WatchGuard: Μέσω κρυπτογραφημένων συνδέσεων οι κορυφαίες απειλές!

Η WatchGuard Technologies, παγκόσμιος ηγέτης στην ενοποιημένη ασφάλεια στον κυβερνοχώρο, δημοσίευσε σήμερα την τελευταία τριμηνιαία έκθεση ασφάλειας στο Διαδίκτυο, αναφέροντας λεπτομερώς τις κορυφαίες τάσεις κακόβουλου λογισμικού και τις απειλές ασφάλειας δικτύου και τελικού σημείου που αναλύθηκαν από ερευνητές του WatchGuard Threat Lab το 3ο τρίμηνο του 2022. Βασικά ευρήματα από τα δεδομένα αποκαλύπτουν ότι η κορυφαία απειλή κακόβουλου λογισμικού του τριμήνου εντοπίστηκε αποκλειστικά μέσω κρυπτογραφημένων συνδέσεων, οι επιθέσεις ICS διατηρούν τη δημοτικότητά τους, το κακόβουλο λογισμικό LemonDuck εξελίσσεται πέρα από την παράδοση cryptominer, μια μηχανή εξαπάτησης Minecraft παρέχει κακόβουλο ωφέλιμο φορτίο και πολλά άλλα.

“Δεν μπορούμε να τονίσουμε αρκετά πόσο σημαντικό είναι να ενεργοποιηθεί η επιθεώρηση HTTPS, ακόμη και αν απαιτεί κάποιο συντονισμό και εξαιρέσεις για να γίνει σωστά. Η πλειοψηφία του κακόβουλου λογισμικού φτάνει μέσω κρυπτογραφημένου HTTPS και η μη επιθεώρησή του σημαίνει ότι δεν προστατεύεστε από αυτές οι απειλές», δήλωσε ο Corey Nachreiner, επικεφαλής ασφαλείας της WatchGuard Technologies. “Δικαίως, τα μεγάλα βραβεία για τους εισβολείς, όπως ένας διακομιστής Exchange ή ένα σύστημα διαχείρισης SCADA αξίζουν εξαιρετική προσοχή και αυτό το τρίμηνο. Όταν μια ενημερωμένη έκδοση κώδικα είναι διαθέσιμη, είναι σημαντικό να ενημερώσετε αμέσως, καθώς οι επιτιθέμενοι θα επωφεληθούν τελικά από οποιονδήποτε οργανισμό που δεν έχει ακόμη εφαρμόσει την πιο πρόσφατη ενημερωμένη έκδοση κώδικα.

Άλλα βασικά ευρήματα από την έκθεση για την ασφάλεια του Διαδικτύου Q3 περιλαμβάνουν:

1. Η συντριπτική πλειοψηφία του κακόβουλου λογισμικού που φτάνει μέσω κρυπτογραφημένων συνδέσεων – Παρόλο που το Agent.IIQ κατέλαβε την τρίτη θέση στην κανονική λίστα κορυφαίων 10 κακόβουλων προγραμμάτων αυτό το τρίμηνο, προσγειώθηκε στην πρώτη θέση στην κορυφή της κρυπτογραφημένης λίστας κακόβουλου λογισμικού για το Q3. Στην πραγματικότητα, αν κοιτάξετε τις ανιχνεύσεις για αυτό και στις δύο αυτές λίστες, θα δείτε ότι όλες οι ανιχνεύσεις Agent.IIQ προέρχονται από κρυπτογραφημένες συνδέσεις. Στο Q3, εάν ένα Firebox επιθεωρούσε κρυπτογραφημένη κίνηση, το 82% του κακόβουλου λογισμικού που θα εντόπιζε ήταν μέσω αυτής της κρυπτογραφημένης σύνδεσης, αφήνοντας μόνο ένα πενιχρό 18% να εντοπιστεί χωρίς κρυπτογράφηση. Εάν δεν ελέγχετε την κρυπτογραφημένη κίνηση στο Firebox σας, είναι πολύ πιθανό ότι αυτή η μέση αναλογία παραμένει αληθινή και χάνετε ένα τεράστιο μέρος κακόβουλου λογισμικού. Ας ελπίσουμε ότι έχετε τουλάχιστον εφαρμόσει προστασία τελικού σημείου για μια ευκαιρία να το πιάσετε πιο κάτω στην αλυσίδα δολοφονίας στον κυβερνοχώρο.
