WatchGuard Technologies, fornitore globale di soluzioni di intelligence e sicurezza delle reti, Wi-Fi sicuro e autenticazione multi-fattore (MFA), ha rilasciato il suo Internet Security Report relativo al secondo trimestre del 2019.
Per la prima volta, il report rivela e classifica i domini più comuni che gli attaccanti usano per ospitare malware e lanciare attacchi phishing – inclusi numerosi sottodomini di siti legittimi e di Content Delivery Networks (CDNs) come CloudFlare.net, SharePoint e Amazonaws.com. Dal report emerge anche che i moduli del noto strumento Kali Linux per eseguire penetration test sono entrati per la prima volta nella top ten dei malware, che il volume di malware è cresciuto anno su anno del 64%, e molto altro ancora.
“Questa edizione dell’Internet Security Report illustra nel dettaglio i modi utilizzati dagli hackers per inserire malware o email di phishing nelle reti nascondendoli in domini di content hosting legittimi”, ha dichiarato Corey Nachreiner, chief technology officer di WatchGuard Technologies. “Fortunatamente ci sono molti modi per difendersi da tutto ciò, tra cui il filtraggio a livello DNS per bloccare le connessioni verso siti malevoli noti, servizi anti-malware avanzati, autenticazione multi-fattore per prevenire attacchi che sfruttano credenziali compromesse, e formazione per aiutare i dipendenti a riconoscere email di phishing. Nessuna difesa riuscirà a prevenire ogni attacco, quindi il modo migliore per le organizzazioni per proteggere se stesse è affidarsi a una piattaforma di sicurezza unificata che offra molteplici servizi di sicurezza a livelli.”
L’Internet Security Report di WatchGuard fornisce dati dal mondo reale sulle principali minacce alla sicurezza, così come analisi dettagliate dei principali incidenti di sicurezza e le migliori pratiche per aiutare le organizzazioni di ogni dimensione a proteggere le loro attività e i dati dei loro clienti.
Di seguito alcuni dei risultati chiave del report relativo a Q2 2019:
• Malware e attacchi phishing sfruttano domini legittimi – Il servizio DNSWatch di WatchGuard intercetta le connessioni dirette verso domini malevoli noti a livello DNS e li reindirizza. Tenendo traccia dei più comuni domini malevoli bloccati da DNSWatch, WatchGuard può identificare i domini top che ospitano malware e attacchi phishing. Da segnalare che molti di questi domini sono sottodomini di CDN legittimi come CloudFront.net (che appartiene a Amazon) e siti legittimi di file sharing come my[.]mixtape[.]moe. Sebbene questo metodo di attacco non sia nuovo, la ricerca di WatchGuard fa chiarezza sui domini specifici usati in questi attacchi.
• Kali Linux fa il suo debutto nella lista dei top ten malware – Per la prima volta in assoluto, due moduli del noto sistema operativo di hacking Kali Linux compare nella lista di WatchGuard dei più comuni malware. Trojan.GenericKD, una famiglia di malware che crea una backdoor su un server command-and-control, e Backdoor.Small.DT, uno script della shell usato per creare backdoors su web server, occupano il sesto e settimo posto nella lista. Ciò potrebbe indicare sia un crescente utilizzo da parte di attori malintenzionati o una maggiore attività di penetration testing da parte di white hat hackers che usano Kali Linux.
• Significativo aumento anno su anno del volume complessivo di malware – Il volume totale di malware che hanno colpito le appliance Fireboxes di WatchGuard si è alzato in modo significativo rispetto allo scorso anno. Due dei tre servizi WatchGuard per la rilevazione malware hanno visto un aumento del malware in Q2 2019 rispetto a Q2 2018: uno ha bloccato il 58% di malware in più e l’altro il 68% in più, per una crescita complessiva anno su anno del 64%.
• Aumento di phishing diffuso e di exploit Office – Due pezzi di malware (un attacco phishing che minaccia le vittime di rilasciare informazioni false compromettenti, e un exploit Microsoft Office) che sono apparsi nella lista dei malware più diffusi in Q1 2019 e Q4 2018 sono entrati nella top ten per volume. Ciò dimostra che queste campagne sono in crescita e che stanno inviando un elevato volume di attacchi a una vasta gamma di obiettivi. Gli utenti dovrebbero aggiornare Office regolarmente e investire in soluzioni anti-phishing e di DNS filtering.
• SQL injection domina gli attacchi di rete – Attacchi SQL injection hanno rappresentato il 34% di tutti gli attacchi di rete rilevati in Q2 2019 e sono aumentati in modo significativo in volume anno su anno (un attacco specifico è cresciuto del 29,000% da Q2 2018 a Q2 2019). Chiunque mantenga un database SQL, o un web server con accesso a un database SQL, dovrebbe applicare patch ai sistemi regolarmente e investire in un firewall per le applicazioni web.
• Il malware colpisce sempre di più Europa e APAC – In Q2 2019, quasi il 37% del malware ha colpito la regione EMEA, con molti attacchi che si sono focalizzati su UK, Italia, Germania, e Mauritius. L’APAC segue subito dopo, con il 36% di tutti gli attacchi malware. Le varianti malware Razy e Trojan.Phishing.MH in particolare hanno colpito principalmente la regione APAC, con l’11% delle rilevazioni di Trojan.Phishing.MH riscontrate in Giappone.
L’Internet Security Report di WatchGuard è basato sui dati in forma anonima provenienti dai Firebox Feed di un sottoinsieme di appliance WatchGuard UTM attive i cui proprietari hanno acconsentito alla condivisione dei dati per supportare gli sforzi di ricerca del Threat Lab di WatchGuard. Oggi, 41.229 appliance in tutto il mondo contribuiscono al pool di dati dell’Internet Security Report. In totale, queste appliance hanno bloccato più di 22.619.836 varianti di malware, ad una velocità di 549 sample bloccati per dispositivo. Inoltre, queste appliance Firebox hanno impedito 2.265.425 attacchi di rete (60 per dispositivo), un aumento significativo rispetto a Q1 2019 che contrasta con le tendenze passate nel volume di attacchi di rete.
Il report completo include statistiche più dettagliate sul malware che ha avuto maggiore impatto e sui trend degli attacchi di rete in Q2 2019, un’analisi dell’attacco ransomware RobbinHood che ha paralizzato la città di Baltimora in Maggio (con danni totali per circa $17 million), e suggerimenti e best practise che i lettori possono mettere in pratica per proteggere se stessi e le loro organizzazioni.
Analisi degli attacchi ransomware Sodinokibi contro i MSP
Il report include anche un’analisi approfondita del malware usato negli attacchi ransomware Sodinokibi contro i MSP. La ricerca del WatchGuard Threat Lab mostra che gli attaccanti sfruttano credenziali trapelate, rubate, o deboli, per ottenere accessi amministrativi a strumenti di gestione legittimi che i MSP usano per monitorare e gestire le reti dei loro clienti, e poi usano questi strumenti per disabilitare controlli di sicurezza e rilasciare il ransomware Sodinokibi via PowerShell.