Spopolano i malware zero day: il 70% degli attacchi sferrati nel secondo trimestre 2020 li hanno visti coinvolti, con una crescita del 12% rispetto al primo trimestre. Il dato emerge dall’Internet security report di Watch Guard Technologies e indica che i cyber criminali si stiano indirizzando verso tecniche evasive.
Il report è basato sui dati di circa 42.000 appliance WatchGuard che da tutto il mondo hanno fornito dati di intelligence sui trend, bloccando circa 28,5 milioni di varianti di malware in tutto, all’incirca 684 per dispositivo, oltre a 1,75 milioni di attacchi di rete che corrispondono a 42 attacchi per ogni dispositivo. Sono state bloccate 410 firme uniche di attacco, in crescita del 15% sul primo trimestre: è il numero più alto dal quarto trimestre 2018.
Indice degli argomenti
Il trend: più minacce evasive e basate su crittografia
Il malware zero day è capace di aggirare le normali difese anti-malware e attualmente sembra che il suo uso sia in aumento. Il 34% degli attacchi invece sono stati inviati attraverso connessioni HTTPS crittografate. Questi trend secondo Watch Guard impongono riflessioni alle aziende, perché chi non sarà in grado di ispezionare il traffico crittografato non riuscirà “a bloccare un terzo delle minacce in arrivo. Anche se la percentuale di minacce che utilizzano la crittografia è diminuita rispetto al 64% del primo trimestre, il volume di malware crittografato con HTTPS è aumentato notevolmente. Sembra che più amministratori stiano adottando gli step necessari per abilitare l’ispezione HTTPS sulle appliance di sicurezza WatchGuard Firebox, ma c’è ancora molto lavoro da fare”, comunica l’azienda in una nota ufficiale.
Crescono anche le minacce basate su JavaScript. Per esempio lo script truffa Trojan.Gnaeus è ai vertici della top 10 dei malware del secondo trimestre 2020 preparata da Watch Guard in base alle rilevazioni raccolte. Questo malware permette ai criminali di “modificare le impostazioni del browser della vittima con codice offuscato e di reindirizzare l’utente verso siti web sotto il controllo dell’attaccante”, precisa l’azienda. In stile popup si presenta invece l’attacco J.S. PopUnder. Per evitare rischi, “le organizzazioni dovrebbero impedire agli utenti di caricare un’estensione del browser da una fonte sconosciuta, mantenere aggiornati i browser con le ultime patch, utilizzare adblocker affidabili e mantenere un motore anti-malware aggiornato”, spiegano gli esperti di Watch Guard.
La maledizione di “Abracadra”
I malware vengono sempre più celati in file Excel. Per esempio XML-Trojan.Abracadabra secondo il report è in crescita da aprile, quando ha iniziato a emergere. Abracadabra è una variante del malware che viene rilasciata come file Excel crittografato con la password “VelvetSweatshop”: quando lo si apre decrittografa in automatico il file e uno script VBA macro all’interno agisce. Non bisognerebbe quindi mai “consentire macro da fonti non attendibile e sfruttare la sandbox basata su cloud per verificare in modo sicuro il vero intento dei file potenzialmente pericolosi prima che possano causare un’infezione”, sottolinea la nota di Watch Guard.
Un vecchio attacco DoS torna alla carica
Il report ha rilevato che una vulnerabilità DoS vecchia di sei anni che aveva come obiettivi Wordpress e Drupal è tornata in auge. È in grado di colpire “ogni installazione di Drupal e WordPress a cui non siano state apportate patch e crea scenari DoS in cui i malintenzionati possono causare l’esaurimento della CPU e della memoria sull’hardware. Nonostante l’elevato volume di questi attacchi, sono stati focalizzati su poche dozzine di reti principalmente in Germania – affermano da Watch Guard nella nota ufficiale -. Poiché gli scenari DoS richiedono traffico sostenuto verso le reti delle vittime, ciò significa che è molto probabile che gli attaccanti stessero selezionando intenzionalmente i loro obiettivi”.
I domini malware
Il più diffuso dominio malware è risultato essere findresults, che si basa su un server C&C per una variante del trojan Dadobra. Emerge anche Cioco-froll: “Utilizza un altro server C&C per supportare una variante botnet Asprox (spesso fornita tramite documento PDF) e fornisce un beacon C&C per far sapere all’autore dell’attacco che ha acquisito persistenza ed è pronto per partecipare alla botnet. La protezione a livello DNS può aiutare le organizzazioni a rilevare e bloccare questi tipi di minacce indipendentemente dal protocollo dell’applicazione per la connessione”, spiegano da Watch Guard.
Il consiglio
Per evitare rischi, come spiega Corey Nachreiner, CTO di WatchGuard, in una dichiarazione ufficiale, è necessario adottare misure diverse: “Ogni organizzazione dovrebbe dare priorità al rilevamento delle minacce basato sul comportamento, alla sandbox in cloud, e a servizi di sicurezza a livelli per proteggere sia la rete aziendale che i lavoratori in remoto”.
Il report completo è scaricabile qui.
