Σύμφωνα με την τριμηνιαία έκθεση της WatchGuard Techologies, στην οποία περιγράφονται οι κορυφαίες τάσεις κακόβουλου λογισμικού και απειλές για την ασφάλεια στο διαδίκτυο το 2ο τρίμηνο του 2021, αποκαλύφθηκε πως ένα εντυπωσιακό ποσοστό 91,5% του κακόβουλου λογισμικού κυκλοφόρησε μέσω κρυπτογραφημένων συνδέσεων, Ταυτόχρονα, παρατηρήθηκε ανησυχητική έξαρση του fileless κακόβουλου λογισμικού, δραματική αύξηση του ransomware και μεγάλη ανάπτυξη επιθέσεων δικτύου.
“Με μεγάλο μέρος του κόσμου να λειτουργεί σταθερά σε κινητό ή υβριδικό μοντέλο εργασίας, η παραδοσιακή περίμετρος δικτύου δεν παίζει πάντα ρόλο στην εξίσωση της άμυνας στον κυβερνοχώρο”, δήλωσε ο Corey Nachreiner, διευθυντής ασφαλείας της WatchGuard. “Ενώ μια ισχυρή περιμετρική άμυνα εξακολουθεί να αποτελεί σημαντικό μέρος μιας πολυεπίπεδης προσέγγισης ασφάλειας, η ισχυρή προστασία του τελικού σημείου (EPP) και η ανίχνευση και απόκριση τελικού σημείου (EDR) είναι ολοένα και πιο ουσιαστικής σημασίας.”
Μεταξύ των πιο αξιοσημείωτων ευρημάτων, η έκθεση Internet Security Report του 2ου τριμήνου, αποκαλύπτει:
- Μεγάλες ποσότητες κακόβουλου λογισμικού φτάνουν μέσω κρυπτογραφημένων συνδέσεων – Στο 2ο τρίμηνο, το 91,5% του κακόβουλου λογισμικού έφτασε μέσω μιας κρυπτογραφημένης σύνδεσης, μια δραματική αύξηση σε σχέση με το προηγούμενο τρίμηνο. Με απλά λόγια, οποιοσδήποτε οργανισμός που δεν εξετάζει την κίνηση κρυπτογραφημένου HTTPS στην περίμετρο χάνει το 9/10 από όλα τα κακόβουλα προγράμματα.
- Το κακόβουλο λογισμικό χρησιμοποιεί εργαλεία Powershell για να παρακάμψει τις ισχυρές προστασίες – Το AMSI.Disable.A εμφανίστηκε στην κορυφαία ενότητα κακόβουλου λογισμικού της WatchGuard για πρώτη φορά στο πρώτο τρίμηνο και αμέσως εκτοξεύθηκε στο επόμενο τρίμηνο, αγγίζοντας τη λίστα στο #2 συνολικά κατά όγκο και αποκτώντας την #1 θέση για συνολικά κρυπτογραφημένες απειλές. Αυτή η οικογένεια κακόβουλων προγραμμάτων χρησιμοποιεί εργαλεία PowerShell για να εκμεταλλευτεί διάφορες ευπάθειες στα Windows. Αυτό όμως που το κάνει ιδιαίτερα ενδιαφέρον είναι η τεχνική υπεκφυγής του. Η WatchGuard διαπίστωσε ότι το AMSI.Disable.A διαθέτει κώδικα ικανό να απενεργοποιήσει τη διεπαφή σάρωσης κατά του κακόβουλου λογισμικού (AMSI) στο PowerShell, επιτρέποντάς του να παρακάμψει τους ελέγχους ασφαλείας με το ωφέλιμο κακόβουλο λογισμικό του να μην ανιχνεύεται.
- Οι απειλές Fileless εκτοξεύονται στα ύψη, γίνονται ακόμη πιο αποφευκτικές – Μόνο τους πρώτους έξι μήνες του 2021, οι ανιχνεύσεις κακόβουλου λογισμικού που προέρχονται από μηχανές δέσμης ενεργειών όπως το PowerShell έχουν ήδη φτάσει το 80% του συνολικού όγκου επίθεσης που ξεκίνησε το περασμένο έτος, όπου η ίδια αντιπροσωπεύει σημαντική αύξηση σε σχέση με το προηγούμενο έτος. Με τον τρέχοντα ρυθμό, οι ανιχνεύσεις κακόβουλου λογισμικού Fileless το 2021 είναι σε καλό δρόμο για να διπλασιαστούν σε όγκο ετησίως.
