"Não conseguimos enfatizar o suficiente o quão importante é ativar a inspeção HTTPS, mesmo que seja necessária alguma afinação e exceções para o fazer corretamente. A maioria do malware chega através de HTTPS encriptado e não inspecioná-lo significa que se está a perder essas ameaças", disse Corey Nachreiner, Chief Security Officer da WatchGuard Technologies. "Assim sendo, alvos preferenciais para os atacantes, como um servidor Exchange ou um sistema de gestão SCADA, são também merecedores de atenção extra neste trimestre. Quando um patch está disponível, é importante que a atualização seja imediata, uma vez que os cibercriminosos acabarão por beneficiar de qualquer organização que ainda não tenha implementado o patch mais recente."

Outras conclusões chave do Relatório de Segurança de Internet do Q3 incluem:

1. A grande maioria do malware entregue por ligações encriptadas: Apesar de o Agent.IIQ ter ficado em terceiro lugar na lista normal dos 10 principais malwares neste trimestre, alcançou o lugar #1 da lista de malware encriptado no Q3. De facto, se olharmos para as deteções em ambas estas listas, veremos que todas as deteções do Agent.IIQ foram entregues através de ligações encriptadas. No Q3, se uma Firebox estivesse a inspecionar tráfego encriptado, 82% do malware que detetava era através dessa ligação encriptada, deixando apenas uns míseros 18% detetados sem encriptação. Se não estiver a inspecionar tráfego encriptado na sua Firebox, é muito provável que esta proporção média se mantenha verdadeira e que esteja a perder uma enorme parte do malware. Esperemos que, pelo menos, tenha implementado uma proteção de endpoint para ter a oportunidade de o apanhar mais à frente na cadeia de cyber kill.
2. Os sistemas ICS e SCADA continuam a ser uma tendência como alvos de ataques: Na lista dos 10 principais ataques de rede deste trimestre, temos um novo ataque do tipo injeção SQL, que afetou vários fornecedores. Uma destas empresas é a Advantech, cujo portal WebAccess é utilizado para sistemas SCADA numa variedade de infraestruturas críticas. Outra exploração séria no Q3, que também apareceu nos cinco maiores ataques de rede por volume, envolveu o software U.motion Builder da Schneider Electric versões 1.2.1 e anteriores. Este é um lembrete forte de que os atacantes não estão silenciosamente à espera de uma oportunidade. Em vez disso, estão ativamente à procura de um sistema comprometido sempre que possível.
3. Vulnerabilidades do servidor Exchange continuam a representar um risco: O CVE mais recente entre as novas assinaturas registadas pelo Laboratório de Ameaças neste trimestre, o CVE-2021-26855, é uma vulnerabilidade do Microsoft Exchange Server Remote Code Execution (RCE) para servidores no local. Esta vulnerabilidade do RCE recebeu uma pontuação de 9,8 CVE e é sabido que foi explorada. A data e a gravidade deste CVE-2021-26855 também fazem lembrar algo, uma vez que é uma das explorações utilizadas pelo grupo HAFNIUM. Embora a maioria dos servidores Exchange afetados já tenham provavelmente sido corrigidos, a ‘maioria’ não é a mesma coisa que ‘todos’. Por conseguinte, os riscos permanecem.
4. Agentes de ameaça visam quem procura software gratuito. O Fugrafa transfere malware que injeta código malicioso. Neste trimestre, o Laboratório de Ameaças examinou uma amostra do mesmo que foi encontrada num motor de batota para o popular jogo Minecraft. Apesar de o ficheiro partilhado principalmente no Discord afirmar ser o motor de batota Minecraft Vape V4 Beta, não é só isso que contém. O Agent.FZUW tem algumas semelhanças com o Variant.Fugrafa, mas em vez de ser instalado através de um motor de batota, o ficheiro em si finge ter um software pirateado. O Laboratório de Ameaças descobriu que esta amostra em particular tem ligações com a Racoon Stealer, uma campanha de hacking de criptomoeda utilizada para desviar informação de contas de serviços de troca de criptomoeda.
