Νέα έρευνα επίσης δείχνει ότι οι ανιχνεύσεις Log4Shell τριπλασιάστηκαν, τα PowerShell scripts επηρέασαν σε μεγάλο βαθμό την αύξηση των επιθέσεων στα end points, το botnet Emotet επανήλθε σε μεγάλο βαθμό και η κακόβουλη δραστηριότητα cryptomining αυξήθηκε.
Η WatchGuard® Technologies, παγκόσμιος ηγέτης στην ασφάλεια δικτύων, την προηγμένη προστασία σταθμών εργασίας, τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) και το ασφαλές Wi-Fi, ανακοίνωσε τα ευρήματα από την πιο πρόσφατη τριμηνιαία αναφορά Internet Security Report, αναφέροντας λεπτομερώς τις σημαντικότερες τάσεις κακόβουλου λογισμικού και απειλές ασφάλειας δικτύου που αναλύθηκαν από τους ερευνητές του WatchGuard Threat Lab. Η έρευνα αποκάλυψε ότι οι ανιχνεύσεις ransomware του πρώτου τριμήνου του 2022, είναι διπλάσιες από τις αντίστοιχες για το σύνολο του 2021, το Emonet botnet έκανε δυναμική επιστροφή, η περιβόητη ευπάθεια Log4Shell τριπλασίασε τις προσπάθειες επίθεσής της, η κακόβουλη δραστηριότητα cryptomining αυξήθηκε, και πολλά άλλα ακόμη.
«Βασισμένοι στην μεγάλη άνοδο του ransomware στην αρχή αυτής της χρονιάς και σε δεδομένα από προηγούμενα τρίμηνα, θα σπάσουμε το ετήσιο ρεκόρ μας σε ανιχνεύσεις ransomware,» αναφέρει ο Corey Nachreiner, chief security officer της WatchGuard. «Συνεχίζουμε να παροτρύνουμε τις εταιρείες, όχι μόνο να δεσμευτούν στην εφαρμογή απλών αλλά σημαντικών μέτρων αλλά και να υιοθετήσουν μια πραγματικά ενοποιημένη προσέγγιση ασφαλείας που μπορεί να προσαρμοστεί γρήγορα και αποτελεσματικά στις αυξανόμενες και εξελισσόμενες απειλές»
Άλλα βασικά ευρήματα της έκθεσης ασφάλειας, Internet Security Report, η οποία αναλύσει δεδομένα του πρώτου τριμήνου του 2022, περιλαμβάνουν:
- Το Ransomware γίνεται πυρηνικό – Παρότι τα ευρήματα του Threat Lab, για την αναφορά ασφάλειας δικτύου για το Q4 του 2021, έδειξαν ότι οι επιθέσεις ransomware μειώνονταν κάθε χρόνο, αυτό άλλαξε το 1ο τρίμηνο του 2022 με μια τεράστια έκρηξη σε ανιχνεύσεις ransomware. Είναι εντυπωσιακό το ότι ο αριθμός επιθέσεων ransomware που ανιχνεύτηκαν το 1ο τρίμηνο είναι ήδη διπλάσιος από το σύνολο του 2021.
- Η LAPSUS$ αναδύεται ύστερα από την πτώση της REvil – το 4ο τρίμηνο του 2021 είδε την πτώση της διαβόητης ‘κυβερνοσυμμορίας’ REvil, η οποία, εκ των υστέρων, άνοιξε την πόρτα για την ανάδυση μιας άλλης ομάδας– της LAPSUS$. Η ανάλυση της WatchGuard για το Q1 υποδηλώνει ότι η ομάδα LAPSUS$, μαζί με πολλές νέες παραλλαγές όπως το BlackCat, το πρώτο γνωστό ransomware στη γλώσσα προγραμματισμού Rust, θα μπορούσαν να συμβάλλουν σε ένα διαρκώς αυξανόμενο τοπίο απειλών ransomware και κυβερνο-εκβιασμών.
- Η Log4Shell κάνει το ντεμπούτο της στη λίστα με τις 10 κορυφαίες επιθέσεις δικτύου – η ευπάθεια Apache Log4j2, γνωστή και ως Log4Shell, έγινε δημόσια γνωστή στις αρχές Δεκεμβρίου 2021, και έκανε το ντεμπούτο της στη λίστα των 10 κορυφαίων δικτυακών επιθέσεων στο τέλος του τριμήνου. Σε σύγκριση με τις συγκεντρωτικές ανιχνεύσεις IPS το 4ο τρίμηνο του 2021, η υπογραφή Log4Shell σχεδόν τριπλασιάστηκε το πρώτο τρίμηνο του τρέχοντος έτους. Επισημάνθηκε ως το κορυφαίο περιστατικό ασφαλείας στην τελευταία Έκθεση Ασφάλειας Διαδικτύου της WatchGuard, καθώς η Log4Shell συγκέντρωσε το απόλυτο 10.0 σε βαθμολογία στο CVSS, τον μέγιστο δυνατό βαθμό κρισιμότητας για μια ευπάθεια, λόγω της ευρείας χρήσης του σε προγράμματα Java αλλά και του επιπέδου ευκολίας στην αυθαίρετη εκτέλεση κώδικα.
