Raportul de amenințări ESET T2 2022

Ultimele patru luni au fost perioada vacanțelor de vară pentru mulți dintre noi din emisfera nordică. Se pare că unii operatori de programe malware au profitat și de această oportunitate pentru a se odihni, a se reorienta și a-și reanaliza procedurile și activitățile curente.

Potrivit telemetriei noastre, august a fost o lună de vacanță pentru operatorii de Emotet, cea mai influentă tulpină de descărcare. Banda din spatele acestuia s-a adaptat, de asemenea, la decizia Microsoft de a dezactiva macrocomenzile VBA din documentele provenite de pe internet și s-a concentrat pe campanii bazate pe fișiere Microsoft Office și fișiere LNK.

În T2 2022, am observat continuarea scăderii puternice a atacurilor Remote Desktop Protocol (RDP), care probabil au continuat să-și piardă din cauza războiului Rusia-Ucraina, împreună cu revenirea post-COVID la birouri și securitatea generală îmbunătățită a medii corporative.

Chiar și cu un număr în scădere, adresele IP din Rusia au continuat să fie responsabile pentru cea mai mare parte a atacurilor RDP. În T1 2022, Rusia a fost, de asemenea, țara care a fost cea mai vizată de ransomware, unele dintre atacuri fiind motivate politic sau ideologic de război. Cu toate acestea, după cum veți citi în Raportul ESET Threat T2 2022, acest val de hacktivism a scăzut în T2, iar operatorii de ransomware și-au îndreptat atenția către Statele Unite, China și Israel.

În ceea ce privește amenințările care afectează în mare parte utilizatorii casnici, am observat o creștere de șase ori a detectărilor de momeli de phishing cu tematică de transport, de cele mai multe ori prezentând victimelor solicitări false DHL și USPS de a verifica adresele de expediere.

Un skimmer web cunoscut sub numele de Magecart, care a înregistrat o creștere de trei ori în T1 2022, a continuat să fie principala amenințare care urmărește detaliile cardurilor de credit ale cumpărătorilor online. Scăderea ratelor de schimb a criptomonedei a afectat, de asemenea, amenințările online – infractorii s-au orientat spre furtul criptomonedelor în loc să le exploateze, așa cum s-a observat într-o creștere de două ori a momelilor de phishing cu tematică criptomonede și a numărului în creștere de criptofuri.

Ultimele patru luni au fost interesante și din punct de vedere al cercetării. Cercetătorii noștri au descoperit o necunoscută anterior ușă din spate macOS și ulterior l-a atribuit lui ScarCruft, a descoperit o versiune actualizată a grupului Sandworm APT. Încărcător de malware ArguePatch, l-a descoperit pe Lazăr sarcini utile in aplicații troianizate, și a analizat un exemplu al lui Lazăr Campanie Operațiune In(ter)cepție țintirea dispozitivelor macOS în timp ce phishing în cripto-ape. Au descoperit și ei vulnerabilitățile de depășire a tamponului în firmware-ul Lenovo UEFI și o nouă campanie folosind un actualizare falsă Salesforce ca naluca.

În ultimele luni, am continuat să ne împărtășim cunoștințele în cadrul conferințelor de securitate cibernetică Virus Bulletin, Black Hat USA, RSA, CODE BLUE, SecTor, REcon, LABSCon și BSides Montreal, unde am dezvăluit constatările noastre despre campaniile desfășurate de OilRig, APT35, Agrius, Sandworm, Lazarus și POLONIUM. De asemenea, am vorbit despre viitorul amenințărilor UEFI, am disecat încărcătorul unic pe care l-am numit Wslink și am explicat cum ESET Research face atribuirea amenințărilor și campaniilor rău intenționate. Pentru lunile următoare, suntem bucuroși să vă invităm la discuțiile ESET la AVAR, Ekoparty și multe altele.

Vă doresc o lectură profundă.

Urma Cercetarea ESET pe Twitter pentru actualizări regulate despre tendințele cheie și principalele amenințări.