WatchGuard | maioria do malware é encriptado e invisível sem inspeção HTTPS

A WatchGuard® Technologies, líder global em inteligência e segurança de rede, Wi-Fi seguro e autenticação multi-factor e proteção avançada de endptoints, anuncia hoje  a publicação do seu Relatório de Segurança na Internet para o primeiro trimestre de 2020. Pela primeira vez, este relatório inclui dados sobre a percentagem de malware espalhado através de ligações HTTPS encriptadas. A inteligência de ameaças da WatchGuard mostra que 67% de todo o malware detetado no primeiro trimestre foram disseminados via HTTPS, pelo que as empresas sem soluções de segurança capazes de inspecionar tráfego encriptado não conseguem detetar dois terços das ameaças recebidas. Além disso, 72% do malware encriptado foi classificado como de dia zero (o que significa que não existe assinatura antivírus para estas ameaças e que, por isso, as proteções baseadas em assinatura não servem).

Estas conclusões do relatório da WatchGuard mostram que a inspeção HTTPS e soluções avançadas de deteção e resposta a ameaças baseadas em comportamento são agora requisitos obrigatórios para todas as empresas preocupadas com a sua segurança.

“Algumas organizações hesitam em configurar a inspeção HTTPS devido ao trabalho extra envolvido nessa configuração, mas os nossos dados de ameaças mostram claramente que a maioria do malware é implantado com recurso a ligações encriptadas e que deixar o tráfego por inspecionar já não é uma opção”, sublinha Corey Nachreiner, diretor de tecnologia da WatchGuard. “À medida que o malware continua a tornar-se cada vez mais avançado e evasivo, a única abordagem fiável para a defesa é a implementação de um conjunto de serviços de segurança por camadas, incluindo métodos avançados de deteção de ameaças e inspeção HTTPS”.

O Relatório de Segurança na Internet da WatchGuard oferece às empresas de média dimensão, aos fornecedores de serviços que as apoiam e aos utilizadores finais que nelas trabalham dados importantes sobre tendências, investigações e melhores práticas para se defender melhor contra as ameaças atuais e emergentes à sua segurança. Seguem-se as principais conclusões do Relatório de Segurança na Internet referente ao primeiro trimestre de 2020:

• Cryptominers Monero aumentam de popularidade. Cinco dos dez principais domínios a distribuir malware no primeiro trimestre (identificados pelo serviço de filtragem de DNS da WatchGuard, o DNSWatch) alojavam ou controlavam cryptominers Monero. Este salto repentino na popularidade dos cryptominers pode dever-se simplesmente à sua utilidade, já que adicionar um módulo de cryptomining ao malware é uma maneira fácil de os cibercriminosos gerarem grandes receitas.
• As variantes de malware Flawed-Ammyy e Cryxos juntam-se à lista dos principais. O Trojan Cryxos ocupou o terceiro lugar na lista da WatchGuard dos cinco principais malwares encriptados e também a terceira posição no top 5 das deteções de malware mais disseminadas, sobretudo contra alvos em Hong Kong. É inserido nos sistemas das vítimas como um ficheiro anexo de email disfarçado de fatura e pide ao utilizador que introduza o seu email e password, que depois armazena. O Flawed-Ammyy é um esquema em que o atacante utiliza o software de suporte Ammyy Admin para obter acesso remoto ao equipamento da vítima.
• Vulnerabilidade Adobe com três anos aparece agora nos principais ataques de rede. Um exploit do Adobe Acrobat Reader que tinha sido corrigido em agosto de 2017 apareceu na lista da WatchGuard dos principais ataques de rede pela primeira vez no primeiro trimestre deste ano. Esta vulnerabilidade ressurgiu vários anos após ser descoberta e aparentemente resolvida, ilustrando a importância de corrigir e atualizar regularmente os sistemas.
• Campanhas de spear phishing tiveram como alvo a Mapp Engage, AT&T e Bet365. Três novos domínios que alojavam campanhas de phishing apareceram no top 10 da WatchGuard no primeiro trimestre de 2020. Faziam-se passar pelo produto de marketing e análise digital Mapp Engage, pela plataforma de apostas online Bet365 (esta campanha foi em chinês) e por uma página de login da AT&T (esta campanha já não estava ativa no momento da publicação do relatório).
• Impacto da COVID-19. O primeiro trimestre de 2020 foi apenas o início das grandes mudanças no cenário das ciberameaças provocadas pela pandemia COVID-19. Mesmo apenas nestes três primeiros meses de 2020, ainda foi possível observar um aumento maciço no número de teletrabalhadores e ataques desenhados para os atingir.
• Caem os ataques de malware de rede. Em geral, registaram-se menos 6,9% ocorrências de malware e menos 11,6% ataques à rede no primeiro trimestre, apesar de um aumento de 9% no número de Fireboxes que contribuem com dados para este relatório. Isto pode dever-se ao facto de haver menos alvos em potencial a operar no perímetro tradicional da rede, com as políticas de trabalho em todo o mundo a reforçar-se durante a pandemia da COVID-19.
• Grã-Bretanha e Alemanha fortemente atingidas por ameaças de malware generalizadas. A lista da WatchGuard do malware mais disseminado mostra que a Alemanha e a Grã-Bretanha foram os principais alvos do malware mais prevalente do primeiro trimestre deste ano.

Testes independentes concluíram que os produtos da WatchGuard proporcionam um desempenho consistente na inspeção a tráfego HTTPS. Muitas soluções concorrentes mostram uma degradação no desempenho deste tipo de inspeção, tendo um teste da Miercom concluído que a Firebox M370 ultrapassou toda a concorrência ao inspecionar o tráfego HTTPS com todos os serviços de segurança ativados.

As conclusões espelhadas neste Relatório de Segurança na Internet da WatchGuard provêm de dados anónimos do Firebox Feed dos dispositivos WatchGuard UTM ativos cujos proprietários acederam a partilhar esses dados para apoiar os esforços de investigação do Threat Lab. Hoje, quase 44.000 dispositivos em todo o mundo contribuem com dados de inteligência de ameaças para este relatório. No primeiro trimestre de 2020, bloquearam mais de 32.148.519 variantes de malware no total (730 amostras por cada uma das Firebox) e mais de 1.660.000 ataques de rede (38 por dispositivo).

O relatório completo inclui as melhores práticas de defesa importantes que empresas de todos os tamanhos podem usar para se protegerem no atual cenário de ameaças e uma análise detalhada a como a pandemia COVID-19 e a mudança associada ao trabalho em casa afetaram o cenário da cibersegurança.