2. Τα συστήματα ICS και SCADA παραμένουν δημοφιλείς στόχοι επίθεσης – Νέα στη λίστα των 10 κορυφαίων επιθέσεων δικτύου αυτό το τρίμηνο είναι μια επίθεση τύπου sql injection που επηρέασε αρκετούς προμηθευτές. Μία από αυτές τις εταιρείες είναι η Advantech, της οποίας η πύλη WebAccess χρησιμοποιείται για συστήματα SCADA σε μια ποικιλία κρίσιμων υποδομών. Μια άλλη σοβαρή εκμετάλλευση στο Q3, η οποία εμφανίστηκε επίσης στις πέντε κορυφαίες κατ ‘όγκο επιθέσεις δικτύου, αφορούσε τις εκδόσεις λογισμικού U.motion Builder 1.2.1 της Schneider Electric και προηγούμενες. Αυτή είναι μια έντονη υπενθύμιση ότι οι επιτιθέμενοι δεν περιμένουν ήσυχα μια ευκαιρία – μάλλον, αναζητούν ενεργά συμβιβασμό συστήματος όπου είναι δυνατόν.
3. Τα θέματα ευπάθειας του διακομιστή Exchange συνεχίζουν να ενέχουν κίνδυνο – Το πιο πρόσφατο CVE ανάμεσα στις νέες υπογραφές που ανακάλυψε το WatchGuard Threat Lab αυτό το τρίμηνο, CVE-2021-26855, είναι ένα θέμα ευπάθειας απομακρυσμένης εκτέλεσης κώδικα (RCE) του Microsoft Exchange Server για διακομιστές εσωτερικής εγκατάστασης. Αυτή η ευπάθεια RCE έλαβε βαθμολογία CVE 9,8 και είναι γνωστό ότι έχει αξιοποιηθεί. Η ημερομηνία και η σοβαρότητα αυτού του CVE-2021-26855 θα πρέπει επίσης να χτυπήσει ένα κουδούνι, καθώς είναι ένα από τα κατορθώματα που χρησιμοποιεί η ομάδα HAFNIUM. Ενώ οι περισσότεροι διακομιστές Exchange που επηρεάζονται από αυτό πιθανότατα έχουν επιδιορθωθεί μέχρι τώρα, οι περισσότεροι δεν ισοδυναμούν με όλους. Ως εκ τούτου, οι κίνδυνοι παραμένουν.
4. Παράγοντες απειλής που στοχεύουν όσους αναζητούν δωρεάν λογισμικό – Το Fugrafa κατεβάζει κακόβουλο λογισμικό που εισάγει κακόβουλο κώδικα. Αυτό το τρίμηνο, το Threat Lab εξέτασε ένα δείγμα του που βρέθηκε σε μια μηχανή εξαπάτησης για το δημοφιλές παιχνίδι Minecraft. Ενώ το αρχείο που κοινοποιήθηκε κυρίως στο Discord ισχυρίζεται ότι είναι η μηχανή εξαπάτησης Minecraft Vape V4 Beta, αυτό δεν είναι το μόνο που περιέχει. Το Agent.FZUW έχει κάποιες ομοιότητες με το Variant.Fugrafa, αλλά αντί να εγκατασταθεί μέσω μιας μηχανής εξαπάτησης, το ίδιο το αρχείο προσποιείται ότι έχει παραβιάσει λογισμικό. Το Threat Lab ανακάλυψε ότι το συγκεκριμένο δείγμα έχει συνδέσεις με το Racoon Stealer, μια καμπάνια hacking κρυπτονομισμάτων που χρησιμοποιείται για την παραβίαση πληροφοριών λογαριασμού από υπηρεσίες ανταλλαγής κρυπτονομισμάτων.
