ESET Bedrohungsbericht T2 2022

Die vergangenen vier Monate waren für viele von uns auf der Nordhalbkugel die Zeit der Sommerferien. Es scheint, dass einige Malware-Betreiber diese Zeit auch als Gelegenheit genutzt haben, sich möglicherweise auszuruhen, sich neu zu konzentrieren und ihre aktuellen Verfahren und Aktivitäten neu zu analysieren.

Laut unserer Telemetrie war der August ein Urlaubsmonat für die Betreiber von Emotet, die einflussreichste Downloader-Sorte. Die Gang dahinter passte sich auch der Entscheidung von Microsoft an, VBA-Makros in Dokumenten zu deaktivieren, die aus dem Internet stammen, und konzentrierte sich auf Kampagnen, die auf bewaffneten Microsoft Office-Dateien und LNK-Dateien basieren.

In T2 2022 sahen wir die Fortsetzung des starken Rückgangs von Remote Desktop Protocol (RDP)-Angriffen, die wahrscheinlich aufgrund des Russland-Ukraine-Krieges weiter an Fahrt verloren, zusammen mit der Rückkehr in die Büros nach COVID und der insgesamt verbesserten Sicherheit von Unternehmensumgebungen.

Trotz rückläufiger Zahlen waren russische IP-Adressen weiterhin für den größten Teil der RDP-Angriffe verantwortlich. In T1 2022 war Russland auch das Land, das am stärksten von Ransomware angegriffen wurde, wobei einige der Angriffe politisch oder ideologisch durch den Krieg motiviert waren. Wie Sie jedoch im ESET Threat Report T2 2022 lesen werden, ist diese Hacktivismus-Welle in T2 zurückgegangen, und Ransomware-Betreiber richteten ihre Aufmerksamkeit auf die Vereinigten Staaten, China und Israel.

In Bezug auf Bedrohungen, die hauptsächlich Privatanwender betreffen, haben wir einen sechsfachen Anstieg der Erkennung von Phishing-Ködern mit Versandmotiven festgestellt, die den Opfern meistens gefälschte DHL- und USPS-Anfragen zur Überprüfung von Versandadressen präsentieren.

Ein Web-Skimmer namens Magecart, der in T1 2022 einen dreifachen Anstieg verzeichnete, war weiterhin die größte Bedrohung, die es auf die Kreditkartendaten von Online-Käufern abgesehen hatte. Die sinkenden Wechselkurse von Kryptowährungen wirkten sich auch auf Online-Bedrohungen aus – Kriminelle wandten sich dem Diebstahl von Kryptowährungen zu, anstatt sie zu schürfen, was sich in einer Verdoppelung der Phishing-Köder mit Kryptowährung und der steigenden Zahl von Kryptostealern zeigt.

Auch forschungstechnisch waren die vergangenen vier Monate interessant. Unsere Forscher haben ein bisher Unbekanntes entdeckt macOS-Hintertür und es später ScarCruft zuschrieb, entdeckte eine aktualisierte Version der Sandworm APT-Gruppe ArguePatch-Malware-Loader, entblößte Lazarus Nutzlasten in Trojaner-Apps, und analysierte eine Instanz des Lazarus Operation In(ter)ception-Kampagne Zielen auf macOS-Geräte beim Spearphishing in Krypto-Gewässern. Sie haben auch entdeckt Pufferüberlauf-Schwachstellen in Lenovo UEFI-Firmware und eine neue Kampagne mit a gefälschtes Salesforce-Update als Köder.

In den letzten Monaten haben wir unser Wissen weiterhin auf den Cybersicherheitskonferenzen Virus Bulletin, Black Hat USA, RSA, CODE BLUE, SecTor, REcon, LABSCon und BSides Montreal geteilt, wo wir unsere Erkenntnisse über Kampagnen von OilRig, APT35, Agrius, Sandworm, Lazarus und POLONIUM. Wir sprachen auch über die Zukunft von UEFI-Bedrohungen, analysierten den einzigartigen Loader, den wir Wslink nannten, und erklärten, wie ESET Research bösartige Bedrohungen und Kampagnen zuordnet. In den kommenden Monaten laden wir Sie gerne zu ESET-Gesprächen bei AVAR, Ekoparty und vielen anderen ein.

Ich wünsche Ihnen eine aufschlussreiche Lektüre.

Folgen Sie uns ESET-Forschung auf Twitter für regelmäßige Updates zu wichtigen Trends und Top-Bedrohungen.