A WatchGuard Technologies, empresa de cibersegurança, anunciou as descobertas de seu mais recente relatório Internet Security Report. No documento, são detalhadas as principais tendências de malware e ameaças de segurança de rede e endpoint no primeiro trimestre de 2023.

As descobertas dos dados mostram que os phishers utilizam estratégias de engenharia social baseadas em navegador, novos malwares vinculados a estados nacionais, grandes quantidades de malware de dia zero, ataques living-off-the-land em ascensão e muito mais.

Esta edição do Internet Security Report também apresenta uma nova seção dedicada ao rastreamento e análise trimestrais de ransomware da equipe do Threat Lab.

“As organizações precisam prestar atenção mais ativa e contínua às soluções e estratégias de segurança existentes nas quais seus negócios dependem para se manterem protegidos contra ameaças cada vez mais sofisticadas”, diz Corey Nachreiner, chief security officer da WatchGuard.

“Os principais temas e práticas recomendadas correspondentes que nosso Laboratório de Ameaças delineou para este relatório enfatizam fortemente as defesas de malware em camadas para combater ataques living-off-the-land, o que pode ser feito de maneira simples e eficaz com uma plataforma para segurança unificada executada por um serviço gerenciado dedicado provedores”, completa.

Entre suas descobertas mais notáveis, o Internet Security Report destaca alguns itens.

Novas tendências de engenharia social baseadas em navegadores

Agora que os navegadores da web têm mais proteções que impedem o abuso de pop-ups, os invasores passaram a usar os recursos de notificações do navegador para forçar tipos semelhantes de interações. Também digno de nota na lista dos principais domínios maliciosos deste trimestre é um novo destino envolvendo atividade de envenenamento de SEO.

Agentes de ameaças da China e da Rússia estão por trás de 75% das novas ameaças na lista Top 10 do primeiro trimestre

Três das quatro novas ameaças que estrearam em nossa lista dos dez principais malwares neste trimestre têm fortes laços com estados-nação, embora isso não signifique necessariamente que atores maliciosos são de fato patrocinados pelo estado.

Um exemplo do Internet Security Report é a família de malware Zuzy, que aparece pela primeira vez na lista dos 10 principais malwares neste trimestre.

Uma amostra Zusy que o Threat Lab encontrou tem como alvo a população da China com adware que instala um navegador comprometido; o navegador é então usado para sequestrar as configurações do Windows do sistema e como o navegador padrão.

Persistência de ataques contra produtos Office, firewall ISA da Microsoft em fim de vida útil (EOL)

Os analistas do Threat Lab continuam vendo ameaças baseadas em documentos direcionadas a produtos Office na lista de malware mais difundida neste trimestre.

No lado da rede, a equipe também notou exploits contra o firewall agora descontinuado da Microsoft, o Internet Security and Acceleration (ISA) Server, obtendo um número relativamente alto de acessos. Considerando que este produto foi descontinuado há muito tempo e sem atualizações, é surpreendente ver os invasores mirando nele.

Ataques living-off-the-land em ascensão

O malware ViperSoftX inspecionado na análise de DNS do primeiro trimestre é o exemplo mais recente de malware que aproveita as ferramentas integradas que acompanham os sistemas operacionais para concluir seus objetivos.

O aparecimento contínuo de malware baseado no Microsoft Office e no PowerShell nesses relatórios, trimestre após trimestre, ressalta a importância da proteção de endpoint que pode diferenciar o uso legítimo do mal-intencionado de ferramentas populares como o PowerShell.

Droppers de malware voltados para sistemas baseados em Linux

Uma das novas principais detecções de malware por volume no primeiro trimestre foi um dropper de malware voltado para sistemas baseados em Linux.

Um lembrete claro de que só porque o Windows é o rei no espaço corporativo, isso não significa que as organizações podem se dar ao luxo de fechar os olhos para o Linux e o macOS. Certifique-se de incluir máquinas não Windows ao implantar o Endpoint Detection and Response (EDR) para manter a cobertura total do seu ambiente.

Malware de dia zero respondendo pela maioria das detecções

Neste trimestre, 70% das detecções foram provenientes de malware de dia zero em tráfego da web não criptografado e impressionantes 93% das detecções de malware de dia zero de tráfego da web criptografado.

O malware de dia zero pode infectar dispositivos IoT, servidores mal configurados e outros dispositivos que não usam defesas robustas baseadas em host, como WatchGuard EDPR (Endpoint Protection Defense and Response).

Novos insights baseados em dados de rastreamento de ransomware

No primeiro trimestre de 2023, o Threat Lab registrou 852 vítimas publicadas em sites de extorsão e descobriu 51 novas variantes de ransomware.

Esses grupos de ransomware continuam publicando vítimas em uma taxa alarmantemente alta; algumas são organizações e empresas conhecidas na Fortune 500.

Consistente com a abordagem Unified Security Platform da WatchGuard e as atualizações de pesquisa trimestrais anteriores do WatchGuard Threat Lab, os dados analisados neste relatório trimestral são baseados em inteligência de ameaças agregada e anônima da rede WatchGuard ativa e produtos de endpoint cujos proprietários optaram por compartilhar em suporte direto de esforços de pesquisa da WatchGuard.

Uma novidade nesta análise do primeiro trimestre de 2023: a equipe do Threat Lab atualizou os métodos usados para normalizar, analisar e apresentar as descobertas do relatório.

Embora os resultados de Internet Security Report anteriores tenham sido apresentados principalmente de forma agregada (como volumes totais globais), neste trimestre e daqui para frente os resultados de segurança de rede serão apresentados como médias “por dispositivo” para todos os dispositivos de rede de relatórios.

O Internet Security Report completo inclui detalhes adicionais sobre essa evolução e a lógica por trás da metodologia atualizada, bem como detalhes sobre tendências adicionais de malware, rede e ransomware do primeiro trimestre de 2023, estratégias de segurança recomendadas, dicas críticas de defesa para empresas de todos os tamanhos e em qualquer setor e mais.