WatchGuard Technologies: due terzi del malware è crittografato e invisibile senza l’ispezione HTTPS

Il nuovo Internet Security Report evidenzia il pericolo del malware crittografato, offre dettagli sull’impatto sulla sicurezza della pandemia e rileva un’ondata di cryptominer Monero, malware Flawed-Ammyy e Cryxos

Avatar di Antonino Caffo

a cura di Antonino Caffo

WatchGuard Technologies ha appena rilasciato il suo nuovo Internet Security Report riferito a Q1 2020. Per la prima volta in assoluto, questo report include dati sulla percentuale di malware che viene distribuito attraverso connessioni HTTPS crittografate.

Lo studio mostra che il 67% di tutto il malware di Q1 è stata diffusa tramite HTTPS, pertanto le organizzazioni prive di soluzioni di sicurezza in grado di ispezionare il traffico crittografato non riusciranno a individuare i due terzi delle minacce in arrivo.

Inoltre, il 72% del malware crittografato è stato classificato come zero day (ossia non esiste alcuna firma antivirus per bloccarlo). Questi risultati confermano che l'ispezione HTTPS e le soluzioni avanzate di rilevamento e risposta alle minacce basate sul comportamento sono oramai requisiti fondamentali per aumentare la sicurezza aziendale. Il rapporto include anche una sezione speciale che illustra in dettaglio l'impatto del Covid-19 sul panorama delle minacce.

«Alcune organizzazioni sono riluttanti a impostare l'ispezione HTTPS a causa del lavoro aggiuntivo richiesto, ma i nostri dati sulle minacce mostrano chiaramente che la maggior parte del malware viene distribuito attraverso connessioni crittografate e lasciare che il traffico non venga ispezionato non è più un'opzione possibile» ha affermato Corey Nachreiner, chief tecnology officer di WatchGuard.

L’Internet Security Report di WatchGuard ci dice inoltre che aumentano di popolarità i cryptominer Monero. Cinque dei primi dieci domini che hanno distribuito malware nel primo trimestre (identificati dal servizio di DNS filtering di WatchGuard, DNSWatch) hanno ospitato o controllato cryptominer Monero. Questo improvviso salto potrebbe essere semplicemente dovuto alla loro utilità; l'aggiunta di un modulo di crittografia al malware è un modo semplice per i criminali online di generare reddito passivo.

Inoltre, le varianti di malware Flawed-Ammyy e Cryxos entrano a far parte delle top list. Il trojan Cryxos è risultato terzo nella lista di WatchGuard dei cinque principali malware crittografati e terzo nella lista dei primi cinque rilevamenti di malware più diffusi, indirizzati principalmente verso Hong Kong. Viene consegnato come allegato di posta elettronica mascherato come una fattura e chiede all'utente di inserire la propria e-mail e password, che quindi poi memorizza.

Flawed-Ammyy è una truffa in cui l'attaccante utilizza il software di supporto Ammyy Admin per ottenere l'accesso remoto al computer della vittima. Oltre a ciò, la vulnerabilità di Adobe che compie tre anni appare nei principali attacchi alla rete. Un exploit di Adobe Acrobat Reader, che è stato corretto nell'agosto 2017, è apparso nell'elenco degli attacchi alla rete di WatchGuard per la prima volta nel primo trimestre di quest’anno. Questa vulnerabilità riemersa diversi anni dopo essere stata scoperta e risolta illustra l'importanza di applicare patch e aggiornare regolarmente i sistemi.

Per quanto riguarda la pandemia, il primo trimestre del 2020 è stato l'inizio dei grandi cambiamenti nel panorama delle minacce informatiche provocati dal Covid-19. Nei primi tre mesi del 2020, abbiamo assistito a un massiccio aumento dei lavoratori in remoto e degli attacchi contro singoli individui.

Complessivamente ci sono stati il 6,9% in meno di attacchi malware e l'11,6% in meno di attacchi di rete nel primo trimestre, nonostante un aumento del 9% nel numero di firewall WatchGuard Firebox che contribuiscono a fornire dati. Ciò potrebbe essere attribuito a un minor numero di potenziali obiettivi che operano all'interno del tradizionale perimetro della rete con policy di “lavoro da casa”. Ad ogni modo, l'elenco dei malware più diffusi mostra che Germania e Gran Bretagna sono stati i principali obiettivi nel Q1 2020.

L’Internet Security Report di WatchGuard si basa sui dati in forma anonima provenienti dai Firebox Feed di appliance WatchGuard attive, i cui proprietari hanno acconsentito alla condivisione dei dati per supportare gli sforzi di ricerca del Threat Lab di WatchGuard. Oggi, oltre 44 mila appliance in tutto il mondo forniscono dati di intelligence sulle minacce per questo report.

Nel primo trimestre del 2020, le appliance WatchGuard hanno bloccato 32.148.519 varianti di malware in totale (730 sample per dispositivo) e più di 1.600.000 attacchi di rete (38 attacchi per dispositivo). Il report completo è disponibile a questo indirizzo.