A WatchGuard Technologies divulgou o seu relatório trimestral “Internet Security Report for Q2 2019“, que tem por base os dados anónimos do Firebox Feed recolhidos junto de um subconjunto de dispositivos WatchGuard UTM activos cujos proprietários optaram por partilhar esses dados para apoiar os esforços de investigação da empresa.
Pela primeira vez, dois módulos do sistema operativo Kali Linux, utilizado pelos hackers, aparecem na lista dos malwares mais comuns. O Trojan.GenericKD, que abrange uma família de malware que cria um backdoor para um servidor de comando e controlo, e o Backdoor.Small.DT, um script web shell usado para criar backdoors em servidores Web, ocupam os lugares seis e sete da lista. Isto pode indicar uma adopção crescente por parte dos hackers ou o crescimento no número de testes de penetração realizados por white hackers com recurso ao Kali Linux.
De uma forma geral, o volume total do malware detectado pelas Fireboxes da WatchGuard cresceu significativamente em comparação com o período homólogo do ano passado. Dois dos três serviços de detecção da WatchGuard registaram um crescimento no malware no segundo trimestre de 2019 face ao mesmo período de 2018: um bloqueou mais 58% e o outro mais 68%, para um crescimento homólogo global de 64%.
Os ataques por SQL injection representaram 34% de todos os ataques de rede detectados no segundo trimestre e cresceram significativamente em volume face ao período homólogo. Todos os que possuem uma base de dados SQL ou um servidor Web com acesso a uma, devem corrigir regularmente os sistemas.
No segundo trimestre de 2019, cerca de 37% de todo o malware apontou baterias à região da EMEA, com múltiplos ataques individuais a terem como alvos específicos o Reino Unido, Itália, Alemanha e Mauritânia. A região APAC surge logo atrás, atingida por 36% de todos os ataques de malware.
O relatório também contém uma análise detalhada ao malware real usado nos ataques de ransomware Sodinokibi MSP. A investigação do WatchGuard Threat Lab mostra que os invasores utilizaram credenciais fracas ou roubadas para obter acesso de administrador a ferramentas de gestão legítimas que esses MSPs usavam para monitorizar e gerir as redes dos seus clientes, usando depois essas ferramentas para desactivar os controlos de segurança, preparar e lançar o ransomware Sodinokibi via PowerShell.