Νέα έρευνα της WatchGuard αποκαλύπτει ότι οι παραδοσιακές λύσεις προστασίας anti-malware χάνουν σχεδόν το 75% των απειλών

Η WatchGuard® Technologies, παγκόσμιος ηγέτης στην ασφάλεια και τη νοημοσύνη του δικτύου, τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), την προηγμένη προστασία τελικού σημείου και το ασφαλές Wi-Fi, δημοσίευσε σήμερα την έκθεσή της Internet Security Report Q1 2021 για το πρώτο τρίμηνο του 2021.

Η WatchGuard® Technologies, παγκόσμιος ηγέτης στην ασφάλεια και τη νοημοσύνη του δικτύου, τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), την προηγμένη προστασία τελικού σημείου και το ασφαλές Wi-Fi, δημοσίευσε σήμερα την έκθεσή της Internet Security Report Q1 2021 για το πρώτο τρίμηνο του 2021. Τα σημαντικά ευρήματα της έρευνας αποκαλύπτουν  ότι το 74% των απειλών που ανιχνεύθηκαν το τελευταίο τρίμηνο ήταν zero–day κακόβουλο λογισμικό ικανό να παρακάμψει τις συμβατικές λύσεις προστασίας από ιούς – ή άλλα κακόβουλα λογισμικά για τα οποία δεν εντοπίστηκε λύση προστασίας από τα signature–based antivirus κατά τη στιγμή της έκδοσής τους. Η έκθεση παρουσιάζει  επίσης νέες πληροφορίες για απειλές σχετικά με την αύξηση των ποσοστών επίθεσης δικτύου, τον τρόπο με τον οποίο οι εισβολείς προσπαθούν να μεταμφιέσουν  και να επαναχρησιμοποιήσουν παλιά τεχνάσματα , τις κορυφαίες επιθέσεις κακόβουλου λογισμικού και πολλά άλλα.

“Το προηγούμενο τρίμηνο σημειώθηκε το υψηλότερο επίπεδο εντοπισμού zero-days κακόβουλου λογισμικού που έχουμε καταγράψει ποτέ. Τα αποτρεπτικά ποσοστά κακόβουλου λογισμικού έχουν στην πραγματικότητα εξαλείψει τις παραδοσιακές απειλές, κάτι που αποτελεί ακόμη ένα σημάδι ότι οι οργανισμοί πρέπει να εξελίσσουν την άμυνα τους για να παραμείνουν ένα βήμα μπροστά από τις όλο και πιο εξελιγμένες απειλές”, δήλωσε ο Corey Nachreiner, επικεφαλής τεχνολογίας της WatchGuard. “Οι παραδοσιακές λύσεις ασφαλείας κατά του κακόβουλου λογισμικού και μόνο, δεν επαρκούν για το σύγχρονο περιβάλλον απειλής. Κάθε οργανισμός χρειάζεται μια πολυεπίπεδη, προληπτική στρατηγική ασφάλειας που περιλαμβάνει μηχανική εκμάθηση και ανάλυση συμπεριφοράς για τον εντοπισμό και τον αποκλεισμό νέων και προηγμένων απειλών”.

Άλλα βασικά ευρήματα από την έκθεση Internet Security Report Q1 2021 της  WatchGuard περιλαμβάνουν:

• Η παραλλαγή του κακόβουλου λογισμικού fileless κυριαρχεί σε δημοτικότητα: Το XML.JSLoader είναι ένα κακόβουλο payload που εμφανίστηκε για πρώτη φορά και στις δύο λίστες ανίχνευσης των κορυφαίων κακόβουλων λογισμικών  της WatchGuard σε όγκο και σε διάδοση. Ήταν επίσης η παραλλαγή που η WatchGuard εντόπισε συχνότερα μέσω επιθεώρησης HTTPS στο πρώτο τρίμηνο . Το δείγμα που προσδιόρισε η  WatchGuard χρησιμοποιεί μια επίθεση εξωτερικής οντότητας XML (XXE) για να ανοίξει ένα κέλυφος προκειμένου  να εκτελέσει εντολές παράκαμψης της τοπικής πολιτικής εκτέλεσης PowerShell, και εκτελείται με μη διαδραστικό τρόπο, κρυμμένο από τον πραγματικό χρήστη ή θύμα. Αυτό είναι ένα άλλο παράδειγμα της αυξανόμενης επικράτησης του κακόβουλου λογισμικού fileless και της ανάγκης για προηγμένες δυνατότητες ανίχνευσης και απόκρισης endpoint.

• Το απλό τέχνασμα μετονομασίας αρχείου βοηθά τους χάκερς να μεταβιβάζουν το ransomware loader ως νόμιμα συνημμένα αρχεία PDF – Το Ransomware loader Zmutzy εμφανίστηκε ως μια από τις δύο κορυφαίες παραλλαγές κακόβουλου λογισμικού κατ ‘όγκο στο πρώτο τρίμηνο. Σχετικά με το Nibiru ransomware, τα θύματα δέχονται αυτήν την απειλή ως συνημμένο αρχείο σε email ή με τη λήψη από κακόβουλο ιστότοπο. Κατεβάζοντας το φάκελο zip λαμβάνεται ένα εκτελέσιμο αρχείο, το οποίο στο θύμα φαίνεται ως νόμιμο PDF. Οι εισβολείς χρησιμοποίησαν κόμμα αντί για τελεία στο όνομα του αρχείου και ένα μη αυτόματα προσαρμοσμένο εικονίδιο για να μετατρέψουν σε PDF το κακόβουλο αρχείο zip. Αυτός ο τύπος επίθεσης υπογραμμίζει τη σημασία της εκπαίδευσης και της κατάρτισης phishing, καθώς και της εφαρμογής εφεδρικών λύσεων σε περίπτωση που μια παραλλαγή σαν αυτή εξαπολύσει μια μόλυνση από ransomware.

