La stragrande maggioranza del malware è stata consegnata tramite connessioni crittografate, gli attacchi adversary-in-the-middle sono diventati una commodity.
Nel terzo trimestre 2022 la stragrande maggioranza del malware è stata consegnata tramite connessioni crittografate (l'82%, contro il 18% di malware rilevato dal traffico non crittografato). Il più celebre esponente della categoria, Agent.IIQ, si è classificato al terzo posto nella lista dei 10 principali malware nel terzo trimestre, ed è arrivato al primo posto nella lista dei malware crittografati. Impossibile trascurare poi la famiglia di malware con legami con Gothic Panda, un attore colluso con il Ministero della sicurezza statale cinese. Riallacciandosi con il discorso iniziale, si tratta di un malware crittografato che include una famiglia di malware chiamata Taidoor creata da Gothic Panda e utilizzata solo dagli attori informatici del governo cinese. I dati confermano un trend in corso da tempo, se si considera che nel secondo trimestre 2021 i dati erano persino superiori a questi valori.
L’Internet Security Report di WatchGuard Technologies sottolinea inoltre che i sistemi ICS e SCADA rimangono obiettivi di attacco di tendenza. Particolarmente popolare è risultato un attacco di tipo SQL injection che ha colpito diversi fornitori, fra cui Advantech. Questo ed altri eventi devono servire come monito per i difensori: gli attaccanti non stanno aspettando in silenzio un'opportunità, ma stanno cercando attivamente di compromettere i sistemi ove possibile.
Lo dimostra anche l’ampio sfruttamento di una vulnerabilità RCE dei server Exchange monitorata con la sigla CVE-2021-26855 e divenuta presto protagonista di un exploit utilizzati dal gruppo Hafnium. Sul fronte del malware si è registrato un calo dei domini bloccati o monitorati nel terzo trimestre del 2022, ma ci sono stati in circolazione più malware e tentativi di siti malware.
Le tendenze rilevate da WatchGuard segnalano poi un aumento dello sfruttamento di JavaScript per la realizzazione di exploit kit. JavaScript è un vettore ormai ampiamente usato per attacchi di malvertising, watering hole e phishing, solo per citarne alcuni. Poiché le difese sono migliorate sui browser, è migliorata anche la capacità degli attaccanti di offuscare il codice JavaScript malevolo.
Uno degli aspetti più interessanti del trimestre riguarda tuttavia gli attacchi adversary-in-the-middle (AitM), che sono diventati una commodity e sono oggetto di una sempre maggiore sofisticazione. Un esempio su tutti è il rilascio nel settembre 2022 di un toolkit AitM chiamato EvilProxy, che ha notevolmente abbassato la barriera di ingresso per quella che in precedenza era una sofisticata tecnica di attacco. Chiude la rassegna del Threat Lab di WatchGuard il punto sui ransomware. Il gruppo LockBit è risultato in cima alla lista con oltre 200 estorsioni pubbliche sulla sua pagina di rivendicazione nel dark web, quasi quattro volte di più di quelle del gruppo Black Basta.