Raport Q3 WatchGuard Threat Lab

WatchGuard Threat Lab podał informację, że ilość złośliwego oprogramowania ransomware w 3 kwartale 2021 roku przekroczyła wartość z poprzedniego roku. Ilość ataków skryptowych na punkty końcowe stale rośnie. Większość jest wymierzona w Amerykę, ale to nie znaczy, że nas to nie dotyczy. Połączenia szyfrowane stają się głównym mechanizmem dostarczania takiego złośliwego oprogramowania zero-day.

Q3

19 stycznia 2022 roku WatchGuard globalny lider w dziedzinie bezpieczeństwa sieci, opublikował swój kwartalny raport na temat bezpieczeństwa w Internecie. W swoim raporcie przedstawili najważniejsze trendy w zakresie złośliwego oprogramowania i zagrożeń bezpieczeństwa sieciowego w III kwartale 2021 roku. Według zebranych danych wynika, że całkowita ilość wykrytego oprogramowania perymetrycznego spadła z wysokiego poziomu osiągniętego w poprzednim kwartale. Z kolei ilość wykryć złośliwego oprogramowania w punktach końcowych już przekroczyła całkowitą ilość odnotowaną w poprzednim roku. Ponadto znaczny odsetek złośliwego oprogramowania nadal dociera przez połączenia szyfrowane, kontynuując trend z poprzednich kwartałów. Według głównego specjalisty ds. bezpieczeństwa w firmie WatchGuard Corey'a Nachreiner'a, ataki sieciowe nieznacznie zmniejszyły się w III kwartale. Niestety ilość złośliwego oprogramowania na urządzeniach wzrosła po raz pierwszy od początku pandemii. Kolejnym ważnym aspektem podczas budowania swojej bezpiecznej sieci jest wykraczanie poza krótkoterminowe wzloty i upadki oraz sezonowość poszczególnych wskaźników. Skupienie uwagi na stałe i niepokojące trendy mają wpływ na ich postawę w zakresie bezpieczeństwa. Przykładem jest coraz częstsze wykorzystywanie połączeń szyfrowanych do przeprowadzania ataków zero-day.

Najbardziej znaczące ustalenia raportu Internet Security Report

• Blisko połowa złośliwego oprogramowania zero-day jest obecnie dostarczana za pośrednictwem szyfrowanych połączeń

Podczas gdy całkowita ilość złośliwego oprogramowania zero-day wzrosła w III kwartale o skromne 3% do 67,2%, odsetek złośliwego oprogramowania dostarczanego za pośrednictwem protokołu Transport Layer Security (TLS) wzrósł z 31,6% do 47%. Dane WatchGuard pokazują, że wiele organizacji nie odszyfrowuje tych połączeń. Skutkuje to słabym wglądem w ilość złośliwego oprogramowania trafiającego do ich sieci.

• W miarę jak użytkownicy aktualizują swoje systemy do nowszych wersji Microsoft Windows i Office, atakujący skupiają się na nowszych lukach

Podczas gdy niezałatane luki w starszym oprogramowaniu nadal stanowią bogate tereny łowieckie dla atakujących, szukają oni również możliwości wykorzystania słabości w najnowszych wersjach powszechnie używanych produktów firmy Microsoft.

• Atakujący częściej atakują Amerykę

W III kwartale zdecydowana większość ataków sieciowych była skierowana na Amerykę (64,5%), w porównaniu z Europą (15,5%) i APAC (20%).

• Ogólna liczba wykrytych ataków sieciowych powróciła do bardziej normalnej trajektorii, ale nadal stanowi poważne zagrożenie

Usługa zapobiegania włamaniom (IPS) firmy WatchGuard wykryła w III kwartale około 4,1 miliona unikalnych exploitów sieciowych. Spadek o 21% sprowadził liczbę wykrytych exploitów do poziomu z I kwartału. Zmiana ta nie musi oznaczać, że przeciwnicy odpuszczają, ponieważ prawdopodobnie przesuwają swoją uwagę w kierunku bardziej ukierunkowanych ataków.

• Top 10 sygnatur ataków sieciowych odpowiada za zdecydowaną większość ataków

Spośród 4 095 320 trafień wykrytych przez IPS w III kwartale 81% przypisano do 10 najlepszych sygnatur. W rzeczywistości, w pierwszej dziesiątce znalazła się tylko jedna nowa sygnatura w III kwartale. "WEB Remote File Inclusion /etc/passwd" (1054837), która jest wymierzona w starsze, ale nadal szeroko stosowane serwery WWW Microsoft Internet Information Services (IIS)

• Ataki skryptowe na punkty końcowe nadal rosną w rekordowym tempie

Do końca III kwartału, rozwiązania WatchGuard widziały już 10% więcej ataków skryptowych niż w całym 2020 roku. Chociaż cyberprzestępcy mogą atakować punkty końcowe na kilka sposobów - od exploitów aplikacyjnych po ataki oparte na skryptach - nawet osoby o ograniczonych umiejętnościach mogą często w pełni wykonać złośliwe oprogramowanie za pomocą narzędzi skryptowych, takich jak PowerSploit, PowerWare i Cobalt Strike, unikając przy tym podstawowego wykrywania punktów końcowych.

• Każda domena nawet ta normalnie bezpieczna może być zagrożona

Błąd w protokole w systemie Autodiscover serwera Exchange firmy Microsoft pozwolił atakującym na zebranie danych uwierzytelniających domen i narażenie na szwank kilku normalnie godnych zaufania domen. W sumie w trzecim kwartale fireboxy WatchGuard zablokowały 5,6 miliona złośliwych domen. W tym kilka nowych domen złośliwego oprogramowania, które próbują zainstalować oprogramowanie do cryptominingu, keyloggery i trojany zdalnego dostępu (RAT). Zablokowano także domeny phishingowe podszywające się pod witryny SharePoint w celu pozyskania danych uwierzytelniających do logowania do Office365. Chociaż liczba zablokowanych domen spadła o 23% w porównaniu z poprzednim kwartałem, jest ona nadal kilkakrotnie wyższa od poziomu odnotowanego w IV kwartale 2020 r. (1,3 mln). Pokazuje to istotność skupienia się przez organizacje na utrzymywaniu serwerów, baz danych, stron internetowych i systemów zaktualizowanych o najnowsze poprawki.

Podsumowując

Więcej informacji dotyczących trendów panujących w cyberświecie oraz szersze przedstawienie tematu znajdziecie w raporcie Threat Lab: WG_Threat_Report_Q3_2021

Źródło: https://www.watchguard.com/wgrd-news/press-releases/watchguard-threat-lab-reports-endpoint-malware-and-ransomware-volume