di alto livello per aumentare la scalabilità e la velocità del proprio business, migliorandone al contempo l'efficienza operativa. Scelti da oltre 17.000 rivenditori e fornitori di servizi che provvedono alla sicurezza di più di 250.000 clienti, i pluripremiati prodotti e servizi della nostra azienda coprono l'intelligence e la sicurezza di rete, la protezione avanzata degli endpoint, l'autenticazione a più fattori e la protezione Wi-Fi. Tutto questo offre i cinque elementi essenziali di una piattaforma di sicurezza: sicurezza completa, conoscenza condivisa, trasparenza e controllo, allineamento operativo, automazione. La sede centrale di WatchGuard si trova a Seattle (Washington, Stati Uniti), con uffici dislocati in Nord America, Europa, Asia e America Latina. Per saperne di più, visita www.watchguard.com/it.

Per maggiori informazioni, promozioni e aggiornamenti, è possibile seguire WatchGuard su Twitter @watchguarditaly, Facebook WatchGuard Italia e sulla pagina Linkedin dell’azienda, oltre che sul nuovo blog Secplicity per informazioni in tempo reale circa le ultime minacce e per sapere come affrontarle. Registrati alla serie di podcast “The 443 – Security Simplified” su Secplicity.org.

WatchGuard è un marchio registrato di WatchGuard Technologies, Inc. Tutti gli altri marchi sono di proprietà dei rispettivi proprietari.