5 descobertas sobre cibersegurança da WatchGuard

A WatchGuard Technologies, empresa de soluções de segurança, publicou o seu mais recente relatório de segurança – Internet Security Report. A inteligência de ameaças do primeiro trimestre de 2018 revelou que 98,8% das variantes de malware aparentemente comuns do Linux/Downloader foram, na verdade, projetadas para entregar um popular minerador de criptomoedas baseado em Linux.

Esse é apenas um dos diversos sinais que o malware malicioso de mineração de criptografia está se tornando uma das principais táticas entre os criminosos cibernéticos. O relatório completo detalha os mecanismos de distribuição para esses ataques, e explora outras ameaças predominantes de segurança que visam pequenos e médios negócios (SMBs) e empresas distribuídas.

As descobertas da empresa são baseadas em dados milhares de dispositivos Firebox UTM ativos em todo o mundo. Os principais tópicos do relatório incluem:

1. Mineradores de criptomoedas estão em alta

Vários mineradores de criptomoeda apareceram pela primeira vez na lista da WatchGuard das 25 principais variantes de malware. Os appliances Firebox têm uma regra chamada Linux/Downloader, que captura vários programas “dropper” e “downloader” de Linux que fazem o download e executam malware.

Geralmente, esses droppers baixam uma ampla variedade de malwares, mas no Q1 de 2018, 98.8% deles estavam tentando fazer o download do mesmo minerador de criptografia baseado em Linux. As evidências do segundo trimestre até agora indicam que o malware de mineração de criptografia permanecerá na lista dos 25 principais da WatchGuard e pode até chegar ao top 10 até o final do trimestre.

2. Trojan Ramnit retorna à Itália

A única amostra de malware na lista do Top 10 da WatchGuard que não apareceu em um relatório anterior foi o Ramnit, um trojan que surgiu pela primeira vez em 2010 e reapareceu brevemente em 2016. Quase todas (98,9%) as detecções do Ramnit pela WatchGuard vieram da Itália, indicando uma campanha de ataque direcionado.

Como as versões anteriores do Ramnit tinham como alvo credenciais bancárias, a WatchGuard aconselha os italianos a tomarem precauções extras com suas informações bancárias e permitir a autenticação multifator para quaisquer contas financeiras.

3. Pela primeira vez, APAC relata maior volume de malware

Em relatórios anteriores, a APAC ficou atrás da EMEA e da AMER no número de acessos de malware reportados por uma ampla margem. No Q1 de 2018, a APAC recebeu o maior número de malware em geral. A grande maioria desses ataques foram malwares baseados em Windows e 98% foram destinados à Índia e a Cingapura.

4. Quase metade de todo o malware escapa das soluções básicas de antivírus (AV)

​​ Os appliances UTM da WatchGuard bloqueiam o malware usando técnicas de detecção baseadas em assinaturas legadas e uma solução de detecção comportamental proativa e moderna – APT Blocker. Quando o APT Blocker captura uma variante de malware, isso significa que as assinaturas AV legadas deixaram ela escapar.

Esse malware de dia zero (termo usado para o malware que é capaz de evitar os AVs tradicionais baseados em assinatura) foi responsável por 46% de todo o malware no primeiro trimestre. Este nível de malware de dia zero sugere que os criminosos continuam a usar técnicas de ofuscação para superar os serviços de AVs tradicionais, enfatizando a importância das defesas baseadas em comportamento.

5. Mimikatz visa os Estados Unidos

O malware de roubo de credenciais, Mimikatz Windows, reapareceu na lista da WatchGuard dos 10 principais malware após vários trimestres de ausência. Dois terços da detecção desse malware ocorreu nos Estados Unidos e menos de 0,1% das detecções foram na APAC, possivelmente devido à complexidade dos caracteres de dois bytes em países como o Japão que usam uma linguagem baseada em símbolos para senhas.