• Οι μεταμφιεσμένες απειλές συνεχίζουν να επιτίθενται σε συσκευές IoT – Παρόλο που δεν βρίσκεται στη λίστα των top 10 malware της WatchGuard για το πρώτο τρίμηνο, η παραλλαγή Linux.Ngioweb.B χρησιμοποιήθηκε πρόσφατα από αντιπάλους για τη στόχευση συσκευών IoT. Η πρώτη έκδοση αυτού του δείγματος στόχευσε Linux servers που εκτελούν WordPress, φτάνοντας αρχικά ως ένα αρχείο γλώσσας εκτεταμένης μορφής (EFL). Μια άλλη έκδοση αυτού του κακόβουλου λογισμικού μετατρέπει τις συσκευές IoT σε botnet με περιστρεφόμενους servers εντολών και ελέγχου.

• Οι επιθέσεις στο δίκτυο αυξήθηκαν περισσότερο από 20% – Οι συσκευές της WatchGuard ανίχνευσαν περισσότερες από 4 εκατομμύρια επιθέσεις δικτύου, μια αύξηση που αγγίζει το 21% σε σύγκριση με το προηγούμενο τρίμηνο και τον υψηλότερο όγκο από τις αρχές του 2018. Οι εταιρικοί servers και ο εξοπλισμός εξακολουθούν να αποτελούν στόχο υψηλής αξίας για εισβολείς παρά τη μετάβαση στην εξ αποστάσεως και hybrid εργασία, οπότε οι οργανισμοί πρέπει να διατηρούν την περιμετρική ασφάλεια παράλληλα με λύσεις προστασίας εστιασμένες στο χρήστη.

• Μια παλιά τεχνική directory traversal attack επιστρέφει: Η WatchGuard εντόπισε μια νέα απειλή στο πρώτο τρίμηνο που περιλαμβάνει μια directory traversal attack μέσω αρχείων cabinet (CAB), μια μορφή αρχειοθέτησης σχεδιασμένη από τη Microsoft που προορίζεται για συμπίεση δεδομένων χωρίς απώλειες και ενσωματωμένα ψηφιακά πιστοποιητικά. Μια νέα προσθήκη στη λίστα των κορυφαίων 10 επιθέσεων δικτύου της WatchGuard, που παρακινεί τους χρήστες να ανοίξουν ένα κακόβουλο αρχείο CAB είτε χρησιμοποιώντας συμβατικές τεχνικές, είτε πλαστογραφώντας έναν συνδεδεμένο εκτυπωτή για να ξεγελάσουν τους χρήστες να εγκαταστήσουν ένα πρόγραμμα εγκατάστασης εκτυπωτή μέσω ενός συμβιβασμένου αρχείου CAB.

• Το HAFNIUM zero days προσφέρει μαθήματα τακτικής απειλών και βέλτιστων πρακτικών απόκρισης: Το τελευταίο τρίμηνο, η Microsoft ανέφερε ότι οι χάκερς χρησιμοποίησαν τις τέσσερις ευπάθειες HAFNIUM σε διάφορες εκδόσεις του Exchange Server για να αποκτήσουν πλήρη, μη εξουσιοδοτημένη εκτέλεση απομακρυσμένου κώδικα συστήματος και αυθαίρετη πρόσβαση εγγραφής αρχείων σε οποιονδήποτε μη συνδεδεμένο διακομιστή εκτίθενται στο Διαδίκτυο, όπως είναι οι περισσότεροι διακομιστές email. Η ανάλυση συμβάντων της WatchGuard διερευνά τα τρωτά σημεία και υπογραμμίζει τη σημασία της επιθεώρησης HTTPS, την έγκαιρη επιδιόρθωση και αντικατάσταση παλαιών συστημάτων.

• Οι εισβολείς καταλαμβάνουν νόμιμα domains σε καμπάνιες κρυπτογράφησης: Στο πρώτο τρίμηνο, η υπηρεσία DNSWatch της WatchGuard απέκλεισε αρκετά παραβιασμένα και εντελώς κακόβουλα domains που σχετίζονται με απειλές κρυπτογράφησης. Το κακόβουλο λογισμικό Cryptominer έχει γίνει όλο και πιο δημοφιλές λόγω των πρόσφατων αυξήσεων των τιμών στην αγορά κρυπτονομίσματος και της ευκολίας με την οποία μεταμφιεσμένες απειλές μπορούν να εισπράξουν πόρους από ανυποψίαστα θύματα.

Οι τριμηνιαίες ερευνητικές αναφορές της WatchGuard βασίζονται σε ανώνυμα δεδομένα Firebox Feed από ενεργά WatchGuard Fireboxes των οποίων οι κάτοχοι έχουν συναινέσει να μοιραστούν τα δεδομένα τους για να υποστηρίξουν τις ερευνητικές προσπάθειες του Threat Lab. Στο πρώτο τρίμηνο, η WatchGuard απέκλεισε συνολικά περισσότερες από 17,2 εκατομμύρια παραλλαγές κακόβουλου λογισμικού (461 ανά συσκευή) και σχεδόν 4,2 εκατομμύρια απειλές δικτύου (113 ανά συσκευή). Η πλήρης αναφορά περιλαμβάνει λεπτομέρειες σχετικά με πρόσθετα κακόβουλα προγράμματα και τάσεις δικτύου από το πρώτο τρίμηνο του 2021, μια λεπτομερή ανάλυση για την εκμετάλλευση του HAFNIUM Microsoft Exchange Server, κρίσιμες συμβουλές άμυνας για τους αναγνώστες και πολλά άλλα.