Dois terços do malware estão criptografados e invisíveis sem a inspeção HTTPS, alerta estudo

A inteligência de ameaças da WatchGuard, responsável pelo Relatório de Segurança da Internet para o primeiro trimestre de 2020, lançado na última quarta-feira (24), mostra que 67% de todos os malwares, no período, foram entregues via HTTPS. Segundo os especialistas, isso indica que as organizações sem soluções de segurança capazes de inspecionar o tráfego criptografado perderão dois terços das ameaças recebidas.

Além disso, 72% do malware criptografado foi classificado como “dia zero” (o que significa que não existe assinatura antivírus para ele e evita as proteções baseadas em assinatura). Essas descobertas mostram que a inspeção HTTPS e soluções avançadas de detecção e resposta a ameaças baseadas em comportamento são agora requisitos para todas as organizações preocupadas com a segurança, afirma o relatório.

“Algumas organizações relutam em configurar a inspeção HTTPS devido ao trabalho extra envolvido, mas nossos dados de ameaças mostram claramente que a maioria dos malwares é entregue através de conexões criptografadas e que deixar o tráfego sem inspeção não é mais uma opção”, disse Corey Nachreiner, Diretor de Tecnologia da WatchGuard. “À medida que o malware continua se tornando mais avançado e evasivo, a única abordagem confiável para a defesa é a implementação de um conjunto de serviços de segurança em camadas, incluindo métodos avançados de detecção de ameaças e inspeção HTTPS”, complementa.

O relatório prepara as empresas de médio porte, os provedores de serviços que os apoiam e os usuários finais que trabalham para eles com dados sobre as tendências, pesquisas e melhores práticas necessárias para se defender contra as ameaças à segurança modernas.

As descobertas são extraídas de dados anônimos do Firebox Feed de dispositivos WatchGuard ativos cujos proprietários optaram por compartilhar dados para apoiar os esforços de pesquisa do Threat Lab. Hoje, mais de 44.000 dispositivos em todo o mundo contribuem com dados de inteligência de ameaças para o relatório. No primeiro trimestre de 2020, eles bloquearam mais de 32.148.519 variantes de malware no total (730 amostras por dispositivo) e mais de 1.660.000 ataques à rede (38 ataques por dispositivo).

Aqui estão as principais conclusões do relatório do primeiro trimestre de 2020:

Os cryptominers Monero aumentam em popularidade. Cinco dos dez principais domínios que distribuem malware no primeiro trimestre (identificados pelo DNSWatch do serviço de filtragem de DNS da WatchGuard) hospedam ou controlam criptografadores Monero. Esse salto repentino na popularidade dos criptomineradores pode ser simplesmente devido à sua utilidade; adicionar um módulo de criptografia ao malware é uma maneira fácil para criminosos on-line gerar renda passiva.

As variantes de malware Flawed-Ammyy e Cryxos entram nas listas principais. O cavalo de Troia Cryxos ficou em terceiro na lista dos cinco principais malwares criptografados do WatchGuard e também em terceiro na lista dos cinco mais detectados, com foco principalmente em Hong Kong. Ele é entregue como um anexo de e-mail disfarçado de fatura e solicitará ao usuário que digite seu e-mail e senha, que serão armazenados. Flawed-Ammyy é um golpe de suporte em que o invasor usa o software de suporte Ammyy Admin para obter acesso remoto ao computador da vítima.

A vulnerabilidade da Adobe de três anos aparece nos principais ataques de rede. Uma exploração do Adobe Acrobat Reader que foi corrigida em agosto de 2017 apareceu na primeira lista de ataques à rede do WatchGuard pela primeira vez no primeiro trimestre. Essa vulnerabilidade ressurgiu vários anos após ser descoberta e resolvida, ilustra a importância de aplicar patches e atualizar sistemas regularmente.

Mapp Engage, AT&T e Bet365 segmentados com campanhas de spear phishing. Três novos domínios que hospedam campanhas de phishing apareceram na lista dos dez melhores da WatchGuard no primeiro trimestre de 2020. Eles representaram o produto de marketing digital e analytics Mapp Engage, a plataforma de apostas on-line Bet365 (esta campanha era em chinês) e uma página de login da AT&T (esta campanha não está mais ativa no momento da publicação do relatório).

Ocorrências de malware e ataques de rede diminuem. No geral, houve 6,9% menos ocorrências de malware e 11,6% menos ataques à rede no primeiro trimestre, apesar de um aumento de 9% no número de Fireboxes que contribuem com dados. Isso pode ser atribuído a menos alvos em potencial operando no perímetro da rede tradicional, com políticas mundiais de trabalho em casa com força total durante a pandemia da Covid-19.

Grã-Bretanha e Alemanha são fortemente alvo de ameaças de malware generalizadas. A lista de malware mais disseminada da WatchGuard mostrou que a Alemanha e a Grã-Bretanha eram os principais alvos de quase todos os malwares mais prevalentes no primeiro trimestre.