Een weergave van het T3 2021-dreigingslandschap zoals gezien door ESET-telemetrie en vanuit het perspectief van ESET-dreigingsdetectie- en onderzoeksexperts
Terwijl 2020 het jaar was van aanvallen in de toeleveringsketen (en ja, het begin van de wereldwijde COVID-19-crisis), werd 2021 gekenmerkt door schokkend ernstige kwetsbaarheden (...en door vaccins).
Het jaar begon met een knal, toen Microsoft Exchange-servers over de hele wereld zichzelf bevonden onder vuur van minstens tien APT-groepen. ProxyLogon, de kwetsbaarheidsketen aan de onderkant van deze aanvallen, werd in 2021 volgens ESET-telemetrie de op één na meest voorkomende externe aanvalsvector, direct na aanvallen waarbij wachtwoorden worden geraden. Zoals je zult lezen in het ESET Threat Report T3 2021, werden Microsoft Exchange-servers in augustus 2021 opnieuw belegerd, met ProxyLogon's "jongere broer of zus", genaamd ProxyShell, die wereldwijd door verschillende bedreigingsgroepen werd uitgebuit.
Wanneer een kritieke fout in het alomtegenwoordige Log4j-hulpprogramma half december opdook, werden overal IT-teams heen gestuurd om opnieuw te klauteren om de fout in hun systemen te lokaliseren en te repareren. Door deze kwetsbaarheid, die een 10 scoorde op de CVSS-schaal, liepen talloze servers het risico van een volledige overname - dus het was geen verrassing dat cybercriminelen er onmiddellijk misbruik van maakten. Ondanks dat het pas de laatste drie weken van het jaar bekend was, waren Log4j-aanvallen de vijfde meest voorkomende externe inbraakvector in onze statistieken voor 2021, wat aantoont hoe snel bedreigingsactoren profiteren van nieuw opkomende kritieke kwetsbaarheden.
Het einde van het jaar was ook turbulent op het gebied van RDP-aanvallen, die in heel 2020 en 2021 escaleerden. De cijfers van de laatste weken van T3 2021 braken alle eerdere records, wat neerkomt op een verbluffende jaarlijkse groei van 897% in totale aanval pogingen blokkeerden – ondanks het feit dat 2021 niet langer in het teken stond van de chaos van nieuw opgelegde lockdowns en haastige overgangen naar werken op afstand. Waarschijnlijk is het enige goede nieuws van het RDP-aanvalsfront, zoals opgemerkt in het gedeelte Exploits van dit rapport, dat het aantal doelen geleidelijk is afgenomen, hoewel het niet lijkt alsof de razernij binnenkort zal eindigen.
Ransomware, eerder beschreven in onze Dreigingsrapport Q4 2020 als "agressiever dan ooit" overtrof de ergste verwachtingen in 2021, met aanvallen op kritieke infrastructuur, buitensporige eisen om losgeld en meer $ 5 miljard aan bitcoin-transacties gebonden aan potentiële ransomware-betalingen die alleen al in de eerste helft van 2021 werden geïdentificeerd.
De druk is echter ook aan de andere kant toegenomen, vertegenwoordigd door koortsachtige wetshandhavingsactiviteiten tegen ransomware en andere cybercriminele inspanningen. Terwijl de intense repressie verschillende bendes dwong om het toneel te ontvluchten - zelfs decoderingssleutels vrij te geven - lijkt het erop dat sommige aanvallers alleen maar brutaler worden: T3 zag het hoogste losgeldultimatum tot nu toe, US $ 240 miljoen, meer dan het drievoudige van het record genoemd in ons vorige verslag.
En om nog een recordhoogte te bereiken: toen de bitcoin-wisselkoers in november 2021 het hoogste punt bereikte tot nu toe, observeerden ESET-experts een toestroom van dreigingen voor cryptocurrency-targeting, verder gestimuleerd door de recente populariteit van NFT's (niet-fungible tokens) .
In de wereld van mobiel merkten we een alarmerende toename van malwaredetecties voor Android-bankieren, die in 428 met 2021% stegen in vergelijking met 2020, en de detectieniveaus van adware bereikten – een veelvoorkomende overlast op het platform. Het is onnodig om te zeggen dat het schadepotentieel van deze twee bedreigingen niet kan worden vergeleken, en we kunnen alleen maar hopen dat de neerwaartse trend die voor bankmalware in T3 2021 wordt gezien, zal overslaan naar 2022.
E-mailbedreigingen, de deur naar een groot aantal andere aanvallen, zagen hun jaarlijkse aantal detecties meer dan verdubbelen. Deze trend is voornamelijk veroorzaakt door een toename van phishing-e-mails, die de snelle afname van Emotet's kenmerkende kwaadaardige macro's in e-mailbijlagen meer dan compenseerde. Emotet, die het grootste deel van het jaar inactief was, kwam terug uit de dood in T3, waarbij zijn operators probeerden zijn infrastructuur opnieuw op te bouwen met steun van Trickbot. In 2022 verwachten ESET-malware-analisten dat het botnet snel zal groeien, waardoor de malware weer op de voorgrond zal treden - een proces dat we nauwlettend zullen volgen.
De laatste maanden van 2021 waren ook vol met onderzoeksresultaten, waarbij ESET Research het volgende aan het licht bracht: LettertypeOnLake, een nieuwe malwarefamilie gericht op Linux; een voorheen ongedocumenteerde real-world UEFI-bootkit genaamd ESPecter; BeroemdeSparrow, een cyberspionagegroep die zich richt op hotels, overheden en particuliere bedrijven over de hele wereld; en vele anderen. T3 zag onze onderzoekers ook een uitgebreide analyse publiceren van alle 17 kwaadaardige frameworks waarvan bekend is dat ze zijn gebruikt om aan te vallen air-gapped netwerken, en sluiten hun uitgebreide reeks diepe duiken af in Latijns-Amerikaanse banktrojanen.
ESET Threat Report T3 2021 biedt ook niet eerder gepubliceerde informatie over APT-groepsoperaties. Deze keer bieden onderzoekers updates over de activiteiten van cyberspionagegroep OilRig; laatste informatie over in-the-wild ProxyShell-exploitatie; en nieuwe spearphishing-campagnes van de beruchte cyberspionagegroep The Dukes.
En zoals altijd hebben ESET-onderzoekers deze periode meerdere kansen aangegrepen om hun expertise te delen op verschillende virtuele conferenties, die te zien waren op Virus Bulletin 2021, CyberWarCon 2021, SecTor 2021, AVAR 2021 Virtual en anderen. Voor de komende maanden nodigen we u graag uit voor een ESET-lezing op SeQCure in april 2022 en voor de RSA-conferentie in juni 2022 waar we de recente ESPecter-ontdekking zullen presenteren.
Veel leesplezier, blijf veilig - en blijf gezond!
Volg ESET-onderzoek op Twitter voor regelmatige updates over belangrijke trends en belangrijkste bedreigingen.
