Έκθεση απειλής ESET T2 2022

Οι τελευταίοι τέσσερις μήνες ήταν η εποχή των καλοκαιρινών διακοπών για πολλούς από εμάς στο βόρειο ημισφαίριο. Φαίνεται ότι ορισμένοι χειριστές κακόβουλου λογισμικού εκμεταλλεύτηκαν επίσης αυτή τη φορά ως ευκαιρία για να ξεκουραστούν, να επικεντρωθούν εκ νέου και να αναλύσουν εκ νέου τις τρέχουσες διαδικασίες και τις δραστηριότητές τους.

Σύμφωνα με την τηλεμετρία μας, ο Αύγουστος ήταν μήνας διακοπών για τους χειριστές του Emotet, το πιο σημαντικό είδος προγράμματος λήψης. Η συμμορία πίσω από αυτό προσαρμόστηκε επίσης στην απόφαση της Microsoft να απενεργοποιήσει τις μακροεντολές VBA σε έγγραφα που προέρχονται από το Διαδίκτυο και επικεντρώθηκε σε καμπάνιες που βασίζονται σε οπλισμένα αρχεία του Microsoft Office και αρχεία LNK.

Στο T2 2022, είδαμε τη συνέχιση της απότομης μείωσης των επιθέσεων Remote Desktop Protocol (RDP), οι οποίες πιθανότατα συνέχισαν να χάνουν την ορμή τους λόγω του πολέμου Ρωσίας-Ουκρανίας, μαζί με την επιστροφή στα γραφεία μετά την COVID-XNUMX και τη γενική βελτιωμένη ασφάλεια του εταιρικά περιβάλλοντα.

Ακόμη και με τη μείωση των αριθμών, οι ρωσικές διευθύνσεις IP συνέχισαν να είναι υπεύθυνες για το μεγαλύτερο μέρος των επιθέσεων RDP. Στο T1 2022, η Ρωσία ήταν επίσης η χώρα που στοχοποιήθηκε περισσότερο από ransomware, με ορισμένες από τις επιθέσεις να έχουν πολιτικά ή ιδεολογικά κίνητρα από τον πόλεμο. Ωστόσο, όπως θα διαβάσετε στην Έκθεση Απειλής της ESET T2 2022, αυτό το κύμα hacktivism έχει μειωθεί στο T2 και οι χειριστές ransomware έστρεψαν την προσοχή τους στις Ηνωμένες Πολιτείες, την Κίνα και το Ισραήλ.

Όσον αφορά τις απειλές που επηρεάζουν κυρίως τους οικιακούς χρήστες, παρατηρήσαμε εξαπλάσια αύξηση στις ανιχνεύσεις θέλγητρα phishing με θέμα τη ναυτιλία, παρουσιάζοντας τις περισσότερες φορές στα θύματα ψεύτικα αιτήματα DHL και USPS για επαλήθευση διευθύνσεων αποστολής.

Ένα web skimmer γνωστό ως Magecart, το οποίο σημείωσε τριπλάσια αύξηση στο T1 2022, συνέχισε να είναι η κύρια απειλή μετά τα στοιχεία της πιστωτικής κάρτας των online αγοραστών. Η κατακόρυφη πτώση των συναλλαγματικών ισοτιμιών των κρυπτονομισμάτων επηρέασε επίσης τις διαδικτυακές απειλές – οι εγκληματίες στράφηκαν στην κλοπή κρυπτονομισμάτων αντί να τα εξορύξουν, όπως φαίνεται στη διπλάσια αύξηση των θέλγητρων phishing με θέμα τα κρυπτονομίσματα και στην αύξηση του αριθμού των κρυπτοκλοπών.

Οι τελευταίοι τέσσερις μήνες ήταν επίσης ενδιαφέροντες από ερευνητικούς όρους. Οι ερευνητές μας αποκάλυψαν ένα άγνωστο στο παρελθόν backdoor macOS και αργότερα το απέδωσε στην ScarCruft, ανακάλυψε μια ενημερωμένη έκδοση της ομάδας Sandworm APT Φορτωτή κακόβουλου λογισμικού ArguePatch, ξεσκέπασε τον Λάζαρο ωφέλιμων φορτίων in τρωανοποιημένες εφαρμογές, και ανέλυσε ένα παράδειγμα του Λαζάρου Εκστρατεία Operation In(ter)ception στόχευση συσκευών macOS ενώ ψαρεύετε σε κρυπτονομίσματα. Ανακάλυψαν επίσης τρωτά σημεία υπερχείλισης buffer στο υλικολογισμικό UEFI της Lenovo και σε μια νέα καμπάνια χρησιμοποιώντας α ψεύτικη ενημέρωση Salesforce ως δέλεαρ.

Κατά τη διάρκεια των τελευταίων μηνών, συνεχίσαμε να μοιραζόμαστε τις γνώσεις μας στα συνέδρια για την ασφάλεια στον κυβερνοχώρο, Black Hat USA, RSA, CODE BLUE, SecTor, REcon, LABSCon και BSides στο Μόντρεαλ, όπου αποκαλύψαμε τα ευρήματά μας σχετικά με τις καμπάνιες που αναπτύσσονται από την OilRig, APT35, Agrius, Sandworm, Lazarus και POLONIUM. Μιλήσαμε επίσης για το μέλλον των απειλών του UEFI, αναλύσαμε το μοναδικό πρόγραμμα φόρτωσης που ονομάσαμε Wslink και εξηγήσαμε πώς η ESET Research αποδίδει κακόβουλες απειλές και καμπάνιες. Για τους επόμενους μήνες, είμαστε στην ευχάριστη θέση να σας προσκαλέσουμε σε ομιλίες της ESET στο AVAR, στο Ekoparty και σε πολλούς άλλους.

Σας εύχομαι μια οξυδερκή ανάγνωση.

Ακολουθώ Έρευνα ESET στο Twitter για τακτικές ενημερώσεις σχετικά με τις βασικές τάσεις και τις κορυφαίες απειλές.