Larga maioria do malware disseminado através de ligações encriptadas

A WatchGuard divulgou o seu Internet Security Report relativo segundo trimestre deste ano. Entre as principais conclusões do relatório, a WatchGuard destaca o facto de 91,5% do malware do segundo trimestre ter sido disseminado através de ligações HTTPS encriptadas. O relatório também destaca volumes recordes de malware fileless, bem como taxas crescentes de ataques de rede e de ransomware.

“Com grande parte do mundo ainda a funcionar num modelo de força de trabalho móvel ou híbrido, o perímetro tradicional da rede nem sempre tem em conta a cibersegurança”, afirma Corey Nachreiner, chefe de segurança da WatchGuard, em comunicado. “Embora a proteção do perímetro seja ainda uma parte importante de uma abordagem de segurança em camadas, uma forte proteção de endpoints (EPP) e deteção e resposta (EDR) é cada vez mais essencial”.

De acordo com a WatchGuard, no segundo trimestre, 91.5% do malware circulou através de ligações encriptadas, o que representa um crescimento significativo face ao trimestre anterior. Ou seja, dito de maneira simplificada, as empresas que não estão a verificar cuidadosamente tráfego HTTPS no seu perímetro, acabam por perder 9/10 de todo o malware.

Outro destaque é que o AMSI.Disable.A apareceu pela primeira vez no topo da lista de malware da WatchGuard no Q1. No último trimestre, os ataques deste malware dispararam, com o AMSI.Disable.A a figurar no segundo lugar em termos globais de volume e na primeira posição no que respeita as ameaças encriptadas. Este malware usa ferramentas PowerShell para explorar as diversas vulnerabilidades do Windows. Mas o que o torna especialmente interessante é a sua técnica evasiva. A WatchGuard descobriu que o AMSI.Disable.A possui um código capaz de desativar o Antimalware Scan Interface (AMSI) do PowerShell, permitindo-lhe contornar as verificações dos scripts de segurança sem que a sua carga de malware seja detetada.

Só nos primeiros seis meses de 2021, a deteção de malware proveniente de motores de script, como o PowerShell, já atingiu 80% do volume total de ataques do mesmo tipo registados no ano passado, o que só por si já tinha representando um incremento substancial face ao ano anterior. Ao ritmo que estamos a assistir em 2021, a deteção de malware fileless deverá duplicar face ao verificado em 2020.

Os equipamentos da WatchGuard registaram um aumento substancial dos ataques a redes, que subiram 22% face ao trimestre anterior e atingiram o volume mais elevado desde o início de 2018. No Q1, foram contabilizados perto de 4,1 milhões de ataques a redes. No trimestre que se seguiu, esse número cresceu mais um milhão, revelando um percurso agressivo que realça a importância crescente em manter a segurança do perímetro, em paralelo com as proteções centradas no utilizador.

A trajetória descendente de deteções de ransomware em endpoints verificada entre 2018 e 2020 foi interrompida no primeiro semestre deste ano, com o volume de deteções nestes seis meses perto do registado em todo o ano de 2020. Se as deteções diárias de ransomware permanecerem estáveis o resto do ano, no final de 2021 teremos um aumento de 150% face a 2020.

Ao contrário das habituais uma ou duas assinaturas novas verificadas em relatórios trimestrais anteriores, houve quatro novos registos no top 10 dos ataques à rede da WatchGuard no Q2. De notar que o mais recente foi uma vulnerabilidade de 2020 na popular linguagem PHP, mas os outros três não são de todo novos. Incluem uma vulnerabilidade no servidor 20ll Oracle GlassFish, uma falha de injeção de SQL 2013 na aplicação de registos médicos OpenMER e uma vulnerabilidade de 2017 na execução de código remoto (RCE, na sigla original) no Microsoft Edge. Embora datadas, todas continuam a representar riscos se não forem corrigidas.

O Q2 registou uma nova entrada na lista dos dez  ataques à rede mais extensos, que fez a sua estreia mesmo no topo. A assinatura, 1133630, é a vulnerabilidade RCE 2017 acima mencionada que afeta os browsers Microsoft. Apesar de ser uma falha antiga e corrigida na maioria dos sistemas (assim esperamos), quem ainda não corrigiu vai acordar para o problema da pior forma se o criminoso atacar antes de o fazer. Aliás, uma falha de segurança RCE muito semelhante e de alta severidade, rastreada como CVE-2021-40444, foi notícia no início do mês quando foi ativamente explorada em ataques contra o Microsoft Office e o Office 365 nos computadores com Windows 10. As ameaças com base no Office continuam a ser populares no que respeita a malware, razão pela qual continuamos a assistir a estes ataques já testados e que se sabe serem eficazes. Felizmente, ainda são detetados por defesas IPS igualmente testadas e eficazes.