As novas conclusões do Internet Security Report notam uma ascensão do grupo cibercriminoso LAPSUS$, o regresso do botnet Emotet em grande escala, e, ainda, que a Log4Shell está a triplicar os seus esforços de ataque
No primeiro trimestre de 2022, o volume total de ransomware reportado duplicou o total de 2021. As conclusões são do mais recente Internet Security Report trimestral da WatchGuard Technologies, que detalha as principais tendências de malware e ameaças à segurança de rede analisadas pelos investigadores do Laboratório de Ameaças da WatchGuard. As conclusões do Relatório de Segurança da Internet do quarto trimestre de 2021 indicavam que os ataques de ransomware estavam a decrescer nas comparações anuais, tendência que mudou no primeiro trimestre de 2022 com uma explosão massiva das deteções de ransomware. “Com base no pico de ransomware que houve este ano e os dados dos trimestres anteriores, prevemos que 2022 bata o recorde anual de deteções de ransomware”, afirmou Corey Nachreiner, Chief Security Officer na WatchGuard. “Continuamos a apelar às empresas que não só se comprometam com a implementação de medidas simples, mas críticas, mas, também, que adotem uma abordagem de segurança verdadeiramente unificada, que possa rápida e eficientemente adaptar-se a ameaças crescentes e evolutivas”, completa. Noutras conclusões, o relatório indica que a queda do grupo de cibercriminosos REvil abriu a porta ao LAPSUS$. A análise da WatchGuard sugere que o LAPSUS$, juntamente com outras muitas novas variantes de ransomware, como o BlackCat, o primeiro ransomware conhecido escrito na linguagem de programação Rust, pode estar a contribuir para um panorama crescente de ransomware e ciberextorsão. Mais, publicamente anunciada no início de dezembro de 2021, a vulnerabilidade Apache Log4j2, também conhecida como Log4Shell, estreou-se na lista dos dez principais ataques à rede este trimestre. Comparada com as deteções de IPS agregadas no quarto trimestre de 2021, a assinatura Log4Shell quase que triplicou no primeiro trimestre deste ano e atingiu a pontuação 10.0 no CVSS, a criticidade máxima possível para uma vulnerabilidade, devido à sua utilização generalizada em programas Java e o nível de facilidade na execução arbitrária de código. Outros dados indicam que, apesar dos esforços das autoridades no início de 2021, o Emotet ainda é responsável por três das dez principais deteções e pelo malware mais difundido neste trimestre, após o seu ressurgimento no quarto trimestre de 2021. As deteções do Trojan.Vita, que visou fortemente o Japão e também apareceu na lista dos cinco principais malware encriptados, e do Troja.Valyria utilizam, ambas, explorações no Microsoft Office para a transferência do botnet Emotet. A terceira amostra relacionada com o Emotet, o MSIL.Mensa.4, consegue espalhar-se por dispositivos de armazenamento ligados. Os dados do Laboratório de Ameaças indicam que o Emotet age como um ‘dropper’, descarregando e instalando o ficheiro a partir de um servidor de entrega de malware. As deteções globais de endpoint no primeiro trimestre subiram cerca de 38% face ao período homólogo. Os scripts, em particular o script PowerShell, foram o vetor de ataque dominante. Responsáveis por 88% de todas as deteções, os scripts alavancaram por si só o número das deteções globais de endpoint para além do valor reportado no trimestre anterior. Os scripts PowerShell foram responsáveis por 99,6% das deteções de script, revelando como os criminosos se estão a mover para ataques living-off-the-land e fileless utilizando ferramentas legítimas. As três novas adições à lista dos principais domínios de malware estão relacionadas com o Nanopool, popular plataforma que agrega a atividade de mineração de criptomoedas para permitir retornos constantes. Estes domínios são domínios tecnicamente legítimos associados a uma organização legítima. No entanto, as ligações a estes agrupamentos de mineração têm quase sempre origem numa rede empresarial ou educativa a partir de infeções por malware versus operações de mineração legítimas. Enquanto as principais dez assinaturas de IPS foram responsáveis por 87% de todos os ataques de rede, as deteções únicas atingiram o seu maior número desde o primeiro trimestre de 2019. Este aumento indica que os ataques automatizados estão a concentrar-se num subconjunto mais pequeno de potenciais explorações. No entanto, as empresas ainda estão a experienciar uma vasta gama de deteções. Adicionalmente, as deteções regionais globais de malware básico e evasivo mostram que as Firebox na Europa, Médio Oriente e África (EMEA) foram mais atacadas dos que os dispositivos na América do Norte, Central e Sul (AMER), com 57% e 22%, respetivamente, seguidas pela Ásia-Pacífico (APAC), com 21%. |