Una vista del panorama delle minacce T2 2022 visto dalla telemetria ESET e dal punto di vista degli esperti di ricerca e rilevamento delle minacce ESET
Gli ultimi quattro mesi sono stati il periodo delle vacanze estive per molti di noi nell’emisfero settentrionale. Sembra che anche alcuni operatori di malware abbiano colto questo momento come un'opportunità per riposarsi, rifocalizzarsi e rianalizzare le loro attuali procedure e attività.
Secondo la nostra telemetria, agosto è stato un mese di ferie per gli operatori di Emotet, il ceppo di downloader più influente. Il gruppo dietro questo attacco si è adattato anche alla decisione di Microsoft di disabilitare le macro VBA nei documenti provenienti da Internet e si è concentrato su campagne basate su file Microsoft Office e file LNK trasformati in armi.
Nel secondo trimestre del 2, abbiamo assistito alla continuazione del forte calo degli attacchi Remote Desktop Protocol (RDP), che probabilmente hanno continuato a perdere vigore a causa della guerra Russia-Ucraina, insieme al ritorno post-COVID negli uffici e al miglioramento generale della sicurezza delle aziende. ambienti aziendali.
Anche se i numeri sono in calo, gli indirizzi IP russi continuano a essere responsabili della maggior parte degli attacchi RDP. Nel primo trimestre del 1, la Russia è stata anche il paese maggiormente preso di mira dai ransomware, con alcuni attacchi motivati politicamente o ideologicamente dalla guerra. Tuttavia, come leggerete nel report ESET sulle minacce T2022 2, questa ondata di hacktivismo è diminuita nel T2022 e gli operatori di ransomware hanno rivolto la loro attenzione verso Stati Uniti, Cina e Israele.
In termini di minacce che colpiscono soprattutto gli utenti domestici, abbiamo riscontrato un aumento di sei volte nei rilevamenti di esche di phishing a tema di spedizione, che nella maggior parte dei casi presentano alle vittime false richieste DHL e USPS per verificare gli indirizzi di spedizione.
Uno skimmer web noto come Magecart, che ha visto un aumento di tre volte nel primo trimestre del 1, ha continuato a essere la principale minaccia che perseguita i dettagli delle carte di credito degli acquirenti online. Il crollo dei tassi di cambio delle criptovalute ha influito anche sulle minacce online: i criminali si sono rivolti al furto delle criptovalute invece che al mining, come si è visto in un duplice aumento delle esche di phishing a tema criptovaluta e in un numero crescente di cryptostealer.
Gli ultimi quattro mesi sono stati interessanti anche dal punto di vista della ricerca. I nostri ricercatori hanno scoperto qualcosa precedentemente sconosciuto backdoor di macOS e in seguito lo attribuirono a ScarCruft, scoprì una versione aggiornata del gruppo APT Sandworm Caricatore di malware ArguePatch, scoprì Lazzaro payload in app con trojan, e analizzò un esempio del Lazzaro Campagna Operazione In(ter)ception prendere di mira i dispositivi macOS durante lo spearphishing nelle acque crittografiche. Hanno anche scoperto vulnerabilità del buffer overflow nel firmware Lenovo UEFI e una nuova campagna utilizzando a falso aggiornamento di Salesforce come un'esca.
Negli ultimi mesi, abbiamo continuato a condividere le nostre conoscenze alle conferenze sulla sicurezza informatica Virus Bulletin, Black Hat USA, RSA, CODE BLUE, SecTor, REcon, LABSCon e BSides Montreal, dove abbiamo divulgato i nostri risultati sulle campagne implementate da OilRig, APT35, Agrius, Sandworm, Lazarus e POLONIUM. Abbiamo anche parlato del futuro delle minacce UEFI, analizzato il caricatore unico che abbiamo chiamato Wslink e spiegato come ESET Research esegue l'attribuzione di minacce e campagne dannose. Per i prossimi mesi, saremo lieti di invitarvi alle conferenze ESET presso AVAR, Ekoparty e molti altri.
Ti auguro una lettura approfondita.
Segui Ricerca ESET su Twitter per aggiornamenti regolari sulle tendenze chiave e sulle principali minacce.