WatchGuard Internet Security Report Q1 2023

WatchGuard Technologies opublikował wyniki najnowszego raportu Internet Security Report Q1 2023. Badacze z WatchGuard Threat Lab szczegółowo opisali najważniejsze trendy w dziedzinie złośliwego oprogramowania oraz zagrożeń związanych z bezpieczeństwem sieci i punktów końcowych. Kluczowe wnioski z danych z pierwszego kwartału 2023 roku pokazują, że phisherzy coraz chętniej wykorzystują strategie socjotechniczne oparte na przeglądarkach. Ponadto pojawiają się nowe rodziny złośliwego oprogramowania powiązane z państwami narodowymi, a także wzrasta ilość ataków typu living-off-the-land.  Przyjrzyjmy się bliżej wnioskom z raportu.

Ponieważ przeglądarki internetowe są teraz bardziej chronione przed nadużyciami związanymi z wyskakującymi okienkami reklamowymi, cyberprzestępcy skierowali swoją uwagę na wykorzystanie funkcji powiadomień przeglądarki w celu wymuszenia podobnych interakcji. Ponadto uwagę zwracają nasilone działania związane z tzw. SEO-poisoning. Jest to strategia wykorzystywana przez hakerów w celu manipulacji wynikami wyszukiwania poprzez używanie określonych fraz kluczowych. Ich celem jest spowodowanie wyświetlania złośliwych stron internetowych na wyższych pozycjach w wynikach wyszukiwania niż wiarygodne strony. Hakerzy wykorzystują tę metodę w celu przekierowania ruchu na zainfekowane strony lub w celu umieszczenia złośliwego kodu na zaufanych stronach.

Trzy czwarte nowych zagrożeń, które zadebiutowały na liście "Top 10" złośliwego oprogramowania w tym kwartale, mają silne powiązania z państwami. Jako przykład z najnowszego raportu WatchGuard można wymienić nową rodzinę złośliwego oprogramowania o nazwie Zuzy. Jedna z próbek Zuzy, którą przeanalizowali badacze z Threat Lab, ma na celu atakowanie chińskich użytkowników za pomocą oprogramowania adware, które instaluje zainfekowaną przeglądarkę. Jest ona następnie używana do przejęcia ustawień systemu Windows i ustawiana jako domyślna przeglądarka.

Analitycy z Threat Lab nadal obserwują ataki oparte na plikach dokumentów, które mają na celu produkty biurowe firmy Microsoft i znajdują się na liście najbardziej rozpowszechnionego złośliwego oprogramowania w tym kwartale. W obszarze sieci zespół zauważył również wiele ataków na wycofany z eksploatacji firewall firmy Microsoft ISA Server. W tym kontekście dość zaskakujący jest fakt, iż produkt niewspierany od lat nadal znajduje się w obszarze zainteresowań cyberprzestępców.

Złośliwe oprogramowanie ViperSoftX jest najnowszym przykładem oprogramowania wykorzystującego wbudowane narzędzia dostarczane wraz z systemami operacyjnymi do realizacji swoich celów. Ciągłe pojawianie się w raportach złośliwego oprogramowania opartego na Microsoft Office i PowerShell podkreśla znaczenie ochrony punktów końcowych.

Chociaż w sieciach korporacyjnych prym niezmiennie wiodą urządzenia oparte na systemie Windows, nie można ignorować tych opartych na Linuxie czy macOS. Ma to szczególne znaczenie podczas wdrażania narzędzi klasy EDR, aby zapewnić pełne pokrycie środowiska.

Aż 70% detekcji pochodziło od malware zero-day w ruchu sieciowym niezaszyfrowanym, natomiast 90% w zaszyfrowanym. Malware zero-day może infekować urządzenia IoT, źle skonfigurowane serwery i inne urządzenia, które nie korzystają z solidnych zabezpieczeń opartych na hoście, takich jak WatchGuard EPDR.

Większość grup ransomware ma swoje serwisy WWW, na których m.in. publikuje listy swoich ofiar. W pierwszym kwartale 2023 r. badacze z Threat Lab odnotowali na listach 852 ofiary. Ponadto odkryto 51 nowych wariantów ransomware'u. Grupy ransomware nadal publikują ofiary w alarmująco wysokim tempie. Niektóre z nich to znane organizacje i firmy z listy Fortune 500 (coroczny ranking 500 największych amerykańskich przedsiębiorstw).