ESET-trusselrapport T2 2022

De siste fire månedene var tiden for sommerferier for mange av oss på den nordlige halvkule. Det ser ut til at noen malware-operatører også tok denne tiden som en mulighet til å muligens hvile, fokusere på nytt og analysere sine nåværende prosedyrer og aktiviteter på nytt.

I følge vår telemetri var august en feriemåned for operatørene av Emotet, den mest innflytelsesrike nedlasterstammen. Gjengen bak tilpasset seg også Microsofts beslutning om å deaktivere VBA-makroer i dokumenter som stammer fra internett og fokuserte på kampanjer basert på våpenbeskyttede Microsoft Office-filer og LNK-filer.

I T2 2022 så vi fortsettelsen av den kraftige nedgangen i Remote Desktop Protocol (RDP)-angrep, som sannsynligvis fortsatte å miste dampen på grunn av Russland-Ukraina-krigen, sammen med post-COVID-retur til kontorer og generelt forbedret sikkerhet for bedriftsmiljøer.

Selv med synkende tall, fortsatte russiske IP-adresser å være ansvarlige for den største delen av RDP-angrep. I T1 2022 var Russland også det landet som ble mest målrettet av løsepengevare, med noen av angrepene som var politisk eller ideologisk motivert av krigen. Men som du vil lese i ESET Threat Report T2 2022, har denne hacktivismebølgen avtatt i T2, og løsepengevareoperatører vendte oppmerksomheten mot USA, Kina og Israel.

Når det gjelder trusler som hovedsakelig påvirker hjemmebrukere, så vi en seksdobling av oppdagelsene av phishing-lokker med frakttema, som oftest ga ofrene falske DHL- og USPS-forespørsler om å bekrefte leveringsadresser.

En nettskimmer kjent som Magecart, som så en tredobling i T1 2022, fortsatte å være den ledende trusselen etter nettkundenes kredittkortopplysninger. De fallende kryptovalutakursene påvirket også trusler på nettet – kriminelle vendte seg til å stjele kryptovalutaer i stedet for å utvinne dem, noe som sees i en dobling av phishing-lokker med kryptovaluta-tema og økende antall kryptotyvere.

De siste fire månedene har også vært interessante forskningsmessig. Våre forskere avdekket en tidligere ukjent macOS bakdør og senere tilskrev det ScarCruft, oppdaget en oppdatert versjon av Sandworm APT-gruppens ArguePatch malware loader, avdekket Lasarus nyttelast in trojaniserte apper, og analyserte en forekomst av Lasarus Operasjon In(ter)resepsjonskampanje målretter mot macOS-enheter mens du driver med spearphishing i kryptofarvann. De oppdaget også bufferoverløpssårbarheter i Lenovo UEFI-fastvare og en ny kampanje med en falsk Salesforce-oppdatering som lokkemiddel.

I løpet av de siste månedene har vi fortsatt å dele kunnskapen vår på Virus Bulletin, Black Hat USA, RSA, CODE BLUE, Sector, REcon, LABSCon og BSides Montreal cybersecurity-konferanser, hvor vi avslørte funnene våre om kampanjer distribuert av OilRig, APT35, Agrius, Sandorm, Lazarus og POLONIUM. Vi snakket også om fremtiden til UEFI-trusler, dissekerte den unike lasteren vi kalte Wslink, og forklarte hvordan ESET Research tilskriver ondsinnede trusler og kampanjer. For de kommende månedene inviterer vi deg gjerne til ESET-samtaler på AVAR, Ekoparty og mange andre.

Jeg ønsker deg en innsiktsfull lesning.

Følg ESET-forskning på Twitter for jevnlige oppdateringer om viktige trender og topp trusler.