Due dati emergono con particolare rilevanza dal nuovo report di WatchGuard Technologies relativo al quarto trimestre del 2024: il malware di rete è cresciuto del 94% rispetto al trimestre precedente e il malware Zero Day è risalito al 53%, dopo aver toccato il minimo storico del 20% nel terzo trimestre. Questi risultati provengono dall’analisi dei Firebox Feed, che aggregano in modo anonimo i dati provenienti dai dispositivi WatchGuard Firebox distribuiti a livello globale, in modo da offrire una panoramica dettagliata sulle minacce rilevate tra ottobre e dicembre 2024.

L’aumento del malware di rete riflette una pressione crescente sulle difese aziendali, mentre il ritorno del malware Zero Day indica una ripresa delle tecniche di evasione: non è un caso che oltre la metà delle minacce rilevate sia sfuggita ai tradizionali sistemi di detection basati su firme. In sostanza, è ormai mandatoria l’implementazione di tecniche proattive come sandboxing e analisi comportamentale. Tornando poi ai dati, nel periodo in esame il malware Zero Day ha rappresentato il 78% delle minacce veicolate tramite connessioni cifrate TLS. Questo conferma la crittografia, se non monitorata, diventa una protezione efficace per gli attaccanti.

Il report evidenzia poi la continua evoluzione della superficie di attacco: il numero totale di minacce malware uniche è diminuito del 91% rispetto al trimestre precedente, il che testimonia un calo degli attacchi mirati isolati. La controparte è però un aumento di malware generico e diffuso, che non implica però una minore pericolosità: le minacce che riescono a superare le difese sono spesso più sofisticate e persistenti. La percentuale di malware che sfrutta connessioni cifrate è salita al 60%, con un incremento di 8 punti rispetto al trimestre precedente, segno che gli attaccanti prediligono canali difficili da ispezionare per veicolare le proprie minacce.

Sul fronte degli attacchi di rete, il quarto trimestre ha visto una diminuzione del 27% rispetto al trimestre precedente, ma il numero di tecniche di attacco uniche è aumentato del 13%. Gli exploit più usati restano quelli storici e consolidati, come le vulnerabilità ProxyLogon di Microsoft Exchange e HAProxy. Questo dato conferma che gli attaccanti preferiscono strategie collaudate, che prendono di mira sistemi non aggiornati o configurati in modo errato. La top ten degli attacchi di rete è dominata da exploit contro applicazioni web, come directory traversal, file inclusion, cross-site scripting e SQL injection, molti dei quali sfruttano vulnerabilità note da anni1.

Un aspetto di rilievo riguarda la persistenza delle infrastrutture di phishing: la lista dei principali domini malevoli e di phishing rimane invariata rispetto al trimestre precedente. In particolare, i domini che imitano portali SharePoint e Office 365 continuano a essere utilizzati per campagne BEC finalizzate al furto di credenziali e all’accesso a servizi cloud critici. La capacità degli attaccanti di mantenere attiva e operativa la stessa infrastruttura per più trimestri sottolinea l’efficacia di queste campagne e la difficoltà di contrastarle senza strumenti di difesa specifici a livello DNS e di awareness degli utenti.

Il report sottolinea il trend in crescita degli attacchi Living off-the-land (LotL), che sfruttano strumenti legittimi di sistema come PowerShell, WMI e macro di Office per eseguire codice malevolo senza ricorrere a file esterni. Nel quarto trimestre, il 61% delle tecniche di attacco agli endpoint ha utilizzato injection e script PowerShell, che rappresentano quasi l’83% di tutti i vettori di attacco agli endpoint. Di questo 83%, il 97% è attribuibile a PowerShell, confermando come questo strumento sia ormai la principale via d’accesso per gli attori delle minacce. L’uso di tecniche LotL consente di eludere molti controlli di sicurezza tradizionali, sfruttando processi di sistema già presenti e spesso considerati affidabili.

L’analisi tecnica dei malware

Analizzando i malware più rilevanti, il report segnala la presenza di coinminer come Application.Linux.Generic.24096 e il ritorno di Trojan.Linux.Mirai.1, botnet nota per colpire dispositivi IoT e sistemi Linux. Particolare attenzione è dedicata anche a JS.Heur.Morpheus.1.E810619B.Gen, un malware che sfrutta email con allegati compressi e script PowerShell per installare keylogger e spyware.

Tra i dropper più diffusi figurano Application.Agent.IIQ e Trojan.GenericKD.71026669, mentre PasswordStealer.GenericKDS continua a mietere vittime tra le credenziali aziendali. Un esempio di catena di infezione sofisticata è Trojan.Sesfix.1, che attraverso una sequenza di file ICO e script, installa il coinminer Xmrig sfruttando la persistenza in memoria: anche se rilevato e rimosso, il malware può ripristinarsi autonomamente caricando i file in memoria.

Per quanto riguarda le tecniche, il report evidenzia l’uso crescente di strumenti come Impacket (Application.Agent.LGP), una suite Python per la manipolazione di protocolli di rete e il movimento laterale spesso associata a furto di credenziali e attività di ricognizione. Sul fronte phishing, JS.Phishing.3.39554A09 si distingue per la capacità di replicare fedelmente portali di login Microsoft, inducendo gli utenti a consegnare le proprie credenziali a domini malevoli.

Come difendersi

Le raccomandazioni per la remediation si concentrano su alcuni pilastri fondamentali. È essenziale abilitare l’ispezione del traffico TLS per intercettare le minacce che sfruttano la crittografia, adottare soluzioni di endpoint protection che combinino analisi comportamentale, sandboxing e machine learning, e mantenere aggiornati tutti i sistemi e le applicazioni, con particolare attenzione alle vulnerabilità note sfruttate dagli exploit più diffusi. La segmentazione della rete e il monitoraggio costante degli strumenti di amministrazione remota sono altrettanto importanti per limitare i movimenti laterali degli attaccanti. Infine, la formazione continua degli utenti e l’implementazione di autenticazione a più fattori rappresentano barriere efficaci contro il phishing e la compromissione delle credenziali.