ESET-bedreigingsrapport T2 2022

De afgelopen vier maanden waren voor velen van ons op het noordelijk halfrond de tijd van zomervakanties. Het lijkt erop dat sommige malware-operators deze tijd ook aangrepen als een kans om mogelijk te rusten, zich opnieuw te concentreren en hun huidige procedures en activiteiten opnieuw te analyseren.

Volgens onze telemetrie was augustus een vakantiemaand voor de operators van Emotet, de meest invloedrijke downloadersoort. De bende erachter paste zich ook aan de beslissing van Microsoft aan om VBA-macro's uit te schakelen in documenten die afkomstig waren van internet en richtte zich op campagnes op basis van bewapende Microsoft Office-bestanden en LNK-bestanden.

In T2 2022 zagen we de voortzetting van de scherpe daling van Remote Desktop Protocol (RDP) -aanvallen, die waarschijnlijk hun kracht bleven verliezen als gevolg van de oorlog tussen Rusland en Oekraïne, samen met de terugkeer naar kantoren na COVID en de algehele verbeterde beveiliging van bedrijfsomgevingen.

Zelfs met afnemende aantallen bleven Russische IP-adressen verantwoordelijk voor het grootste deel van de RDP-aanvallen. In T1 2022 was Rusland ook het land dat het meest het doelwit was van ransomware, waarbij sommige aanvallen politiek of ideologisch gemotiveerd waren door de oorlog. Zoals u echter zult lezen in het ESET Threat Report T2 2022, is deze golf van hacktivisme in T2 afgenomen en hebben ransomware-operators hun aandacht gericht op de Verenigde Staten, China en Israël.

Wat betreft bedreigingen die vooral thuisgebruikers treffen, zagen we een verzesvoudiging van detecties van phishing-lokmiddelen met verzendthema, waarbij de slachtoffers meestal nep-DHL- en USPS-verzoeken kregen om verzendadressen te verifiëren.

Een webskimmer, bekend als Magecart, die een verdrievoudiging zag in T1 2022, bleef de grootste bedreiging vormen voor de creditcardgegevens van online shoppers. De sterk dalende wisselkoersen van cryptocurrency hadden ook gevolgen voor online bedreigingen – criminelen gingen over tot het stelen van cryptocurrencies in plaats van ze te minen, zoals te zien is in een tweevoudige toename van phishing-lokmiddelen met cryptocurrency-thema en een toenemend aantal cryptostealers.

Ook onderzoekstechnisch waren de afgelopen vier maanden interessant. Onze onderzoekers ontdekten een voorheen onbekende macOS-achterdeur en later toegeschreven aan ScarCruft, ontdekte een bijgewerkte versie van de Sandworm APT-groep ArguePatch-malwarelader, onbedekte Lazarus ladingen in trojan-apps, en analyseerde een exemplaar van de Lazarus Operatie In(ter)ception-campagne gericht op macOS-apparaten tijdens spearphishing in crypto-wateren. Ze ontdekten ook buffer overflow kwetsbaarheden in Lenovo UEFI-firmware en een nieuwe campagne met a nep Salesforce-update als lokmiddel.

De afgelopen maanden zijn we doorgegaan met het delen van onze kennis op de Cybersecurity-conferenties Virus Bulletin, Black Hat USA, RSA, CODE BLUE, SecTor, REcon, LABSCon en BSides Montreal, waar we onze bevindingen bekendmaakten over campagnes die zijn ingezet door OilRig, APT35, Agrius, Sandworm, Lazarus en POLONIUM. We spraken ook over de toekomst van UEFI-bedreigingen, ontleedden de unieke loader die we Wslink noemden, en legden uit hoe ESET Research de toeschrijving van kwaadaardige bedreigingen en campagnes uitvoert. De komende maanden nodigen we u graag uit voor ESET-gesprekken op AVAR, Ekoparty en vele anderen.

Ik wens je veel leesplezier.

Volg ESET-onderzoek op Twitter voor regelmatige updates over belangrijke trends en belangrijkste bedreigingen.