Informe de amenazas ESET T2 2022

Los últimos cuatro meses fueron el tiempo de las vacaciones de verano para muchos de nosotros en el hemisferio norte. Parece que algunos operadores de malware también aprovecharon este tiempo como una oportunidad para descansar, reenfocarse y volver a analizar sus procedimientos y actividades actuales.

Según nuestra telemetría, agosto fue mes de vacaciones para los operadores de Emotet, la variedad de descargas más influyente. La pandilla detrás de esto también se adaptó a la decisión de Microsoft de deshabilitar las macros de VBA en documentos que se originaron en Internet y se centró en campañas basadas en archivos de Microsoft Office y archivos LNK armados.

En T2 2022, vimos la continuación de la fuerte disminución de los ataques de Protocolo de escritorio remoto (RDP), que probablemente continuaron perdiendo fuerza debido a la guerra entre Rusia y Ucrania, junto con el regreso a las oficinas después de COVID y la seguridad general mejorada de entornos corporativos.

Incluso con números decrecientes, las direcciones IP rusas continuaron siendo responsables de la mayor parte de los ataques RDP. En T1 2022, Rusia también fue el país más atacado por ransomware, con algunos de los ataques motivados política o ideológicamente por la guerra. Sin embargo, como leerá en el Informe de amenazas de ESET T2 2022, esta ola de hacktivismo ha disminuido en T2 y los operadores de ransomware dirigieron su atención hacia los Estados Unidos, China e Israel.

En términos de amenazas que afectan principalmente a los usuarios domésticos, vimos un aumento de seis veces en las detecciones de señuelos de phishing con temas de envío, la mayoría de las veces presentando a las víctimas solicitudes falsas de DHL y USPS para verificar las direcciones de envío.

Un skimmer web conocido como Magecart, que se triplicó en el primer trimestre de 1, siguió siendo la principal amenaza que buscaba los datos de las tarjetas de crédito de los compradores en línea. La caída en picado de los tipos de cambio de las criptomonedas también afectó a las amenazas en línea: los delincuentes recurrieron al robo de criptomonedas en lugar de extraerlas, como se vio en un aumento al doble de los señuelos de phishing con temas de criptomonedas y un número creciente de criptoladrones.

Los últimos cuatro meses también fueron interesantes en términos de investigación. Nuestros investigadores descubrieron un previamente desconocido puerta trasera macOS y luego lo atribuyó a ScarCruft, descubrió una versión actualizada del grupo Sandworm APT ArguePatch cargador de malware, destapó a Lázaro cargas útiles in aplicaciones troyanizadas, y analizó una instancia del Lázaro Campaña Operación In(ter)cepción apuntar a dispositivos macOS mientras se realiza pesca submarina en aguas criptográficas. también descubrieron vulnerabilidades de desbordamiento de búfer en el firmware Lenovo UEFI y una nueva campaña usando un actualización falsa de Salesforce como señuelo.

Durante los últimos meses, hemos seguido compartiendo nuestro conocimiento en las conferencias de seguridad cibernética Virus Bulletin, Black Hat USA, RSA, CODE BLUE, SecTor, REcon, LABSCon y BSides Montreal, donde divulgamos nuestros hallazgos sobre las campañas implementadas por OilRig, APT35, Agrius, Gusano de arena, Lázaro y POLONIO. También hablamos sobre el futuro de las amenazas UEFI, analizamos el cargador único que llamamos Wslink y explicamos cómo ESET Research atribuye amenazas y campañas maliciosas. Para los próximos meses, nos complace invitarlo a las charlas de ESET en AVAR, Ekoparty y muchos otros.

Les deseo una lectura perspicaz.

Seguir Investigación de ESET en Twitter para obtener actualizaciones periódicas sobre las principales tendencias y amenazas.