Vulnerabilidade na origem da fuga de dados da Equifax foi o principal ataque de rede no terceiro trimestre

A WatchGuard Technologies, líder global em inteligência e segurança de rede, Wi-Fi seguro e autenticação multi-factor, anuncia a publicação do seu Relatório de Segurança na Internet para o terceiro trimestre de 2019. Num período em que se registaram aumentos significativos nos ataques de malware e de rede, múltiplas vulnerabilidades do Apache Struts – incluindo uma usada na devastadora violação de dados da Equifax – apareceram pela primeira vez na lista das ameaças mais populares no relatório da WatchGuard no terceiro trimestre de 2019.

O documento também destaca um aumento importante em deteções de malware de dia zero, o crescimento no uso de explorações do Microsoft Office e nas ferramentas de teste de penetração legítimas, entre muitos outros.

“A nossa mais recente investigação sobre ameaças mostra a variabilidade e sofisticação da crescente atividade dos cibercriminosos. Além de tirarem partido de ataques conhecidos, estão a lançar também campanhas de malware evasivas e a sequestrar produtos, ferramentas e domínios que usamos todos os dias”, alerta Corey Nachreiner, diretor de tecnologia da WatchGuard Technologies. “À medida que os autores das ameaças continuam a modificar as suas táticas, organizações de todos os tamanhos devem proteger-se, bem como aos seus clientes e parceiros com um conjunto de serviços de segurança por camadas que cubram tudo, do núcleo da rede aos endpoints, passando pelos próprios usuários.

O Relatório de Segurança na Internet da WatchGuard equipa as empresas com os dados, tendências, investigações e conselhos defensivos de que precisam para entenderem melhor o cenário de segurança atual e permanecerem vigilantes e protegidos contra as ameaças emergentes. Aqui estão algumas das principais conclusões do relatório do terceiro trimestre de 2019:

• Novo ataque à rede tem como principal alvo vulnerabilidade usada na violação de dados da Equifax – Estreando-se no top 10 da WatchGuard dos principais ataques de rede, o Apache Struts 2 Remote Code Execution permite aos atacantes instalarem o Python ou realizarem um pedido HTTP para explorar a vulnerabilidade apenas com umas poucas linhas de código e obter, assim, acesso a um sistema. Esta ameaça surge acompanhada por duas vulnerabilidades adicionais do Apache Struts na lista dos 10 principais ataques de rede no terceiro trimestre, com o volume total de ataques de rede a aumentar 8%. As consequências massivas da falha da Equifax mostram a gravidade desta vulnerabilidade e devem servir para relembrar a importância da aplicação rápida de patches para vulnerabilidades conhecidas.
• Atacantes continuam a favorecer os exploits do Microsoft Office – Duas variantes de malware que afetam os produtos do Microsoft Office entraram no top 10 da WatchGuard do principal malware por volume, assim como no ranking dos 10 malwares mais disseminados no passado trimestre. Isto indica que os agentes de ameaças estão a duplicar tanto a frequência com que aproveitam os ataques baseados no Office, como o número de vítimas a quem se dirigem. Ambos os ataques foram realizados sobretudo através de email, o que comprova o motivo pelo qual as organizações devem centrar-se cada vez mais na formação e educação dos utilizadores, no sentido de os ajudar a identificar as tentativas de phishing e outros ataques que tiram partido de ficheiros anexos maliciosos.
• As amostras de malware zero-day disparam para 50%, à medida que crescem as deteções de malware em geral – Depois de se estabilizar nos 38% de todas as deteções de malware nos últimos trimestres, o malware zero-day representou metade de todas as ameaças detetadas no terceiro trimestre de 2019. O volume total de malware detetado aumentou 4% em comparação com o segundo trimestre de 2019, com um aumento massivo de 60% face ao período homólogo de 2018. O facto de metade dos ataques de malware no terceiro trimestre terem sido capazes de eludir as soluções tradicionais baseadas em assinaturas ilustra a necessidade de contar com serviços de segurança em camadas que consigam proteger contra ameaças avançadas e em constante evolução.
• Cibercriminosos aproveitam ferramentas legítimas de pentesting para ataques – Duas novas variantes de malware que incluem ferramentas de testes de penetração de Kali Linux estrearam-se no top 10 do malware por volume no período em análise. O primeiro foi o Boxter, um trojan PowerShell utilizado para descarregar e instalar programas potencialmente não desejados no dispositivo de uma vítima sem o seu consentimento. O segundo foi Hacktool.JQ, que representa a única outra ferramenta de ataque de autenticação para além do Mimikatz (que diminuiu a sua prevalência em 48% face ao segundo trimestre e em 16% face ao período homólogo de 2018). Não é claro se o aumento destas deteções resulta de atividades de pentesting legítimas ou de atacantes maliciosos que aproveitam ferramentas de código aberto facilmente disponíveis. As empresas devem continuar a tirar partido dos serviços antimalware para evitar o roubo de dados.
• Ataques de malware dirigidos à América aumentam drasticamente – Mais de 42% de todos los ataques de malware no terceiro trimestre de 2019 tinham como alvo a América do Norte, Central e do Sul, contra os 27% do segundo trimestre. Isto representa uma mudança geográfica significativa na estratégia dos atacantes, em comparação com o último trimestre, já que a EMEA e a APAC (que estavam empatadas no top regional de malware no segundo trimestre) representaram 30% e 28% de todos os ataques de malware no terceiro trimestre, respetivamente. Embora as motivações específicas não estejam claras, esta tendência indica que os atacantes estão a lançar novas campanhas de malware online dirigidas especificamente aos utilizadores do continente americano.

As conclusões espelhadas neste Relatório de Segurança na Internet da WatchGuard provêm de dados anónimos do Firebox Feed dos dispositivos WatchGuard UTM ativos cujos proprietários acederam a partilhar esses dados para apoiar os esforços de investigação do Threat Lab. Hoje, quase 37.000 dispositivos em todo o mundo contribuem com dados de inteligência de ameaças para este relatório. No terceiro trimestre de 2019, bloquearam mais de 23.000.000 variantes de malware no total (623 amostras por cada uma das Firebox) e quase 2.400.000 ataques de rede (65 por dispositivo).

O relatório completo apresenta as tendências de malware e ataques de rede mais impactantes da indústria, os dados do DNSWatch sobre os domínios maliciosos mais importantes do trimestre associados a malware, websites comprometidos e links de phishing, uma análise à campanha de desencriptação HTTPS do Cazaquistão e as melhores práticas defensivas que as organizações de todos os tamanhos podem utilizar para se proteger neste panorama atual de ameaças.

Análise à campanha de desencriptação HTTPS do Cazaquistão

O relatório da WatchGuard inclui uma análise em profundidade à decisão do Cazaquistão de começar a intercetar e a decifrar todo o tráfego HTTPS dentro das suas fronteiras no terceiro trimestre. O WatchGuard Threat Lab detalha os pormenores da encriptação e desencriptação HTTPS, analisa programas similares lançados por outros países, o papel da encriptação HTTPS na segurança da rede das empresas e as melhores práticas que cada organização deveria adotar com base neste exemplo.