WatchGuard Technologies – società specializzata in network ed endpoint security – ha rilasciato i risultati del suo più recente Internet Security Report trimestrale riferito a Q1 2022, che descrive in dettaglio le principali tendenze del malware e le minacce alla sicurezza della rete analizzate dai ricercatori del WatchGuard Threat Lab.
I risultati principali della ricerca hanno rivelato che i rilevamenti di ransomware nel primo trimestre di quest’anno hanno già raddoppiato il volume totale registrato nel 2021, la botnet Emotet è tornata in grande stile, la famigerata vulnerabilità di Log4Shell ha triplicato i suoi sforzi di attacco, e si registra un’attività di cryptomining malevola, oltre a molto altro.
Corey Nachreiner, chief security officer di WatchGuard, ha affermato: “Sulla base del picco di ransomware registrato all’inizio di quest’anno e dei dati dei trimestri precedenti, prevediamo che il 2022 supererà il nostro record di rilevamenti annuali di ransomware.
Continuiamo a esortare le aziende non solo a impegnarsi nell’implementazione di misure semplici ma di fondamentale importanza, ma anche a adottare un vero approccio di sicurezza unificato in grado di adattarsi in modo rapido ed efficiente alle minacce in crescita e in evoluzione“.
Di seguito vengono illustrati alcuni dei risultati chiave di questa nuova edizione dell’Internet Security Report, che analizza i dati del primo trimestre del 2022.
Il ransomware esplode
Sebbene i risultati dell’Internet Security Report del quarto trimestre 2021 del WatchGuard Threat Lab abbiano mostrato che gli attacchi ransomware hanno registrato una tendenza al ribasso anno dopo anno, tutto è cambiato nel primo trimestre del 2022, con una massiccia esplosione di rilevamenti di ransomware.
Sorprendentemente – afferma lo specialista della sicurezza informatica –, il numero di attacchi ransomware rilevati nel primo trimestre ha già raddoppiato il numero totale di rilevamenti per tutto il 2021.
LAPSUS$ emerge dopo la caduta di REvil
Il quarto trimestre del 2021 ha visto la caduta della famigerata cybergang REvil, che, con il senno di poi, ha aperto le porte all’emergere di un altro gruppo: LAPSUS$.
L’analisi del primo trimestre di WatchGuard suggerisce che il gruppo di estorsioni LAPSUS$, insieme a molte nuove varianti di ransomware come BlackCat – il primo ransomware conosciuto scritto nel linguaggio di programmazione Rust – potrebbero contribuire a un panorama sempre più ampio di minacce ransomware e di cyber-estorsioni.
Log4Shell fa il suo debutto nell’elenco dei primi 10 attacchi di rete
Divulgata pubblicamente all’inizio di dicembre 2021, la famigerata vulnerabilità di Apache Log4j2, nota anche come Log4Shell, ha debuttato nell’elenco dei primi 10 attacchi di rete alla fine di questo trimestre.
Rispetto ai rilevamenti IPS aggregati nel quarto trimestre del 2021, la firma di Log4Shell è quasi triplicata nel primo trimestre di quest’anno.
Evidenziato come il principale incidente di sicurezza nell’ultimo Internet Security Report di WatchGuard, Log4Shell ha attirato l’attenzione per aver ottenuto un perfetto 10.0 su CVSS, la massima criticità possibile per una vulnerabilità, e per il suo uso diffuso nei programmi Java e il livello di facilità nell’esecuzione di codice arbitrario.
Il tour di ritorno di Emotet continua
Nonostante gli sforzi di interruzione delle forze dell’ordine all’inizio del 2021, Emotet rappresenta tre dei primi 10 rilevamenti e il malware più diffuso in questo trimestre dopo la sua rinascita nel quarto trimestre del 2021.
Rilevamenti di Trojan.Vita – che ha colpito pesantemente anche il Giappone ed è apparso anche nella lista dei primi cinque malware crittografati – e Trojan.Valyria utilizzano entrambi exploit in Microsoft Office per scaricare la botnet Emotet.
Il terzo campione di malware relativo a Emotet, MSIL.Mensa.4, può diffondersi su dispositivi di archiviazione connessi e reti per lo più mirate negli Stati Uniti.
I dati del WatchGuard Threat Lab indicano che Emotet funge da contagocce, scaricando e installando il file da un server di consegna del malware.
Gli script PowerShell guidano l’aumento degli attacchi agli endpoint
I rilevamenti complessivi riferiti agli endpoint per il primo trimestre sono aumentati di circa il 38% rispetto al trimestre precedente. Gli script, in particolare gli script di PowerShell, sono stati il vettore di attacco dominante. Rappresentando l’88% di tutti i rilevamenti, gli script hanno spinto da soli il numero di rilevamenti complessivi degli endpoint oltre la cifra riportata per il trimestre precedente.
Gli script di PowerShell sono stati responsabili del 99,6% dei rilevamenti di script nel primo trimestre, mostrando come gli attaccanti si stiano spostando verso attacchi fileless e living-off-the-land utilizzando strumenti legittimi.
Sebbene questi script siano la scelta ideale per gli attaccanti, i dati di WatchGuard mostrano che altre fonti di origine del malware non dovrebbero essere trascurate.
Operazioni di cryptomining legittime associate ad attività malevole
Tutte e tre le nuove aggiunte all’elenco dei principali domini malware nel primo trimestre sono correlate a Nanopool. Questa popolare piattaforma aggrega l’attività di mining di criptovalute per consentire rendimenti costanti.
Questi domini sono tecnicamente legittimi associati a un’organizzazione legittima. Tuttavia, le connessioni a questi pool di mining hanno quasi sempre origine in una rete aziendale o scolastica a causa di infezioni malware rispetto a operazioni di mining legittime.
Le aziende devono ancora affrontare un’ampia gamma di attacchi di rete unici
Mentre le prime 10 firme IPS hanno rappresentato l’87% di tutti gli attacchi di rete, i rilevamenti unici hanno raggiunto il numero più alto dal primo trimestre del 2019.
Questo aumento indica che gli attacchi automatizzati si stanno concentrando su un sottoinsieme più piccolo di potenziali exploit. Tuttavia, le aziende stanno ancora riscontrando un’ampia gamma di rilevamenti.
L’EMEA continua a essere un hotspot per le minacce malware
I rilevamenti regionali complessivi di malware di base ed evasivo mostrano che le appliance WatchGuard Firebox in Europa, Medio Oriente e Africa (EMEA) sono state colpite più duramente di quelle in Nord, Centro e Sud America (AMER) rispettivamente al 57% e al 22%, seguite dall’area Asia-Pacifico (APAC) al 21%.
I report trimestrali di ricerca di WatchGuard – sottolinea l’azienda – si basano su dati in forma anonima provenienti dai Firebox Feed di appliance WatchGuard attive, i cui proprietari hanno acconsentito alla condivisione dei dati per supportare gli sforzi di ricerca del Threat Lab.
Nel primo trimestre 2022, WatchGuard ha bloccato un totale di oltre 21,5 milioni di varianti malware (274 per dispositivo) e quasi 4,7 milioni di minacce di rete (60 per dispositivo).
Il report completo include dettagli su ulteriori malware e tendenze emerse nel terzo trimestre del 2022, strategie di sicurezza consigliate e suggerimenti di difesa critici per aziende di ogni dimensione e settore.