- Η επιστροφή του Emonet συνεχίζεται – Παρά τις προσπάθειες περιορισμού του με νομικά μέσα, το Emotet αντιπροσωπεύει τις τρεις από τις δέκα κορυφαίες ανιχνεύσεις αλλά και το κορυφαίο ευρέως διαδεδομένο κακόβουλο λογισμικό αυτό το τρίμηνο, μετά την αύξηση του στο 4ο τρίμηνο του 2021. Οι ανιχνεύσεις του Trojan.Vita, που στόχευε κυρίως την Ιαπωνία και εμφανίστηκε στην πρώτη πεντάδα κρυπτογραφημένων κακόβουλων προγραμμάτων, και του Trojan.Valyria, που μαζί με το προηγούμενο χρησιμοποιούν τρωτότητες του MS Office για να κατεβάσουν το botnet Emonet.. Το τρίτο δείγμα κακόβουλου λογισμικού που σχετίζεται με το Emotet, το MSIL.Mensa.4, μπορεί να εξαπλωθεί σε συνδεδεμένες συσκευές αποθήκευσης και κυρίως στοχεύει δίκτυα στις ΗΠΑ. Τα δεδομένα του Threat Lab υποδεικνύουν ότι το Emotet λειτουργεί ως φορέας, κατεβάζοντας και εγκαθιστώντας το αρχείο από έναν server παράδοσης κακόβουλου λογισμικού.
- Τα PowerShell scripts πρωτοστατούν στις αυξανόμενες επιθέσεις στα end points – Οι συνολικές ανιχνεύσεις end points για το 1ο τρίμηνο αυξήθηκαν περίπου κατά 38% από το προηγούμενο τρίμηνο. Τα scripts, ειδικά τα PowerShell scripts, ήταν ο κυρίαρχος φορέας επιθέσεων Τα PowerShell scripts ήταν υπεύθυνα για το 99,6% των ανιχνεύσεων scripts το 1ο τρίμηνο, δείχνοντας πώς οι επιτιθέμενοι μετακινούνται σε επιθέσεις χωρίς αρχεία (fileless). Παρόλο που αυτά τα scripts είναι σαφής επιλογή των εισβολέων, τα δεδομένα της WatchGuard δείχνουν πως δεν πρέπει να αγνοηθούν άλλες πηγές προέλευσης κακόβουλου λογισμικού.
- Οι νόμιμες λειτουργίες cryptomining σχετίζονται με κακόβουλη δραστηριότητα – Και οι τρεις νέες προσθήκες στη λίστα των κορυφαίων domains κακόβουλου λογισμικού για το 1ο τρίμηνο, σχετίζονται με το Nanopool. Αυτή η δημοφιλής πλατφόρμα συγκεντρώνει τη δραστηριότητα εξόρυξης κρυπτονομισμάτων για να επιτρέψει σταθερές αποδόσεις. Αυτά τα domains είναι τεχνικά νόμιμα domains που σχετίζονται με έναν νόμιμο οργανισμό. Ωστόσο, οι συνδέσεις σε αυτές τις ομάδες εξόρυξης σχεδόν πάντα προέρχονται από ένα επιχειρηματικό ή εκπαιδευτικό δίκτυο το οποίο έχει μολυνθεί, κάτι το οποίο δεν είναι νόμιμη μέθοδος εξόρυξης.
- Οι επιχειρήσεις εξακολουθούν να αντιμετωπίζουν ένα ευρύ φάσμα μοναδικών δικτυακών επιθέσεων – Ενώ οι 10 κορυφαίες υπογραφές IPS αντιπροσώπευαν το 87% όλων των δικτυακών επιθέσεων, οι ξεχωριστές ανιχνεύσεις έφτασαν στο υψηλότερο επίπεδο από το 1ο τρίμηνο του 2019. Αυτή η αύξηση δείχνει ότι οι αυτοματοποιημένες επιθέσεις εστιάζουν σε ένα μικρότερο υποσύνολο πιθανών προγραμμάτων εκμετάλλευσης ευπαθειών, αντί να δοκιμάζουν τα πάντα ανεξαιρέτως. Παρόλα αυτά, οι επιχειρήσεις εξακολουθούν να αντιμετωπίζουν ένα ευρύ φάσμα ανιχνεύσεων.
- Η ΕΜΕΑ συνεχίζει να είναι επίκεντρο κακόβουλων απειλών –Οι συνολικές περιφερειακές ανιχνεύσεις κακόβουλου λογισμικού δείχνουν ότι τα Fireboxes στην Ευρώπη, τη Μέση Ανατολή και την Αφρική (EMEA) επλήγησαν περισσότερο από αυτά στη Βόρεια, Κεντρική και Νότια Αμερική (AMER) με 57% και 22%, αντίστοιχα, ακολουθούμενα από την Ασία -Ειρηνικός (APAC) στο 21%.
Οι τριμηνιαίες εκθέσεις της Watchguard βασίζονται σε ανώνυμα δεδομένα από ενεργά WatchGuard Fireboxes των οποίων οι κάτοχοι έχουν συναινέσει να μοιράζονται για την άμεση υποστήριξη των ερευνητικών προσπαθειών του Threat Lab. Το 1ο τρίμηνο, η WatchGuard απέκλεισε συνολικά περισσότερες από 21.5 εκατομμύρια παραλλαγές κακόβουλου λογισμικού (274 ανά συσκευή) και περίπου 4,7 εκατομμύρια δικτυακές απειλές (60 ανά συσκευή). Η πλήρης έκθεση περιλαμβάνει λεπτομέρειες σχετικά με επιπλέον τάσεις κακόβουλου λογισμικού και δικτύου από το 1ο τρίμηνο του 2022, προτεινόμενες στρατηγικές ασφαλείας και κρίσιμες συμβουλές άμυνας για επιχειρήσεις όλων των μεγεθών σε οποιονδήποτε τομέα και πολλά άλλα.
Για μια πιο ολοκληρωμένη εικόνα στην έρευνα της WatchGuard, διαβάστε την πλήρη αναφορά Q1 2022 Internet Security Report εδώ, ή επισκεφτείτε: https://www.watchguard.com/wgrd-resource-center/security-report-q1-2022 και https://watchguard.widen.net/s/nnvdbfr7hh/overview_wg_threat_report_q1_2022.