5. Το κακόβουλο λογισμικό LemonDuck εξελίσσεται πέρα από την παράδοση κρυπτογράφησης – Ακόμη και με μια πτώση στους συνολικούς αποκλεισμένους ή εντοπισμένους τομείς κακόβουλου λογισμικού για το τρίτο τρίμηνο του 2022, είναι εύκολο να δούμε ότι οι επιθέσεις σε ανυποψίαστους χρήστες εξακολουθούν να είναι υψηλές. Με τρεις νέες προσθήκες στην κορυφαία λίστα τομέων κακόβουλου λογισμικού – δύο από τους οποίους ήταν πρώην τομείς κακόβουλου λογισμικού LemonDuck και το άλλο μέρος ενός τομέα ταξινόμησης Emotet – το Q3 βρήκε περισσότερα κακόβουλα λογισμικά, ακόμα και σε νεότερους από το συνηθισμένο ιστοτόπους. Αυτή η τάση θα αλλάξει και θα τροποποιηθεί με το τοπίο των κρυπτονομισμάτων σε αναταραχή, καθώς οι επιτιθέμενοι αναζητούν άλλους χώρους για να εξαπατήσουν τους χρήστες. Η ενεργοποίηση της προστασίας DNS είναι ένας τρόπος παρακολούθησης και αποκλεισμού ανυποψίαστων χρηστών από το να επιτρέπουν κακόβουλο λογισμικό ή άλλα σοβαρά ζητήματα στον οργανισμό σας.
6. Συσκότιση JavaScript σε κιτ εκμετάλλευσης – Το Signature 1132518, μια γενική ευπάθεια για την ανίχνευση επιθέσεων συσκότισης JavaScript εναντίον προγραμμάτων περιήγησης, ήταν η μόνη νέα προσθήκη στη λίστα υπογραφών επίθεσης δικτύου αυτό το τρίμηνο. Η JavaScript είναι ένας κοινός φορέας για επιθέσεις σε χρήστες και οι φορείς απειλής χρησιμοποιούν συνεχώς κιτ εκμετάλλευσης που βασίζονται σε JavaScript – σε επιθέσεις malvertising, watering hole και phishing, για να αναφέρουμε μόνο μερικά. Καθώς οι αμυντικές οχυρώσεις έχουν βελτιωθεί στα προγράμματα περιήγησης, το ίδιο ισχύει και για την ικανότητα των εισβολέων να συσκοτίζουν κακόβουλο κώδικα JavaScript.
7. Ανατομία των εμπορευματικών επιθέσεων adversary-in-the-middle – Ενώ ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) είναι αναμφισβήτητα η καλύτερη τεχνολογία που μπορείτε να αναπτύξετε για προστασία από το μεγαλύτερο μέρος των επιθέσεων ελέγχου ταυτότητας, δεν είναι από μόνη της μια ασημένια σφαίρα ενάντια σε όλους τους φορείς επίθεσης. Οι αντίπαλοι στον κυβερνοχώρο το έχουν καταστήσει σαφές με την ταχεία άνοδο και εμπορευματοποίηση των επιθέσεων adversary-in-the-middle (AitM) και η βαθιά κατάδυση του Threat Lab στο EvilProxy, το κορυφαίο περιστατικό ασφαλείας του Q3, δείχνει πώς οι κακόβουλοι παράγοντες αρχίζουν να στρέφονται σε πιο εξελιγμένες τεχνικές AitM. Όπως και η προσφορά Ransomware as a Service που έγινε δημοφιλής τα τελευταία χρόνια, η κυκλοφορία τον Σεπτέμβριο του 2022 μιας εργαλειοθήκης AitM που ονομάζεται EvilProxy μείωσε σημαντικά το εμπόδιο εισόδου για αυτό που προηγουμένως ήταν μια εξελιγμένη τεχνική επίθεσης. Από αμυντική άποψη, η επιτυχής καταπολέμηση αυτού του είδους τεχνικής επίθεσης AitM απαιτεί ένα συνδυασμό τεχνικών εργαλείων και ευαισθητοποίησης των χρηστών.
