Tra gli altri risultati della ricerca emerge la recrudescenza degli attacchi living-off-the-land, la continua mercificazione degli attacchi informatici e il declino del ransomware
WatchGuard Technologies, leader globale nella cybersecurity unificata, ha annunciato i risultati del suo ultimo Internet Security Report, che riporta in dettaglio le principali tendenze del malware e le minacce alla sicurezza della rete e degli endpoint analizzate dai ricercatori di WatchGuard Threat Lab. I principali risultati mostrano un drammatico aumento del malware evasivo che ha alimentato un forte incremento del malware totale; autori delle minacce che hanno preso di mira i server di posta elettronica locali come obiettivi principali da sfruttare; rilevamenti di ransomware che continuano a diminuire, potenzialmente a causa degli sforzi delle forze dell’ordine internazionali per bloccare i gruppi di estorsione ransomware.
“L’ultima ricerca del nostro Threat Lab pone in evidenza come gli autori delle minacce stiano impiegando varie tecniche per cercare vulnerabilità da sfruttare anche nei software e nei sistemi più vecchi, motivo per cui le organizzazioni devono adottare un approccio di difesa più profondo per proteggersi da tali minacce”, ha affermato Corey Nachreiner, chief security officer di WatchGuard. “L’aggiornamento dei sistemi e del software su cui fanno affidamento le organizzazioni è un passo fondamentale per affrontare queste vulnerabilità. Inoltre, le moderne piattaforme di sicurezza utilizzate da fornitori di servizi gestiti possono fornire la sicurezza completa e unificata di cui le organizzazioni hanno bisogno e consentire loro di combattere le minacce più recenti”.
Dall’ultimo Internet Security Report, che ha analizzato i dati riferiti al quarto trimestre del 2023, sono emersi i seguenti risultati principali:
- Il malware di base, evasivo e crittografato, sono tutti aumentati nel quarto trimestre, alimentando una crescita del malware totale. La media dei rilevamenti di malware per appliance WatchGuard Firebox è aumentata dell’80% rispetto al trimestre precedente, dimostrando un volume sostanziale di minacce malware che arrivano al perimetro della rete. Dal punto di vista geografico, la maggior parte dell’aumento delle istanze di malware ha interessato le Americhe e l’area Asia-Pacifico.
- Aumentano anche le istanze di malware TLS e zero-day. Circa il 55% del malware è arrivato tramite connessioni crittografate, con un aumento del 7% rispetto al terzo trimestre. I rilevamenti di malware zero-day sono balzati al 60% su tutti i rilevamenti di malware, rispetto al 22% del trimestre precedente. Tuttavia, i rilevamenti di malware zero-day con TLS sono scesi al 61%, con una diminuzione del 10% rispetto al terzo trimestre, dimostrando l’imprevedibilità del malware in circolazione.
- Due delle 5 principali varianti di malware reindirizzano alla rete DarkGate. Tra i primi 5 rilevamenti di malware più diffusi figurano JS.Agent.USF e Trojan.GenericKD.67408266. Entrambe le varianti reindirizzano gli utenti a collegamenti malevoli ed entrambi i loader di malware tentano di caricare il malware DarkGate sul computer della vittima.
- Un’impennata delle tecniche living-off-the-land. Il quarto trimestre ha registrato una ripresa delle minacce basate su script, poiché gli script sono aumentati maggiormente come vettore di attacco agli endpoint, con minacce rilevate in aumento del 77% rispetto al terzo trimestre. PowerShell è stato il principale vettore di attacco usato dagli hacker sugli endpoint. Anche gli exploit basati su browser sono aumentati in modo significativo, con una crescita del 56%.
- Quattro dei cinque attacchi di rete più diffusi sono stati attacchi ai server Exchange. Questi attacchi sono specificamente associati a uno degli exploit ProxyLogon, ProxyShell e ProxyNotShell. Una firma ProxyLogon, che è apparsa per la prima volta in Q4 2022 tra i primi cinque attacchi di rete più diffusi occupando la quarta posizione, è salita al secondo posto in Q4 2023. Questi attacchi confermano la necessità di ridurre la dipendenza dai server di posta elettronica locali per mitigare le minacce alla sicurezza.
- La mercificazione degli attacchi informatici continua, tendendo verso offerte “victim-as-a-service”. Glupteba e GuLoader sono stati ancora una volta annoverati tra i primi 10 malware endpoint più diffusi nel quarto trimestre, tornando ad essere due delle varianti più prolifiche analizzate durante il trimestre. Glupteba è degno di nota come avversario particolarmente performante e sofisticato, in parte a causa della sua prevalenza nel prendere di mira vittime su scala globale. Come malware-as-a-service (MaaS) dalle molteplici sfaccettature, le capacità malevole di Glupteba includono il download di malware aggiuntivo, il mascheramento da botnet, il furto di informazioni sensibili e il mining di criptovaluta in modo estremamente furtivo.
- Tentativi di takedown che soffocano i gruppi di estorsione ransomware. Ancora una volta nel quarto trimestre, il Threat Lab ha segnalato un calo dei rilevamenti di ransomware rispetto al trimestre precedente, osservando una diminuzione del 20% del volume complessivo negli ultimi tre mesi del 2023. Gli analisti di WatchGuard hanno inoltre notato un calo delle violazioni pubbliche ransomware e attribuiscono questa tendenza ai continui sforzi delle forze dell’ordine per eliminare i gruppi di estorsione di ransomware.
Coerentemente con l’approccio Unified Security Platform di WatchGuard e con le precedenti ricerche trimestrali realizzate dal WatchGuard Threat Lab, i dati analizzati in questo nuovo report si basano su dati sulle minacce, in forma anonima e aggregata, provenienti dai prodotti di protezione della rete e degli endpoint di WatchGuard attivi i cui proprietari hanno acconsentito alla condivisione dei dati per supportare gli sforzi di ricerca di WatchGuard.