Ransomware e malware senza file stanno entrambi registrando grandi picchi quest’anno. Secondo il rapporto sulla sicurezza Internet del secondo trimestre 2021 di WatchGuard Technologies, pubblicato di recente, nei primi sei mesi del 2021, si è riscontrato un numero di attacchi ransomware già quasi pari al volume totale di tutto l’anno precedente e si prevede di vedere un aumento del 150% entro la fine dell’anno.
Se i rilevamenti giornalieri di ransomware rimarranno invariati per il resto del 2021, il volume di quest’anno raggiungerà un aumento di oltre il 150% rispetto al 2020
Il malware senza file, quello originato da motori di scripting, come PowerShell, sta aumentando a un ritmo ancora maggiore ed è sulla buona strada per raddoppiare il totale del 2020 entro la fine dell’anno.
AMSI.Disable.A è uno di questi tipi di malware che risultano in aumento.
Questa famiglia di malware utilizza gli strumenti di PowerShell per sfruttare varie vulnerabilità in Windows. Ma ciò che lo rende particolarmente interessante è la sua tecnica evasiva.
E’ stato scoperto che AMSI.Disable.A utilizza un codice in grado di disabilitare l’Antimalware Scan Interface (AMSI) in PowerShell, consentendogli di aggirare i controlli di sicurezza degli script senza rilevare il payload del malware stesso.
Altri interessanti punti da considerare sono:
Un ben 91,5% di tutto il malware è arrivato tramite una connessione crittografata. In parole povere, qualsiasi organizzazione che non stia esaminando il traffico HTTPS crittografato nel perimetro non intercetta il 9/10 di tutti i malware.
Gli attacchi di rete sono aumentati del 22% nel trimestre, raggiungendo il più alto livello dal 2018. Infatti, il primo trimestre ha visto quasi 4,1 milioni di attacchi di rete. Nel trimestre successivo, quel numero è aumentato di un altro milione, tracciando un corso aggressivo che evidenzia la crescente importanza del mantenimento del perimetro di sicurezza insieme a protezioni incentrate sull’utente.
Microsoft Office continua a essere un popolare vettore di attacco. Esiste una nuova vulnerabilità RCE del 2017 che ha debuttato nel secondo trimestre direttamente come attacco di rete numero uno: anche se potrebbe essere un vecchio exploit e patchato nella maggior parte dei sistemi (si spera), quelli che devono ancora patchare si troveranno in un mare di problemi se un utente malintenzionato è in grado di raggiungerlo prima di loro.
A parte la vulnerabilità RCE del 2017 appena menzionata, ci sono altri due attacchi di rete da sottolineare, presenti tra i primi 10 hanno, che hanno sfruttato vecchie vulnerabilità: quella di Oracle GlassFish Server del 2011 [e] una falla di SQL injection del 2013 nell’applicazione per cartelle cliniche OpenEMR…”.