- Οι επιθέσεις δικτύου ανθίζουν παρά τη στροφή προς κυρίως απομακρυσμένο εργατικό δυναμικό – Οι συσκευές της WatchGuard εντόπισαν σημαντική αύξηση των επιθέσεων δικτύου, η οποία αυξήθηκε κατά 22% σε σχέση με το προηγούμενο τρίμηνο και έφτασε στον υψηλότερο όγκο από τις αρχές του 2018. Το πρώτο τρίμηνο σημείωσε σχεδόν 4,1 εκατομμύρια επιθέσεις δικτύου. Στο τρίμηνο που ακολούθησε, ο αριθμός αυτός αυξήθηκε κατά ένα εκατομμύριο-χάραξε μια επιθετική πορεία που αναδεικνύει την αυξανόμενη σημασία της διατήρησης της περιμετρικής ασφάλειας παράλληλα με προστασίες εστιασμένες στους χρήστες.
- Οι επιθέσεις ransomware επιστρέφουν εκδικητικά – Ενώ οι συνολικές ανιχνεύσεις ransomware στο τελικό σημείο βρίσκονταν σε πτωτική τροχιά από το 2018 έως το 2020, αυτή η τάση έσπασε το πρώτο εξάμηνο του 2021, καθώς το σύνολο των έξι μηνών τελείωσε μόλις μετά το σύνολο του έτους 2020. Εάν οι ημερήσιοι εντοπισμοί ransomware παραμείνουν σταθεροί μέχρι το υπόλοιπο του 2021, ο φετινός όγκος θα αγγίξει αύξηση πάνω από 150% σε σύγκριση με το 2020.
- Ισχυρό ransomware χτυπάει με επιθέσεις τύπου “shotgun blast”- Η επίθεση της Colonial Pipeline στις 7 Μαΐου 2021 κατέστησε απόλυτα και τρομακτικά σαφές ότι το ransomware ως απειλή είναι εδώ για να μείνει. Ως το κορυφαίο περιστατικό ασφάλειας του τριμήνου, η παραβίαση υπογραμμίζει πώς οι εγκληματίες στον κυβερνοχώρο όχι μόνο βάζουν τις πιο ζωτικές υπηρεσίες-όπως νοσοκομεία, βιομηχανικό έλεγχο και υποδομή-στο στόχαστρό τους, αλλά φαίνεται να αυξάνουν εξίσου τις επιθέσεις εναντίον αυτών των στόχων υψηλής αξίας. Η ανάλυση περιστατικών της WatchGuard εξετάζει τις συνέπειες, πώς φαίνεται το μέλλον για την ασφάλεια των κρίσιμων υποδομών και τα βήματα που μπορούν να λάβουν οι οργανισμοί σε κάθε τομέα για να βοηθήσουν στην άμυνα ενάντια σε αυτές τις επιθέσεις και να επιβραδύνουν τη διάδοσή τους.
- Οι παλιές υπηρεσίες συνεχίζουν να αποδεικνύονται άξιοι στόχοι – Παρεκκλίνοντας από τις συνηθισμένες μία έως δύο νέες υπογραφές που εμφανίστηκαν σε προηγούμενες τριμηνιαίες αναφορές, υπήρξαν τέσσερις ολοκαίνουριες υπογραφές μεταξύ των κορυφαίων 10 επιθέσεων δικτύου της WatchGuard για το δεύτερο τρίμηνο. Αξιοσημείωτο, το πιο πρόσφατο ήταν μια ευπάθεια του 2020 στη δημοφιλή γλώσσα δικτύου PHP, αλλά τα άλλα τρία δεν είναι καθόλου νέα. Αυτά περιλαμβάνουν μια ευπάθεια στο 20ll Oracle GlassFish Server, ένα ελάττωμα έγχυσης SQL 2013 στην εφαρμογή ιατρικών αρχείων OpenEMR και μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) 2017 στο Microsoft Edge. Ενώ είναι παρωχημένα, όλα εξακολουθούν να ενέχουν κινδύνους εάν αφεθούν χωρίς έλεγχο.
