A análise das tendências de ameaças do último trimestre revela que os invasores aumentaram o uso de malware sem arquivo. Dados apontam que mais de 90% dos malwares do segundo trimestre chegaram por conexões criptografadas.
As organizações que não implementaram controles para detectar malware oculto no tráfego de rede criptografado correm o risco de ter uma vasta maioria de ferramentas maliciosas distribuídas livremente, atingindo seus dispositivos de endpoint.
Um estudo da atividade de ameaças conduzido pela WatchGuard Technologies usando dados anônimos coletados de redes de clientes mostrou que 91,5% das detecções de malware no segundo trimestre de 2021 envolveram malware chegando por conexões criptografadas em HTTPS.
Corey Nachreiner, diretor de segurança da WatchGuard, diz que um dos motivos pelos quais mais organizações não habilitam os controles de descriptografia HTTPS baseados em rede é a complexidade percebida e um tanto real dessa configuração. Segundo ele, para que a descriptografia funcione sem bagunçar os certificados HTTPS que protegem esse tráfego, você deve configurar um certificado CA intermediário ou raiz que faça parte do processo oficial de verificação do certificado.
De acordo com o DARKReading ponto de dados sobre malware criptografado é um entre vários em um relatório que a WatchGuard lançou esta semana, que destacou tendências preocupantes para as organizações na frente de malware.
A análise da WatchGuard, por exemplo, mostrou que o número de ataques baseados em script, ou sem arquivo, apenas nos primeiros seis meses deste ano já havia alcançado 80% do total para todo o ano de 2020.
O relatório aponta que os dados do último trimestre sugeriram que o malware sem arquivo está ativado deve dobrar de volume este ano em comparação com 2020. Assim como o malware criptografado, os ataques sem arquivo, como os que envolvem o uso de JavaScript, PowerShell e Visual Basic, são outra ameaça que não é facilmente detectada por algumas ferramentas antivírus, lembra o DARKReading.
Malware de dia e criptografia
As detecções de malware de dia zero diminuíram 9% em relação ao trimestre anterior, mas ainda representaram 64% de todas as amostras de malware no segundo trimestre. Esse número é outro motivo pelo qual as ferramentas de detecção de AV baseadas em assinatura não são suficientes.
O DARKReading aponta que as organizações precisam cada vez mais de tecnologias de detecção, como modelos de aprendizado de máquina ou análise comportamental, que podem detectar de forma proativa malware que parece novo sem ter que esperar que o fornecedor de antivírus publique uma assinatura.
“Em um nível macro, as detecções de malware no perímetro da empresa diminuíram quase 4%, mesmo com os volumes de ataque à rede ultrapassando os volumes do último trimestre para outro máximo de três anos. O número total de ataques à rede no último trimestre atingiu 5,2 milhões, representando um aumento de 22,3% em relação ao primeiro trimestre. Os números destacaram uma tendência que outros fornecedores notaram sobre uma mudança no foco do invasor depois que a pandemia de COVID-19 forçou uma mudança para um ambiente de trabalho mais distribuído”.
Os invasores de rede, enquanto isso, continuaram a atacar servidores e serviços que ainda estão no escritório ou na nuvem. Vários pesquisadores de segurança observaram como muitos desses servidores e serviços estão um pouco menos protegidos do que antes porque mais funcionários estão trabalhando em casa.
Via: DARKReading