Threats

Maioria das ameaças escapam às soluções tradicionais de antimalware

Um relatório da WatchGuard destaca volumes recordes de malware de dia zero e cada vez mais ataques às redes e indica, ainda, que 74% das ameaças estão a escapar às soluções tradicionais antimalware

05/07/2021

Maioria das ameaças escapam às soluções tradicionais de antimalware

A WatchGuard divulgou o seu Internet Security Report do primeiro trimestre deste ano. Entre as principais conclusões do relatório, destaque para o facto de 74% das ameaças detetadas no último trimestre serem malware de dia zero, que as soluções antivírus baseadas em assinaturas não foram capazes de “apanhar” no momento do lançamento do malware, contornando assim as soluções antivírus convencionais. 

O relatório também inclui importantes informações e dados de inteligência acerca do aumento no número de ataques de rede, bem como a forma como os invasores estão a tentar disfarçar e redirecionar exploits antigos.

No último trimestre observámos o nível mais elevado de deteções de malware de dia zero alguma vez registado. Aliás, as taxas de malware evasivo eclipsaram as das ameaças tradicionais, o que é mais um sinal de que as organizações precisam de evoluir as suas defesas para estar um passo à frente de agentes de ameaças cada vez mais sofisticados”, sublinha Corey Nachreiner, diretor de segurança da WatchGuard. “As soluções antimalware tradicionais por si só são insuficientes para o atual panorama das ameaças. As empresas precisam de uma estratégia de segurança pró-ativa por camadas que envolva machine learning e análise comportamental para detetar e bloquear ameaças novas e avançadas”.

Algumas das conclusões do relatório Internet Security Report do primeiro trimestre de 2021 da WatchGuard incluem:

  • Malware sem ficheiros explode em popularidade – O XML.JSLoader é uma carga maliciosa que apareceu pela primeira vez no top do principal malwar detetado pela WatchGuard, quer por volume, quer por nível de disseminação. Foi também a variante que a WatchGuard detetou com mais frequência através de inspeção HTTPS no primeiro trimestre. A amostra identificada pela WatchGuard usa um ataque de entidade externa XML (XXE) para executar comandos que permitem contornar as políticas de execução do PowerShell local e é executado de forma não interativa, oculto do utilizador ou vítima real. Este é outro exemplo da prevalência crescente de malware sem ficheiros e da necessidade de capacidades avançadas de deteção e resposta em endpoints.
  • Um truque simples com o nome do ficheiro permite aos hackers distribuir carregadores de ransomware como anexos legítimos de PDF - O carregador ou loader de ransomware Zmutzy apareceu como uma das duas principais variantes de malware encriptado no primeiro trimestre. Associado especificamente ao ransomware Nibiru, as vítimas encontram esta ameaça como um ficheiro anexo comprimido num e-mail ou através de download de um site malicioso. A execução do ficheiro zip transfere um executável, que para a vítima parece ser um PDF legítimo. Os invasores usaram uma vírgula em vez de um ponto no nome do arquivo e um ícone ajustado manualmente para fazer passar o ficheiro zip malicioso como um PDF. Este tipo de ataque destaca a importância da educação e formação sobre phishing, bem como da implementação de soluções de backup no caso de uma variante como esta desencadear uma infeção de ransomware.
  • Continuam os ataques a dispositivos IoT - Embora não tenha feito parte da lista dos 10 principais malwares da WatchGuard no primeiro trimestre, a variante Linux.Ngioweb.B foi usada por cibercriminosos recentemente para visar os dispositivos IoT. A primeira versão desta amostra tinha como alvo servidores Linux que executam WordPress, chegando inicialmente como um ficheiro de linguagem de formato ampliado (EFL). Outra versão desse malware transforma os dispositivos IoT em botnets com comando rotativo e servidores de controlo.
  • Ataques de rede aumentam mais de 20% - As appliances da WatchGuard detetaram mais de 4 milhões de ataques de rede, um aumento de 21% em comparação com o trimestre anterior e o maior volume desde o início de 2018. Servidores empresariais e ativos locais ainda são alvos de elevado valor para os atacantes. Apesar da mudança para modelos de trabalho remoto e híbridos, as organizações devem manter a segurança do perímetro de rede a todo o custo, bem como a proteção dos endpoints dos seus utilizadores.
  • Antiga técnica de ataque de travessia de diretório está de regresso - A WatchGuard detetou uma nova assinatura de ameaça no primeiro trimestre que envolve um ataque de travessia de diretório através de ficheiros CAB, um formato criado pela Microsoft para compactação de dados sem perdas e certificados digitais incorporados. Uma nova adição à lista dos 10 principais ataques de rede da WatchGuard, este exploit engana os utilizadores levando-os a abrir um ficheiro CAB malicioso usando técnicas convencionais, ou falsificando uma impressora ligada à rede para levar os utilizadores a instalar um driver de impressora através de um ficheiro CAB comprometido.
  • O ataque de dia zero HAFNIUM dá lição sobre táticas de ameaças e melhores práticas de resposta - No último trimestre, a Microsoft reportou que os cibercriminosos usaram as quatro vulnerabilidades HAFNIUM em várias versões do Exchange Server para obter a execução remota completa do código de sistema não autenticado e privilégios de acesso de escrita em qualquer servidor sem patches aplicados, como é o caso da maioria dos servidores de e-mail. A análise de incidentes da WatchGuard estuda as vulnerabilidades e destaca a importância da inspeção HTTPS, aplicação de patches e substituição de sistemas legados.
  • Hackers associam-se a domínios legítimos em campanhas de criptomineração - No primeiro trimestre, o serviço DNSWatch da WatchGuard bloqueou vários domínios comprometidos e totalmente mal-intencionados associados a ameaças de criptomineração. O malware Cryptominer tornou-se cada vez mais popular devido aos recentes picos de preços no mercado das criptomoedas e à facilidade com que os agentes de ameaças podem desviar recursos de vítimas inocentes.

NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº17 Abril 2024

IT SECURITY Nº17 Abril 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.