WatchGuard  apresenta o estudo Internet Security Report  referente ao malware escondido em redes populares de entrega de conteúdo  durante o segundo trimestre de 2019
Dados também mostram os módulos Kali Linux estreando na lista dos Top Ten malwares e um aumento dramático ano a ano no volume geral de malware

A WatchGuard  Technologies anuncia o seu Internet Security Report do segundo trimestre de 2019. Pela primeira vez, o relatório revela e classifica os domínios mais comuns que os atacantes usam para hospedar malware e lançar ataques de phishing - incluindo vários subdomínios de sites legítimos e CDNs (Content Delivery Networks), como CloudFlare.net, SharePoint e Amazonaws.com. Também destaca que os módulos da popular ferramenta de teste de penetração do Kali Linux chegaram à lista dos Top Ten malware pela primeira vez, o volume de malware ano a ano aumentou 64% e mais. “Esta edição do Internet Security Report expõe os detalhes dos métodos usados pelos hackers para colocar malware ou e-mails phishing em redes ocultando-os em domínios legítimos de hospedagem de conteúdo,” diz Corey Nachreiner, chief technology officer da WatchGuard Technologies. “Felizmente, existem várias maneiras de se defender contra isso, incluindo a filtragem no nível do DNS para bloquear conexões com sites maliciosos conhecidos, serviços avançados anti malware, autenticação multifator para evitar ataques que utilizam credenciais comprometidas e treinamento para ajudar os funcionários a reconhecerem e-mails de phishing. Nenhuma defesa impedirá todos os ataques; portanto, a melhor maneira das organizações se protegerem é com uma plataforma de segurança unificada que oferece vários serviços de segurança em camadas.”
O Internet Security Report fornece dados do mundo real sobre as principais ameaças à segurança, além de análises detalhadas dos principais incidentes de segurança e práticas recomendadas para ajudar organizações de todos os tamanhos a proteger seus negócios e os dados de seus clientes. As principais conclusões do relatório do segundo trimestre de 2019 incluem:

?  Ataques de malware e phishing que violam domínios legítimos – O serviço DNSWatch da WatchGuard intercepta conexões destinadas a domínios maliciosos conhecidos no nível DNS e os redireciona. Ao rastrear os domínios maliciosos mais comuns bloqueados pelo DNSWatch, o WatchGuard pode identificar os principais domínios que hospedam ataques de malware e phishing. É importante notar que vários desses domínios são subdomínios de CDNs legítimas como CloudFront.net (que pertence à Amazon) e sites de compartilhamento de arquivos como my[.]mixtape[.]moe. Embora esse método de ataque não seja novo, a pesquisa da WatchGuard destaca os domínios específicos usados nesses ataques.                                                                                                
?  Kali Linux faz sua estreia na lista top ten malware – Pela primeira vez, dois módulos do popular sistema operacional de hackers Kali Linux aparecem na lista de malwares mais comuns da WatchGuard. Trojan.GenericKD, que abrange uma família de malware que cria um backdoor para um servidor de comando e controle, e Backdoor.Small.DT, um script de shell da web usado para criar backdoors em servidores da web, foram os números seis e sete na lista. Isso pode indicar uma crescente adoção entre aos criminosos ou mais testes de penetração por hackers white hat usando o Kali Linux.

?  Aumento significativo ano a ano no volume geral de malware – No geral, o volume total de malware atingindo o WatchGuard Fireboxes aumentou significativamente em comparação ao ano passado. Dois dos três serviços de detecção de malware da WatchGuard tiveram um aumento no malware no segundo trimestre de 2019, em relação ao segundo trimestre de 2018; um bloqueou 58% a mais e o outro bloqueou 68% a mais, para um aumento geral de 64% ano a ano.                                                                                   

?  Aumento generalizado de phishing e malware exploit do Office – Dois pedaços de malware (um ataque de phishing que ameaça liberar informações falsas sobre a vítima e um exploit do Microsoft Office) que apareceram na lista de malware mais difundida no primeiro e segundo trimestres de 2019 e no quarto trimestre de 2018, foram classificados entre os dez primeiros em volume. Isso ilustra que essas campanhas estão em ascensão e estão enviando um alto volume de ataques a uma ampla variedade de alvos. Os usuários devem atualizar o Office regularmente e investir em soluções de segurança anti-phishing e filtragem de DNS.                                                                                                                                          

?  SQL injection domina ataques à rede – Ataques SQL injection representou 34% de todos os ataques de rede detectados no segundo trimestre de 2019 e aumentaram significativamente em volume ano após ano (um ataque específico aumentou mais de 29.000% do segundo trimestre de 2018 para o segundo trimestre de 2019). Qualquer pessoa que mantenha um banco de dados SQL ou um servidor da web com acesso a um deve corrigir os sistemas regularmente e investir em um firewall de aplicativo da web.                                            

? Cada vez mais o malware tem como alvo a Europa e APAC– No segundo trimestre de 2019, quase 37% dos malwares foram direcionados para a região EMEA, com vários ataques individuais focados no Reino Unido, Itália, Alemanha, e Ilhas Maurício. A APAC ficou em segundo lugar, sendo alvo de 36% do total de ataques de malware. As variantes de malware Razy e Trojan.Phishing.MH, em particular, visavam principalmente a região APAC, com 11% das detecções de Trojan.Phishing.MH encontradas no Japão.

O Internet Security Report da WatchGuard é baseado em dados anonimizados do Firebox Feed de um subconjunto de dispositivos WatchGuard UTM ativos cujos proprietários optaram por compartilhar dados para apoiar os esforços de pesquisa do Laboratório de Ameaças. Hoje, 41.229 equipamentos em todo o mundo contribuem para o conjunto de dados do Internet Security Report. No total, esses dispositivos bloquearam mais de 22.619.836 variantes de malware, a uma taxa de 549 amostras por dispositivo. Além disso, esses dispositivos Firebox impediram 2.265.425 ataques à rede (60 por dispositivo), um aumento significativo em relação ao primeiro trimestre de 2019, que contraria as tendências passadas no volume de ataques à rede.

O relatório completo inclui estatísticas mais detalhadas sobre as tendências de ataque de malware e rede mais impactantes do segundo trimestre de 2019, uma análise do ataque de ransomware RobbinHood que paralisou a cidade de Baltimore, em maio de 2019 (e custou aproximadamente US$ 17 milhões em danos totais), conselhos e práticas recomendadas que os leitores podem usar para se proteger melhor e a suas organizações.

Análises de Ataques de Ransomware Sodinokibi MSP

O relatório também contém uma análise detalhada do malware real usado nos ataques de ransomware Sodinokibi MSP. A pesquisa do Laboratório de Ameaças da WatchGuard  mostra que os invasores utilizaram credenciais fracas, roubadas ou vazadas para obter acesso administrativo à ferramentas de gerenciamento legítimas que esses MSPs usavam para monitorar e gerenciar as redes de seus clientes, depois usaram essas ferramentas para desativar os controles de segurança e preparar e fornecer o ransomware Sodinokibi via PowerShell.