8. Μια οικογένεια κακόβουλου λογισμικού με δεσμούς Gothic Panda – Η έκθεση του Threat Lab για το 2ο τρίμηνο του 2022 περιέγραψε πώς το Gothic Panda – ένας κρατικός παράγοντας απειλών που συνδέεται με το Υπουργείο Κρατικής Ασφάλειας της Κίνας – ήταν γνωστό ότι χρησιμοποιούσε μία από τις κορυφαίες ανιχνεύσεις κακόβουλου λογισμικού για εκείνη τη χρονική περίοδο. Είναι ενδιαφέρον ότι η κορυφαία λίστα κρυπτογραφημένου κακόβουλου λογισμικού για το Q3 περιλαμβάνει μια οικογένεια κακόβουλου λογισμικού που ονομάζεται Taidoor, η οποία δεν δημιουργήθηκε μόνο από το Gothic Panda, αλλά χρησιμοποιήθηκε μόνο από κυβερνητικούς παράγοντες της κινεζικής κυβέρνησης. Ενώ αυτό το κακόβουλο λογισμικό επικεντρώνεται συνήθως σε στόχους στην Ιαπωνία και την Ταϊβάν γενικά, το δείγμα Generic.Taidoor που αναλύθηκε αυτό το τρίμηνο βρέθηκε να στοχεύει κυρίως οργανισμούς στη Γαλλία, υποδηλώνοντας ότι ορισμένα Fireboxes σε αυτήν την περιοχή ενδέχεται να έχουν εντοπίσει και αποκλείσει τμήματα μιας κρατικής επίθεσης στον κυβερνοχώρο.
9. Νέες ομάδες ransomware και εισβολέων – Επιπλέον, αυτό το τρίμηνο, το Threat Lab ανακοινώνει με ενθουσιασμό, μια νέα, συντονισμένη προσπάθεια για την παρακολούθηση των τρεχουσών ομάδων εκβιασμού ransomware και την ανάπτυξη των δυνατοτήτων πληροφοριών απειλών για την παροχή περισσότερων πληροφοριών που σχετίζονται με ransomware σε μελλοντικές αναφορές. Στο Q3, το LockBit βρίσκεται στην κορυφή της λίστας για το Q3 με περισσότερους από 200 δημόσιους εκβιασμούς στο σκοτεινό διαδίκτυο – σχεδόν τέσσερις φορές περισσότερους από αυτόν της Basta, της δεύτερης της δεύτερης πιο παραγωγικής ομάδας ransomware που παρατήρησε η WatchGuard αυτό το τρίμηνο.

Οι τριμηνιαίες ερευνητικές αναφορές του WatchGuard βασίζονται σε ανώνυμα δεδομένα Feed Firebox από ενεργά WatchGuard Fireboxes των οποίων οι ιδιοκτήτες επέλεξαν να μοιράζονται δεδομένα για άμεση υποστήριξη των ερευνητικών προσπαθειών του Threat Lab. Το 3ο τρίμηνο, το WatchGuard απέκλεισε συνολικά περισσότερες από 17,3 εκατομμύρια παραλλαγές κακόβουλου λογισμικού (211 ανά συσκευή) και περισσότερες από 2,3 εκατομμύρια απειλές δικτύου (28 ανά συσκευή). Η πλήρης έκθεση περιλαμβάνει λεπτομέρειες σχετικά με πρόσθετες τάσεις κακόβουλου λογισμικού και δικτύου από το 3ο τρίμηνο του 2022, προτεινόμενες στρατηγικές ασφαλείας, κρίσιμες συμβουλές άμυνας για επιχειρήσεις όλων των μεγεθών και σε οποιονδήποτε τομέα και πολλά άλλα.

Για μια λεπτομερή εικόνα της έρευνας του WatchGuard, διαβάστε την πλήρη Έκθεση Ασφάλειας Διαδικτύου 3ου τριμήνου 2022 εδώ.