Nuova indagine WatchGuard: i criminali informatici sono sempre più focalizzati sul furto di credenziali

redazione

  WatchGuard® Technologies, produttore leader di soluzioni di sicurezza di rete avanzate, annuncia i risultati del suo Internet Security Report che ogni trimestre esplora le ultime minacce per la sicurezza di reti e computer che colpiscono le PMI e le aziende distribuite sul territorio. Ciò che emerge dal secondo trimestre di quest’anno è che le tattiche usate dai criminali per accedere alle credenziali dell’utente sono in aumento, e che il 47% di tutto il malware è nuovo o zero-day, quindi in grado di eludere soluzioni antivirus basate su firme.

I dati dei Firebox Feed del secondo trimestre dimostrano che gli attori delle minacce sono focalizzati oggi più che mai sul furto di credenziali,” ha spiegato Corey Nachreiner, chief technology officer in WatchGuard Technologies. “Dagli attacchi e tentativi di phishing abilitati per JavaScript per rubare password Linux, agli attacchi brute force contro web server, il tema comune è che il login di accesso è una delle priorità più alte per i criminali. Le aziende devono quindi rafforzare i server esposti, considerare seriamente un’autenticazione multi-fattore, formare gli utenti nel riconoscere gli attacchi di phishing e implementare soluzioni di prevenzione delle minacce avanzate per proteggere i dati di valore.”

L’Internet Security Report di WatchGuard offre le migliori pratiche di intelligence delle minacce, ricerca e sicurezza, per informare ed educare i lettori sugli avversari presenti online così che possano proteggere meglio se stessi e le loro organizzazioni. Ecco alcuni dei più importanti risultati che emergono dal report del secondo trimestre 2017:

  • Mimikatz pesa per il 36% tra il malware più importante. Uno strumento open source popolare usato per il furto di credenziali, Mimikatz, ha conquistato per la prima volta la vetta della lista delle prime 10 varianti malware in questo trimestre. Spesso usato per rubare e rimpiazzare credenziali Windows, Mimikatz è comparso con così tanta frequenza che si è guadagnato il riconoscimento di “variante malware top” del secondo trimestre 2017. Questa nuova aggiunta al noto gruppo di top varianti malware dimostra che gli attaccanti stanno costantemente aggiustando le loro tattiche.
  • Attacchi di phishing incorporano JavaScript malevoli per ingannare gli utenti. Per molti trimestri, gli attaccanti si sono basati su codice JavaScript e downloader per rilasciare malware sia in attacchi web che email. Nel secondo trimestre, gli attaccanti hanno usato JavaScript in allegati HTML in email di phishing che simulano pagine di login di siti legittimi popolari come Google, Microsoft e altri per ingannare gli utenti portandoli a fornire le loro credenziali.
  • Gli attaccanti colpiscono le password Linux nel Nord Europa. I criminali informatici hanno usato una vecchia vulnerabilità dell’applicazione Linux per prendere di mira diversi paesi nordici e i Paesi Bassi con attacchi progettati per rubare hash di password. Più del 75% di attacchi che si basavano su una vulnerabilità Remote File Inclusion (RFI) per accedere a /etc/passwd sono stati rivolti contro la Norvegia (62.7%) e la Finlandia (14.4%). Con un volume così elevato di attacchi in arrivo, gli utenti dovrebbero aggiornare i server e i dispositivi Linux come misura di precauzione basilare.
  • Attacchi brute force contro web server climb. Questa estate, gli attaccanti hanno usato strumenti automatizzati contro web server per creare credenziali utente. Con l’aumento in Q2 della prevalenza di attacchi web contro l’autenticazione, i tentativi “brute force” di login contro web server sono rientrati tra i primi 10 attacchi di rete. Web server senza protezione, che monitorano i login falliti, lasciano che attacchi automatizzati indesiderati indovinino migliaia di password ogni secondo.
  • Quasi la metà di tutto il malware è in grado di evadere le soluzioni AV tradizionali. Con una percentuale del 47%, il malware nuovo o zero-day supera gli antivirus tradizionali più che mai. I dati mostrano che i vecchi antivirus basati su firme sono sempre più inaffidabili quando si tratta di bloccare nuove minacce, il che dimostra la necessità di soluzioni di rilevazione basate sul comportamento al fine di bloccare minacce persistenti avanzate.

L’Internet Security Report di WatchGuard si basa su dati in forma anonima di Firebox Feed provenienti da più di 33,500 appliance UTM WatchGuard attive nel mondo. In totale, queste appliance hanno bloccato più di 16 milioni di varianti malware in Q2, con una media di 488 sample bloccati da ogni singolo dispositivo. Nel corso del trimestre, la soluzione Gateway AV di WatchGuard ha bloccato quasi 11 milioni di varianti malware (un aumento del 35% rispetto al primo trimestre), mentre APT Blocker ha bloccato altre 5,484,320 varianti malware (un picco del 53% rispetto al Q1). Inoltre, le appliance Firebox di WatchGuard hanno fermato quasi 3 milioni di attacchi di rete in Q2, per un tasso di 86 attacchi bloccati per dispositivo.

Il report completo offre ai lettori dettagli sulle principali tendenze del malware e della tipologia di attacchi del secondo trimestre 2017, un’analisi completa dei noti attacchi ransomware WannaCry, e best practise fondamentali per la sicurezza informatica. Questo report, l’ultimo progetto di ricerca dei Threat Lab di WatchGuard, si focalizza sulle tendenze delle minacce da honeypot SSH e Telnet che sono costantemente presi di mira da attacchi automatizzati. I più importanti “take-aways” che si possono ricavare da questo progetto sottolineano i pericoli associati all’uso di credenziali di default e l’importanza della protezione per i dispositivi IoT.