5. Malware LemonDuck evolui para além da entrega através de criptomineração - Mesmo com uma queda no total de domínios de malware bloqueados ou rastreados no terceiro trimestre de 2022, é fácil ver que os ataques a utilizadores insuspeitos ainda são elevados. Com três novas adições à lista dos principais domínios de malware - dois dos quais antigos domínios do malware LemonDuck e outra parte de um domínio classificado do Emotet -, o Q3 registou mais malware e tentativas de sites malware de domínios mais recentes do que o habitual. Esta tendência irá mudar e modificar-se com o panorama da criptomoeda em tumulto, à medida que os atacantes procuram outros locais para enganar os utilizadores. Manter a proteção DNS ativa é uma forma de monitorizar e bloquear utilizadores insuspeitos de permitirem malware ou outros problemas graves na sua organização.
6. Ocultação de JavaScript em kits de exploração: A Signature 1132518, uma vulnerabilidade genérica para detetar ataques de ocultação de JavaScript contra browsers, foi a única nova adição à lista de assinaturas de ataque de rede mais difundidas neste trimestre. O JavaScript é um vetor comum para atacar os utilizadores e os agentes ameaçadores usam constantemente kits de exploração baseados em JavaScript, em ataques de malvertising, watering hole e phishing, só para citar alguns. Como as defesas dos browsers melhoraram, também melhorou a capacidade dos atacantes em ocultar código malicioso JavaScript.
7. A anatomia de ataques adversary-in-the-middle comercializados: Embora a autenticação multifatorial (MFA) seja inegavelmente a melhor tecnologia que se pode utilizar para proteção contra o grosso dos ataques de autenticação, não é por si só a chave contra todos os vetores de ataque. Os adversários cibernéticos deixaram isto claro com a rápida ascensão e mercantilização dos ataques AitM (adversary-in-the-middle) e a análise do Laboratório de Ameaças ao EvilProxy, o principal incidente de segurança do Q3, mostra como os cibercriminosos estão a começar a mudar para técnicas mais sofisticadas de AitM. Tal como a oferta de Ransomware como Serviço foi popularizada nos últimos anos, o lançamento, em setembro de 2022, de um conjunto de ferramentas AitM chamado EvilProxy baixou significativamente a barreira de acesso ao que antes era uma técnica de ataque sofisticada. De um ponto de vista defensivo, combater com sucesso este tipo de técnicas de ataque AitM requer uma mistura de ferramentas técnicas e de consciencialização do utilizador.
8. Uma família de malware com ligações ao Gothic Panda - O relatório Q2 de 2022 do Laboratório de Ameaças descreveu como o Gothic Panda, um agente de ameaça patrocinado pelo Estado ligado ao Ministério da Segurança de Estado da China, era conhecido por utilizar uma das principais deteções de malware desse trimestre. Curiosamente, a lista dos principais malwares encriptados do Q3 inclui uma família de malware chamada Taidoor, que não só foi criada pelo Gothic Panda, como só foi vista a ser utilizada por ciberagentes do governo chinês. Enquanto este malware se concentra tipicamente em alvos no Japão e em Taiwan em geral, a amostra de Generic.Taidoor analisada neste trimestre foi encontrada visando principalmente organizações em França, sugerindo que algumas Fireboxes nesta região podem ter detetado e bloqueado partes de um ciberataque patrocinado pelo Estado.
9. Novos grupos de ransomware e de extorsão à solta: Adicionalmente, neste trimestre, o Laboratório de Ameaças está entusiasmado por anunciar um novo esforço concertado para seguir os atuais grupos de extorsão de ransomware e desenvolver as suas capacidades de inteligência de ameaças, para fornecer mais informação relacionada com ransomware em relatórios futuros. No Q3, o LockBit encabeça a lista do terceiro trimestre, com mais de 200 extorsões públicas na sua página na dark web, quase quatro vezes mais do que a de Basta, o segundo grupo de ransomware mais prolífico que a WatchGuard observou este trimestre.

Os relatórios trimestrais de pesquisa da WatchGuard são baseados em dados anonimizados de Firebox Feed de Fireboxes WatchGuard ativas, cujos proprietários optaram por partilhar dados em apoio direto aos esforços de pesquisa do Laboratório de Ameaças. No Q3, a WatchGuard bloqueou um total de mais de 17,3 milhões de variantes de malware (211 por dispositivo) e mais de 2,3 milhões de ameaças de rede (28 por dispositivo). O relatório completo inclui detalhes sobre malware adicional e tendências de rede do Q3 2022, estratégias de segurança recomendadas, dicas de defesa crítica para empresas de todas as dimensões e em qualquer setor e mais.

Para uma visão detalhada da pesquisa da WatchGuard, leia aqui o Relatório de Segurança da Internet completo do Q3 2022.