Laporan Ancaman ESET T2 2022

Empat bulan terakhir adalah waktu liburan musim panas bagi banyak dari kita di belahan bumi utara. Tampaknya beberapa operator malware juga menggunakan waktu ini sebagai kesempatan untuk beristirahat, memfokuskan kembali, dan menganalisis kembali prosedur dan aktivitas mereka saat ini.

Menurut telemetri kami, Agustus adalah bulan liburan bagi para operator Emotet, jenis pengunduh yang paling berpengaruh. Geng di belakangnya juga beradaptasi dengan keputusan Microsoft untuk menonaktifkan makro VBA dalam dokumen yang berasal dari internet dan berfokus pada kampanye berdasarkan file Microsoft Office dan file LNK yang dipersenjatai.

Pada T2 2022, kami melihat kelanjutan dari penurunan tajam serangan Remote Desktop Protocol (RDP), yang kemungkinan terus kehilangan tenaga karena perang Rusia-Ukraina, bersama dengan kembalinya kantor pasca-COVID dan peningkatan keamanan secara keseluruhan. lingkungan perusahaan.

Bahkan dengan jumlah yang menurun, alamat IP Rusia terus bertanggung jawab atas porsi terbesar serangan RDP. Pada T1 2022, Rusia juga merupakan negara yang paling menjadi sasaran ransomware, dengan beberapa serangan bermotif politik atau ideologis oleh perang. Namun, seperti yang akan Anda baca di ESET Threat Report T2 2022, gelombang hacktivism ini telah menurun di T2, dan operator ransomware mengalihkan perhatian mereka ke Amerika Serikat, Cina, dan Israel.

Dalam hal ancaman yang sebagian besar berdampak pada pengguna rumahan, kami melihat peningkatan enam kali lipat dalam deteksi umpan phishing bertema pengiriman, sebagian besar waktu menghadirkan permintaan DHL dan USPS palsu kepada para korban untuk memverifikasi alamat pengiriman.

Skimmer web yang dikenal sebagai Magecart, yang mengalami peningkatan tiga kali lipat pada T1 2022, terus menjadi ancaman utama setelah detail kartu kredit pembeli online. Nilai tukar mata uang kripto yang anjlok juga memengaruhi ancaman online – penjahat beralih ke mencuri mata uang kripto daripada menambangnya, seperti yang terlihat dalam peningkatan dua kali lipat dalam umpan phishing bertema mata uang kripto dan meningkatnya jumlah pencuri kripto.

Empat bulan terakhir juga menarik dalam hal penelitian. Peneliti kami menemukan hal yang sebelumnya tidak diketahui pintu belakang macOS dan kemudian menghubungkannya dengan ScarCruft, menemukan versi terbaru dari grup Sandworm APT Pemuat malware ArguePatch, menemukan Lazarus muatan in aplikasi trojan, dan menganalisis contoh Lazarus Kampanye Operasi Dalam (ter)sepsi menargetkan perangkat macOS sambil melakukan spearphishing di crypto-waters. Mereka juga menemukan kerentanan buffer overflow di firmware Lenovo UEFI dan kampanye baru menggunakan a pembaruan Salesforce palsu sebagai umpan.

Selama beberapa bulan terakhir, kami terus membagikan pengetahuan kami di konferensi keamanan siber Virus Bulletin, Black Hat USA, RSA, CODE BLUE, SecTor, REcon, LABSCon, dan BSides Montreal, di mana kami mengungkapkan temuan kami tentang kampanye yang disebarkan oleh OilRig, APT35, Agrius, Sandworm, Lazarus, dan POLONIUM. Kami juga berbicara tentang masa depan ancaman UEFI, membedah pemuat unik yang kami beri nama Wslink, dan menjelaskan bagaimana ESET Research melakukan atribusi ancaman dan kampanye berbahaya. Untuk beberapa bulan mendatang, kami dengan senang hati mengundang Anda ke pembicaraan ESET di AVAR, Ekoparty, dan banyak lainnya.

Saya berharap Anda membaca wawasan.

Mengikuti Penelitian ESET di Twitter untuk pembaruan rutin tentang tren utama dan ancaman teratas.