WatchGuard revela aumento de atores de ameaças explorando software de acesso remoto

Descobertas também mostram um aumento de 89% nos ataques de ransomware em endpoints e um declínio na chegada de malware através de conexões criptografadas

Salvador, 12/12/2023 – A WatchGuard Technologies, líder global em segurança cibernética unificada, anuncia as descobertas do seu mais recente Internet Security Report, detalhando as principais tendências de malware e ameaças à segurança de redes e endpoints analisadas pelos pesquisadores do WatchGuard Threat Lab. As principais conclusões dos dados mostram casos crescentes de abuso de software de acesso remoto, o aumento de adversários cibernéticos que usam ladrões de senhas e ladrões de informações para roubar credenciais valiosas, e os agentes de ameaças estão mudando da utilização de scripts para o emprego de outras técnicas de vida fora da terra. para iniciar um ataque ao endpoint.

“Os agentes de ameaças continuam a utilizar diferentes ferramentas e métodos em suas campanhas de ataque, tornando crucial para as organizações acompanhar as últimas táticas para fortalecer sua estratégia de segurança”, disse Corey Nachreiner, diretor de segurança da WatchGuard. “Plataformas de segurança modernas que incluem firewalls e software de proteção de endpoint podem oferecer proteção aprimorada para redes e dispositivos. No entanto, quando se trata de ataques que utilizam táticas de engenharia social, o usuário final se torna a última linha de defesa entre os atores maliciosos e seu sucesso na infiltração de uma organização. É importante que as organizações forneçam educação em engenharia social e adotem uma abordagem de segurança unificada que ofereça camadas de defesa, as quais podem ser administradas efetivamente por provedores de serviços gerenciados.”

Entre as principais conclusões, o último Internet Security Report com dados do terceiro trimestre de 2023 mostrou:

•  Atores de ameaças estão cada vez mais utilizando ferramentas de gerenciamento remoto e software para evitar detecção por anti-malware, uma situação reconhecida tanto pelo FBI quanto pela CISA. Por exemplo, ao pesquisar os principais domínios de phishing, o Threat Lab observou um golpe de suporte técnico no qual a vítima acabaria baixando uma versão não autorizada e pré-configurada do TeamViewer, o que permitiria ao atacante ter acesso remoto total ao computador da vítima.

•  Variante do ransomware Medusa aumenta no terceiro trimestre, impulsionando o aumento de 89% nos ataques de ransomware em endpoints. À primeira vista, as detecções de ransomware em endpoints pareciam estar em queda no terceiro trimestre. No entanto, a variante do ransomware Medusa, que surgiu entre as 10 principais ameaças de malware pela primeira vez, foi detectada com uma assinatura genérica do motor de assinaturas automatizado do Threat Lab. Ao levar em consideração as detecções do Medusa, os ataques de ransomware aumentaram 89% em relação ao trimestre anterior.

•  Os atores de ameaças estão mudando de ataques baseados em scripts e estão cada vez mais utilizando outras técnicas “living-off-the-land”. Os scripts maliciosos diminuíram como vetor de ataque em 11% no terceiro trimestre, após uma queda de 41% no segundo trimestre. No entanto, os ataques baseados em scripts ainda permanecem como o maior vetor de ataque, representando 56% do total de ataques, e linguagens de script como o PowerShell são frequentemente utilizadas em ataques “living-off-the-land”. Alternativamente, os binários do Windows associados a técnicas “living-off-the-land” aumentaram 32%. Essas descobertas indicam aos pesquisadores do Threat Lab que os atores de ameaças continuam a empregar diversas técnicas “living-off-the-land”, provavelmente em resposta a proteções mais rigorosas em torno do PowerShell e de outros scripts. Os ataques “living-off-the-land” constituem a maioria dos ataques em endpoints.

•  A chegada de malware por meio de conexões criptografadas diminuiu para 48%, o que significa que um pouco menos da metade de todo o malware detectado veio por meio de tráfego criptografado. Esse número é significativo porque representa uma redução considerável em relação aos trimestres anteriores. No geral, as detecções totais de malware aumentaram em 14%.

•  Uma família de distribuidores baseada em e-mails, que entrega cargas maliciosas, compôs quatro das cinco principais detecções de malware criptografado no terceiro trimestre. Todas, exceto uma das variantes nas cinco principais detecções continham a família de distribuidores chamada Stacked, que chega como um anexo em uma tentativa de spear phishing por e-mail. Os atores de ameaças enviam e-mails com anexos maliciosos que aparentam ser provenientes de um remetente conhecido e afirmam incluir uma fatura ou documento importante para revisão, com o objetivo de enganar os usuários finais para baixar malware. Duas das variantes do Stacked – Stacked.1.12 e Stacked.1.7 – também apareceram nas dez principais detecções de malware.

