Altri risultati significativi mostrano un aumento nei rilevamenti di crypto miner, un picco nel malware zero-day, un calo nel malware endpoint, un incremento nelle minacce basate su Linux e molto altro
WatchGuard Technologies, leader globale nella cybersecurity unificata, ha pubblicato i risultati del suo ultimo Internet Security Report, un’analisi trimestrale che descrive nel dettaglio le principali minacce alla sicurezza di rete, endpoint e malware osservate dai ricercatori del WatchGuard Threat Lab nel quarto trimestre del 2024.
Tra i risultati principali del nuovo report emerge un aumento del 94% (trimestre su trimestre) nei rilevamenti di malware su rete. I dati mostrano anche un aumento in tutti i rilevamenti di malware, incluso un aumento del 6% nei rilevamenti di Gateway AntiVirus (GAV) e un aumento del 74% nei rilevamenti di Advanced Persistent Threat (APT) Blocker, entrambi servizi delle appliance Firebox WatchGuard. Gli aumenti più significativi provengono dal rilevamento proattivo basato sul machine learning offerto dal servizio WatchGuard IntelligentAV (IAV), che ha raggiunto il 315%, a indicare il ruolo crescente dei servizi anti-malware più proattivi nell’intercettare malware sofisticati ed evasivi, come il malware zero-day, quando proviene da canali crittografati. Il significativo aumento dei rilevamenti evasivi suggerisce che gli attaccanti si stanno concentrando sempre di più su tecniche di offuscamento e crittografia, sfidando le difese tradizionali.
Il Threat Lab ha inoltre osservato un aumento significativo del rilevamento dei miner di criptovalute, pari al 141% rispetto al trimestre precedente. Il mining di criptovalute è un processo naturale per l’acquisizione di criptovalute su alcune blockchain, tra cui Bitcoin. Un miner di monete malevolo può apparire come un software che installa un miner di monete all’insaputa o senza il consenso dell’utente. Con l’aumento del prezzo e della popolarità di Bitcoin, i rilevamenti dei miner di criptovalute si distinguono anche come una tattica utilizzata dagli autori delle minacce.
“I risultati del nostro Internet Security Report riferiti al quarto trimestre 2024 rivelano un panorama di sicurezza informatica in cui gli attaccanti si affidano costantemente a vecchie abitudini e a vulnerabilità e falle facili da sfruttare, usando al contempo tecniche malware evasive per eludere le difese tradizionali”, ha affermato Corey Nachreiner, Chief Security Officer di WatchGuard Technologies. “I dati dimostrano l’importanza di rimanere vigili sui principi fondamentali: mantenere i sistemi aggiornati in modo proattivo, monitorare le attività anomale e utilizzare difese a più livelli per intercettare gli inevitabili tentativi di exploit su reti ed endpoint. In questo modo, le aziende possono mitigare notevolmente le minacce emerse in questo trimestre ed essere preparate a ciò che gli avversari e il panorama delle minacce in continua evoluzione potrebbero portare con sé”.
Ulteriori risultati chiave dell’Internet Security Report riferiti al quarto trimestre 2024 di WatchGuard includono:
- Nel quarto trimestre, il malware Zero-Day è risalito al 53%, con un netto aumento rispetto al minimo storico del 20% registrato nel terzo trimestre del 2024. Questo rafforza l’osservazione precedente secondo cui il malware si diffonde sempre più spesso tramite connessioni crittografate, le quali tendono a veicolare minacce più sofisticate e difficili da rilevare.
- Il numero totale di minacce malware uniche è significativamente diminuito nel quarto trimestre, con un calo storico del 91%. Questo è probabilmente dovuto a una riduzione degli attacchi mirati isolati e a un aumento del malware generico. Tuttavia, un numero inferiore di minacce non significa che quelle che cercano di superare le difese saranno attacchi semplici se non affrontate in modo rapido e scrupoloso.
- Gli attacchi alla rete sono diminuiti del 27% rispetto al trimestre precedente. I dati del Threat Lab mostrano che molti exploit collaudati hanno continuato a essere tra i principali attacchi del trimestre, a conferma del fatto che gli attaccanti tendono a utilizzare tecniche che sanno essere efficaci.
- La lista dei principali domini di phishing è rimasta invariata rispetto al trimestre precedente, evidenziando l’uso continuativo di un’infrastruttura di phishing persistente e ad alto impatto. I domini di phishing a tema SharePoint, che spesso imitano portali di login legittimi per rubare credenziali, indicano che gli attaccanti continuano a sfruttare tattiche di compromissione delle email aziendali (BEC) per colpire le organizzazioni che utilizzano i servizi di Office 365.
- Gli attacchi “Living off-the-land” (LotL), che sfruttano strumenti di sistema legittimi come PowerShell, Windows Management Instrumentation (WMI) o macro di Office invece di affidarsi a malware esterni per caricare minacce, sono in aumento. Questo è evidente nel 61% delle tecniche di attacco agli endpoint che utilizzano injection e script PowerShell, i quali rappresentano quasi l’83% di tutti i vettori di attacco agli endpoint. Di questo ~83%, il 97% proviene da PowerShell, a conferma del fatto che PowerShell è responsabile della stragrande maggioranza delle modalità di attacco utilizzate dagli attori delle minacce.
- Oltre la metà delle 10 principali rilevazioni di rete riguarda firme generiche, che individuano le comuni vulnerabilità delle applicazioni web. Questa tendenza evidenzia come gli attaccanti puntino in massa su attacchi “classici” e largamente diffusi.
In linea con l’approccio della Unified Security Platform di WatchGuard e con gli aggiornamenti trimestrali precedenti del WatchGuard Threat Lab, i dati analizzati in questo report trimestrale si basano su intelligence sulle minacce aggregate e anonime provenienti da prodotti di rete ed endpoint WatchGuard attivi i cui proprietari hanno acconsentito alla condivisione dei dati per supportare gli sforzi di ricerca di WatchGuard.