Οι απειλές που βασίζονται στο Microsoft Office εξακολουθούν να είναι δημοφιλείς – Tο Q2 είδε μια νέα προσθήκη στη λίστα των 10 πιο διαδεδομένων επιθέσεων δικτύου, και έκανε το ντεμπούτο του στην κορυφή. Η υπογραφή, 1133630, είναι το θέμα ευπάθειας RCE 2017 που αναφέρθηκε παραπάνω και επηρεάζει τα προγράμματα περιήγησης της Microsoft. Αν και μπορεί να είναι μια παλιά ευπάθεια και να έχει διορθωθεί στα περισσότερα συστήματα (ελπίζουμε), εκείνα που δεν έχουν ακόμη επιδιορθωθεί προβλέπεται να αντιμετωπίσουν μια έντονη επαγρύπνηση, εάν ένας εισβολέας είναι σε θέση να τα φτάσει πριν λάβουν δράση. Στην πραγματικότητα, ένα πολύ παρόμοιο σφάλμα ασφαλείας RCE υψηλής σοβαρότητας, που εντοπίστηκε ως CVE-2021-40444, έγινε πρωτοσέλιδο νωρίτερα αυτόν τον μήνα, όταν χρησιμοποιήθηκε ενεργά σε στοχευμένες επιθέσεις εναντίον υπολογιστών με Windows 10 και του Office Οι απειλές που βασίζονται στο Office εξακολουθούν να είναι δημοφιλείς όταν πρόκειται για κακόβουλο λογισμικό, γι’ αυτό ακόμα εντοπίζουμε αυτές τις δοκιμασμένες και αληθινές επιθέσεις στην εκεί έξω. Ευτυχώς, εξακολουθούν να εντοπίζονται από δοκιμασμένες άμυνες IPS.
- Οι τομείς ηλεκτρονικού “ψαρέματος” μεταμφιέζονται ως νόμιμοι, ευρέως αναγνωρισμένοι τομείς – η WatchGuard έχει παρατηρήσει αύξηση της χρήσης κακόβουλου λογισμικού που στοχεύει πρόσφατα διακομιστές του Microsoft Exchange και γενικούς χρήστες ηλεκτρονικού ταχυδρομείου για λήψη trojans απομακρυσμένης πρόσβασης (RATs) σε εξαιρετικά ευαίσθητες τοποθεσίες. Αυτό πιθανότατα οφείλεται στο γεγονός ότι το δεύτερο συνεχόμενο τρίμηνο που οι εξ αποστάσεως εργαζόμενοι και μαθητευόμενοι επέστρεψαν είτε σε υβριδικά γραφεία και ακαδημαϊκά περιβάλλοντα είτε στις συνηθισμένες προς αυτούς συμπεριφορές δραστηριότητας στον χώρο τους. Σε κάθε δραστηριότητα – ή τοποθεσία – συνιστάται η ισχυρή επίγνωση της ασφάλειας και η παρακολούθηση των εξερχόμενων επικοινωνιών σε συσκευές που δεν είναι απαραίτητα συνδεδεμένες απευθείας με τις συνδεδεμένες συσκευές.
Οι αναφορές τριμήνου της Watchguard βασίζονται σε ανώνυμα δεδομένα Firebox Feed από ενεργά WatchGuard Fireboxes των οποίων οι κάτοχοι έχουν συναινέσει να μοιραστούν τα δεδομένα τους για να υποστηρίξουν άμεσα τις ερευνητικές προσπάθειες του Threat Lab. Στο δεύτερο τρίμηνο, η WatchGuard απέκλεισε συνολικά περισσότερες από 16,6 εκατομμύρια παραλλαγές κακόβουλου λογισμικού (438 ανά συσκευή) και σχεδόν 5,2 εκατομμύρια απειλές δικτύου (137 ανά συσκευή). Η πλήρης αναφορά περιλαμβάνει λεπτομέρειες σχετικά με πρόσθετα κακόβουλα προγράμματα και τάσεις δικτύου από το δεύτερο τρίμηνο του 2021, μια ακόμη βαθύτερη βουτιά σε απειλές που εντοπίστηκαν στο τελικό σημείο κατά το πρώτο εξάμηνο του 2021, προτεινόμενες στρατηγικές ασφάλειας και κρίσιμες συμβουλές άμυνας για επιχειρήσεις όλων των μεγεθών και σε οποιονδήποτε τομέα και πολλά άλλα.