Gli attacchi ransomware ai dispositivi finali aumentano dell'89 percento
È online l'Internet Security Report di WatchGuard Technologies per il terzo trimestre del 2023. In esso, i ricercatori del WatchGuard Threat Lab identificano ancora una volta le tendenze e le minacce malware più importanti per la sicurezza delle reti e degli endpoint. Un dato fondamentale è il quasi raddoppio del numero di attacchi ransomware agli endpoint rispetto al trimestre precedente.
Colpisce anche il calo del malware trasmesso tramite connessioni criptate. Inoltre, i dati mostrano che l'uso improprio di software di accesso remoto sta godendo di una nuova popolarità e che i cyber-attaccanti si affidano sempre più spesso a ruba password e info per ottenere preziosi dati di login. Infine, l'ultimo rapporto sottolinea che gli attacchi agli endpoint si basano meno spesso sull'uso improprio di script e che vengono invece utilizzate altre tecniche di vita in loco.
I risultati più importanti dell'ultimo Internet Security Report, con dati relativi al terzo trimestre del 2023, includono
Gli strumenti e i software di gestione remota stanno conquistando il favore degli hacker - Come confermato dal Federal Bureau of Investigation (FBI) e dalla Cybersecurity and Infrastructure Security Agency (CISA) statunitensi, i criminali informatici utilizzano sempre più spesso software di accesso remoto per eludere il rilevamento da parte delle scansioni antimalware. Analizzando i domini di phishing più importanti, il Threat Lab ha identificato un tentativo di inganno nell'ambiente dell'assistenza tecnica, ad esempio, progettato per indurre la vittima a scaricare una versione preconfigurata e non autorizzata di TeamViewer che consente all'aggressore di accedere completamente al computer da remoto.
La diffusione della variante del ransomware Medusa porta a un aumento dell'89% degli attacchi ransomware focalizzati sugli endpoint A prima vista, sembrava che il ransomware sarebbe diminuito nei mesi da luglio a settembre 2023. Tuttavia, il quadro è cambiato con la variante del ransomware Medusa, che è apparsa per la prima volta nella top 10 delle minacce malware ed è stata identificata dal Threat Lab utilizzando una firma generica. Di conseguenza, il numero di attacchi ransomware è aumentato dell'89% rispetto al trimestre precedente.
Gli attori delle minacce si stanno allontanando dagli attacchi scripted e utilizzano sempre più spesso altre tecniche "living-off-the-land". Gli script dannosi come vettore di attacco hanno registrato un calo dell'11% nel terzo trimestre; nel secondo trimestre, gli scenari corrispondenti erano già diminuiti del 41%. Ciononostante, gli attacchi basati su script rappresentano ancora la parte del leone di tutti gli incidenti registrati, con il 56%. I linguaggi di scripting, come PowerShell, sono ancora spesso utilizzati per gli attacchi di tipo "living off the land". Allo stesso tempo, il numero di binari di Windows utilizzati in modo improprio è aumentato significativamente del 32%. Questi risultati dimostrano ai ricercatori del Threat Lab che gli attori delle minacce continuano a utilizzare un'ampia varietà di tecniche "living-off-the-land", probabilmente anche come reazione all'aumento delle misure di protezione contro PowerShell e altri linguaggi di scripting.
Il malware che giunge a destinazione tramite connessioni crittografate è ridotto della metà Solo poco meno della metà del malware identificato nel terzo trimestre è stato trasmesso tramite connessioni criptate. Questo dato è notevole, poiché è diminuito in modo significativo rispetto ai trimestri precedenti. Complessivamente, il numero di programmi malware individuati è aumentato del 14%.
La famiglia di dropper basati sulle e-mail domina la top 5 delle varianti di malware criptate - Quattro delle cinque varianti di malware presenti nella suddetta top 5 possono essere assegnate a una famiglia di dropper chiamata Stacked. Nello spear phishing, gli attori delle minacce inviano e-mail con allegati dannosi che sembrano provenire da un mittente noto e che pretendono di contenere una fattura o un documento importante da esaminare per indurre gli utenti finali a scaricare il malware.
Il malware stealer è in aumento Per quanto riguarda le principali minacce malware, una nuova famiglia di malware è entrata nella top list: Lazy.360502, che fornisce la variante adware 2345explorer e Vidar Password Stealer ed è collegato a un sito web cinese che apparentemente supporta un'offerta di "Password Stealer as a Service". Questo permette ai criminali informatici di acquistare facilmente le credenziali di accesso rubate.
Gli attacchi alla rete registrano un aumento del 16% - ProxyLogon è stata la vulnerabilità più frequentemente affrontata negli attacchi di rete. Un totale del 10% di tutti i rilevamenti specifici per la rete può essere attribuito a questa vulnerabilità.
Tre nuove firme entrano nella top 50 degli attacchi di rete. Tra queste vi è una vulnerabilità di PHP Common Gateway Interface Apache del 2012, che può essere utilizzata per innescare un buffer overflow. C'è anche una vulnerabilità di Microsoft .NET Framework 2.0 del 2016, che funge da trampolino di lancio per attacchi denial-of-service. Il trio è completato da una vulnerabilità SQL injection nel CMS open source Drupal del 2014, che consente agli aggressori di accedere a Drupal dall'esterno senza alcuna barriera di autenticazione.
Fonte: www.watchguard.com