•  Malware commoditizado surge. Entre as principais ameaças de malware, uma nova família de malware, Lazy.360502, entrou na lista dos dez melhores. Ela entrega a variante de adware 2345explorer, bem como o rouba-senhas Vidar. Essa ameaça de malware está conectada a um site chinês que fornecia um rouba-credenciais e parecia operar como um “rouba-senhas como serviço”, onde os atores de ameaças podiam pagar por credenciais roubadas, ilustrando como o malware commoditizado está sendo utilizado.

•  Os ataques de rede aumentaram 16% no terceiro trimestre. O ProxyLogon foi a principal vulnerabilidade alvo em ataques de rede, representando 10% de todas as detecções de rede no total.

•  Três novas assinaturas surgiram nas 50 principais ataques de rede. Isso incluiu uma vulnerabilidade no PHP Common Gateway Interface do Apache de 2012 que resultaria em um estouro de buffer. Outra era uma vulnerabilidade no Microsoft .NET Framework 2.0 de 2016 que poderia resultar em um ataque de negação de serviço. Houve também uma vulnerabilidade de injeção SQL no Drupal, o sistema de gerenciamento de conteúdo de código aberto, de 2014. Essa vulnerabilidade permitia que os atacantes explorassem o Drupal remotamente sem a necessidade de autenticação.

Consistente com a abordagem da Unified Security Platform® da WatchGuard e as atualizações trimestrais de pesquisa anteriores do WatchGuard Threat Lab, os dados analisados neste relatório trimestral são baseados em inteligência de ameaças anonimizadas e agregadas de produtos ativos da WatchGuard para rede e endpoint, cujos proprietários optaram por compartilhar em apoio direto aos esforços de pesquisa da WatchGuard.

Para uma visão mais aprofundada da pesquisa da WatchGuard, leia o Internet Security Report.

Últimas notícias

Vagas de TI
Com salários de até R$ 16 mil, CloudWalk abre mais de 30 vagas para PCD nas áreas de Tecnologia, Marketing e IA

Salvador, 02/05/2024 – A CloudWalk, dona da plataforma de serviços financeiros InfinitePay, está com mais de 30 vagas abertas para pessoas com deficiência. São diversas posições nas áreas de tecnologia, marketing, pagamentos e suporte, focadas exclusivamente no público PCD. A expectativa é que esses profissionais apresentem conhecimento nos campos de engenharia de dados, desenvolvimento de […]
Educação
Baianos podem concorrer a 60 mil bolsas para curso de tecnologia

Salvador, 02/05/2024 – O Santander Universidades está com inscrições abertas para a 5ª edição do Santander Coders. Em parceria com a Ada Tech, plataforma de educação impulsionada por tecnologia, o Banco vai conceder 60 mil bolsas para um curso digital introdutório para Front-end, Data Engineering, Data Science ou DevOps. Os 300 bolsistas que obtiverem melhor […]
Dança da Cadeiras
Heverton Barbosa Cruz é o novo CEO da Cogra Distribuidora

Salvador, 02/05/2024 – Com mais de 12 anos de atuação no mercado de outsourcing, Heverton Barbosa Cruz assume como novo CEO da Cogra, distribuidora líder no segmento de equipamentos de impressão gerenciada em território nacional. O executivo assume com a missão de dobrar o tamanho da empresa até 2026 e os principais desafios nesta trajetória […]
Guia de Produtos
4 métodos para otimizar espaço em disco no seu MacBook

Salvador, 02/05/2024 – O MacBook é um computador portátil que permite grandes trabalhos e tem muita durabilidade. É importante considerar que com a acumulação dos anos e dos trabalhos que faz em seu MacBook, é provavelmente comum alguns MacBooks estarem com espaço em disco muito utilizado e isso faz com que os serviços que disponibiliza […]
Mídia
Guia TI Bahia é a única mídia que indica negócios para os seus parceiros

Salvador, 02/05/2024 – No Instagram, a concorrência é realmente acirrada, e muitas empresas buscam se destacar nessa plataforma. No entanto, é importante considerar outras estratégias além das redes sociais para promover o seu negócio. O Guia TI Bahia é uma excelente opção para empresas de tecnologia que desejam ampliar sua visibilidade. Com 16 anos de […]

Menu