Malware in calo, ma aumentano le minacce sugli endpoint

Nel terzo trimestre del 2024 il panorama della cybersecurity ha visto un aumento del 300% dei rilevamenti di malware per endpoint e un incremento del 40% delle rilevazioni basate su firme; in EMEA si è registrato il 53% di tutti gli attacchi malware in volume (che è il doppio rispetto al secondo trimestre 2024). Le buone notizie sono che gli attacchi malware sono complessivamente diminuiti del 15% rispetto al secondo trimestre 2024 e che il ransomware è in costante calo.

I dati sono pubblicati nel nuovo Internet Security Report di WatchGuard Technologies e sono frutto del Firebox Feed di WatchGuard, una rete di dispositivi Firebox che condividono dati anonimi. Il risultato che più sorprende è quello che abbiamo citato in apertura: l’aumento del 300% dei malware per endpoint, che segna una rottura con la tendenza degli anni precedenti, quando le variazioni nei tassi di detection di malware basati sulla rete e sugli endpoint si bilanciavano. La chiave di lettura proposta dagli esperti è che l’incremento sia dovuto principalmente a una quantità elevata di malware con caratteristiche simili a quelle dello spam che inondano gli endpoint.

All’opposto, le detection di malware basate sulla rete hanno subito un calo del 15%; ancora più notevole è il fatto che solo il 20% di queste rilevazioni riguardava malware zero-day, ossia i malware in grado di eludere le protezioni basate sulle firme. Anche qui siamo di fronte a un cambiamento significativo rispetto ai trimestri precedenti, in cui il malware zero-day rappresentava la maggior parte delle minacce rilevate sui perimetri di rete. La spiegazione più logica sembra essere che gli attaccanti si stanno concentrando sempre di più sullo sfruttamento di vulnerabilità note e sullo sviluppo di nuove tecniche di evasione.

C’è poi un terzo elemento che ha attirato l’attenzione degli analisti: la crescente prevalenza di malware che sfruttano connessioni crittografate TLS; il report riporta una percentuale del 52%, che lascia intendere come ormai sia vitale l'ispezione del traffico TLS, pena l’esposizione di una parte significativa del proprio perimetro.

Chiudiamo con le tendenze emerse nel corso del periodo in esame. Parte malware, in seguito alla disattivazione delle macro di Office, gli attaccanti hanno fatto ampio uso di file OneNote dannosi per distribuire il trojan bancario QBot. Inoltre, anche WatchGuard conferma la diffusione del RAT Remcos, più volte segnalato anche da Check Point.

Dal punto di vista geografico, il report evidenzia che l'EMEA ha attirato una quota significativa (53,13%) delle minacce, superando di gran lunga le Americhe (20,91%) e l'Asia-Pacifico (25,95%).