WatchGuard Threat Lab, malware evasivo in crescita
Il nuovo report svela il tentativo di trasformare le blockchain in host di contenuti malevoli, l’incremento di info-stealer e botnet, la diffusione di malware evasivi e la crescita degli attacchi di rete nell’area Asia-Pacifico
WatchGuard Technologies ha pubblicato il nuovo Internet Security Report, un’analisi trimestrale che descrive in dettaglio le principali minacce alla sicurezza di rete, endpoint e malware osservate dai ricercatori del WatchGuard Threat Lab nel secondo trimestre del 2024.
Tra le principali scoperte del nuovo report emerge che 7 delle prime 10 minacce malware in termini di volume sono risultate nuove in questo trimestre, il che indica che gli autori delle minacce stanno virando verso queste tecniche. Le nuove minacce principali includono Lumma Stealer, un malware avanzato progettato per rubare dati sensibili da sistemi compromessi; una variante di Mirai Botnet, che infetta i dispositivi intelligenti e consente agli autori delle minacce di trasformarli in bot controllati da remoto; e il malware LokiBot, che prende di mira i dispositivi Windows e Android e mira a rubare informazioni sulle credenziali.
Il Threat Lab ha anche osservato nuovi casi di attori di minacce che impiegano “EtherHiding“, un metodo per incorporare script PowerShell malevoli in blockchain come Binance Smart Contracts. In questi casi, un falso messaggio di errore che rimanda allo script malevolo appare sui siti Web compromessi, spingendo le vittime ad “aggiornare il loro browser”. Il codice malevolo nelle blockchain rappresenta una minaccia a lungo termine, poiché le blockchain non sono destinate a essere modificate e, teoricamente, una blockchain potrebbe diventare un host immutabile di contenuti malevoli.
“Le ultime scoperte del nostro Internet Security Report di Q2 2024 riflettono il modo in cui gli autori delle minacce tendono a cadere in schemi di comportamento, con alcune tecniche di attacco che diventano di tendenza e dominanti a ondate”, ha affermato Corey Nachreiner, chief security officer di WatchGuard Technologies (nella foto in alto).”Le nostre ultime scoperte illustrano anche l’importanza di aggiornare e applicare patch regolarmente a software e sistemi per affrontare le lacune della sicurezza e garantire che gli autori delle minacce non possano sfruttare le vecchie vulnerabilità. L’adozione di un approccio di difesa in profondità, che può essere eseguito in modo efficace da un fornitore di servizi gestiti dedicato, è un passo fondamentale per combattere con successo queste sfide alla sicurezza”.
I rilevamenti di malware sono diminuiti complessivamente del 24%. Questo calo è stato causato da una diminuzione del 35% nei rilevamenti basati sulle firme. Tuttavia, gli autori delle minacce stavano semplicemente spostando l’attenzione su malware più evasivi. Nel secondo trimestre del 2024, il motore comportamentale avanzato del Threat Lab WatchGuard che identifica ransomware, minacce zero-day e minacce malware in evoluzione, ha rilevato un aumento del 168% nei rilevamenti di malware evasivi trimestre su trimestre.
Gli attacchi alla rete sono aumentati del 33% rispetto al primo trimestre del 2024. Tra le regioni, l’area Asia Pacifico ha rappresentato il 56% di tutti i rilevamenti di attacchi alla rete, più del doppio rispetto al trimestre precedente.
Una vulnerabilità NGINX, rilevata originariamente nel 2019, ha rappresentato il principale attacco di rete in termini di volume in Q2 2024, sebbene non fosse comparsa nei primi 50 attacchi di rete del Threat Lab nei trimestri precedenti. La vulnerabilità ha rappresentato il 29% del volume totale di rilevamento degli attacchi di rete, ovvero circa 724.000 rilevamenti negli Stati Uniti, EMEA e APAC.
Il toolkit di hacking Fuzzbunch è emerso come la seconda minaccia malware endpoint più elevata rilevata in termini di volume. Il toolkit, che funge da framework open source che può essere utilizzato per attaccare i sistemi operativi Windows, è stato rubato durante l’attacco di The Shadow Brokers a Equation Group, un contractor della NSA, nel 2016.
Il 74% di tutti gli attacchi malware agli endpoint avviati dal browser hanno preso di mira i browser basati su Chromium, tra cui Google Chrome, Microsoft Edge e Brave.
Una firma che rileva contenuti web malevoli, trojan.html.hidden.1.gen, è risultata la quarta variante di malware più diffusa. La categoria di minacce più comune catturata da questa firma ha riguardato campagne di phishing che raccolgono credenziali dal browser di un utente e inviano queste informazioni a un server controllato dall’attaccante. Curiosamente, il Threat Lab ha osservato un campione di questa firma che prendeva di mira studenti e docenti della Valdosta State University in Georgia.
In linea con l’approccio Unified Security Platform di WatchGuard e con i precedenti aggiornamenti trimestrali della ricerca del WatchGuard Threat Lab, i dati analizzati in questo report trimestrale si basano su intelligence sulle minacce aggregate e anonime provenienti da prodotti di rete ed endpoint WatchGuard attivi i cui proprietari hanno acconsentito alla condivisione dei dati per supportare gli sforzi di ricerca di WatchGuard.