O aumento das táticas de malware impulsiona uma epidemia global de crimes cibernéticos
O malware evasivo, básico e criptografado aumentou no quarto trimestre de 2023, alimentando um aumento no malware total, de acordo com a WatchGuard.
Os atores da ameaça empregam diversas táticas
A média de detecções de malware aumentou 80% em relação ao trimestre anterior, ilustrando um volume substancial de ameaças de malware que chegam ao perímetro da rede. Geograficamente, a maior parte do aumento de ocorrências de malware afetou as Américas e a Ásia-Pacífico.
“A pesquisa mais recente do Threat Lab mostra que os agentes de ameaças estão empregando várias técnicas à medida que procuram vulnerabilidades para atacar, inclusive em softwares e sistemas mais antigos, e é por isso que as organizações devem adotar uma abordagem de defesa profunda para se proteger contra tais ameaças”, disse Corey. Nachreiner , diretor de segurança da WatchGuard.
“Atualizar os sistemas e softwares dos quais as organizações dependem é um passo vital para resolver essas vulnerabilidades. Além disso, plataformas de segurança modernas operadas por provedores de serviços gerenciados podem fornecer a segurança abrangente e unificada que as organizações precisam e permitir-lhes combater as ameaças mais recentes”, acrescentou Nachreiner.
Aproximadamente 55% do malware chegou através de conexões criptografadas, o que representou um aumento de 7% em relação ao terceiro trimestre. As detecções de malware de dia zero saltaram para 60% de todas as detecções de malware, acima dos 22% do trimestre anterior. No entanto, as detecções de malware de dia zero com TLS caíram para 61%, o que representou uma redução de 10% em relação ao terceiro trimestre, mostrando a imprevisibilidade do malware em liberdade.
As 5 principais detecções de malware generalizadas
Entre as cinco detecções de malware mais difundidas estavam JS.Agent.USF e Trojan.GenericKD.67408266. Ambas as variantes redirecionam os usuários para links maliciosos e ambos os carregadores de malware tentam carregar o malware DarkGate no computador da vítima.
O quarto trimestre mostrou um ressurgimento de ameaças baseadas em scripts, já que os scripts foram os que mais cresceram como vetor de ataque de endpoint, com ameaças detectadas aumentando 77% em relação ao terceiro trimestre. O PowerShell foi o principal vetor de ataque que os pesquisadores viram os hackers usarem em endpoints. As explorações baseadas em navegador também aumentaram significativamente, aumentando 56%.
Quatro dos cinco ataques de rede mais difundidos foram ataques ao servidor Exchange. Esses ataques estão especificamente associados a uma das explorações ProxyLogon , ProxyShell e ProxyNotShell. Uma assinatura ProxyLogon que está presente nas 5 assinaturas mais difundidas desde o quarto trimestre de 2022, quando subiu para o segundo lugar entre os ataques de rede mais difundidos. Estes ataques ilustram a necessidade de reduzir a dependência de servidores de e-mail locais para mitigar ameaças à segurança.
A comoditização dos ataques cibernéticos continua
A mercantilização dos ataques cibernéticos continua, tendendo para ofertas de “vítima como serviço”. Glupteba e GuLoader foram mais uma vez contados entre os 10 malwares de endpoint mais prevalentes no quarto trimestre, retornando como duas das variantes mais prolíficas analisadas durante o trimestre. Vale a pena destacar Glupteba como um adversário particularmente formidável e sofisticado, devido em parte à sua prevalência visando vítimas à escala global.
Um malware como serviço (MaaS), os recursos maliciosos do Glupteba incluem download de malware adicional, mascaramento de botnet, roubo de informações confidenciais e mineração de criptomoedas com tremenda furtividade.
Mais uma vez no quarto trimestre, o Threat Lab relatou um declínio nas detecções de ransomware em comparação com o trimestre anterior – observando uma diminuição de 20% no volume geral nos últimos três meses de 2023. Os analistas de ameaças também notaram um declínio nas violações públicas de ransomware e atribuem esta tendência aos esforços contínuos de remoção de grupos de extorsão de ransomware pelas autoridades policiais .