• O número de ataques ao protocolo RDP diminuiu pela primeira vez desde o começo de 2020 (-43%), com tentativas de ataque contra SQL (-64%) e SMB (-26%) também decaindo.
• Antes da invasão da Ucrânia, a Rússia e outros países da Comunidade dos Estados Independentes (CIS) eram tipicamente excluídos de listas de alvos de ransomware, possivelmente por conta de criminosos que moram nesses países ou temendo contra-ataques; no primeiro trimestre de 2022, a Rússia encarou o maior compartilhamento de detecções (12%) na categoria de Ransomware.
• A guerra trouxe um influxo de phishing e campanhas enganosas tirando vantagem de pessoas que estão tentando apoiar a Ucrânia; esses dados foram detectados quase imediatamente após o começo da invasão. Em março e abril de 2022, operadores Emotet mudaram de marcha, lançando grandes campanhas de spam utilizando documentos Microsoft Word corrompidos, levando a um aumento de 113 vezes do número de detecções no primeiro trimestre de 2022.
• Campanhas da Emotet foram refletidas em categorias de ameaças a e-mails, que cresceram em 37% no primeiro trimestre de 2022.
A ESET lançou o Relatório de Ameaças do Primeiro Trimestre de 2022, o ESET Threat Report, resumindo estatísticas chave dos sistemas de detecção da ESET e dando destaque para exemplos notáveis de pesquisas de segurança cibernética. A preocupação mais recente do Relatório de Ameaças da ESET reconta os inúmeros ataques virtuais conectados à guerra atual na Ucrânia, na qual pesquisadores da ESET analisaram ou ajudaram na mitigação. Isso inclui o retorno do infame malware Industroyer, tentando atingir subestações elétricas de alta-voltagem.
A telemetria da ESET também gravou outras mudanças no entorno das ameaças virtuais que podem ter conexão com a situação na Ucrânia. Roman Ková?, Diretor de Pesquisa na ESET (CRO), esclarece o porquê esse relatório ser tão focado nas ameaças cibernéticas relacionadas a essa guerra: “Vários conflitos estão acontecendo em diferentes partes do mundo, mas para nós, este é diferente. Através das fronteiras no oeste da Eslováquia, onde a ESET tem sua sede e diversos escritórios, ucranianos estão lutando por suas vidas e soberania”.
Pouco antes da invasão russa, a telemetria da ESET gravou uma queda drástica nos ataques de Protocolo de Área de Trabalho (Remote Desktop Protocol-RDP). O declínio desses ataques vem depois de dois anos de crescimento constante – e é explicado na seção de Exploits no mais recente Relatório de Ameaças da ESET, que essa reviravolta pode estar relacionada à guerra na Ucrânia. Mas, mesmo com essa queda, quase 60% dos ataques de RDP recebidos, vistos no primeiro trimestre de 2022, foram originados na Rússia.
Outro efeito colateral da guerra: enquanto no passado, ameaças de ransomware pareciam evitar alvos localizados na Rússia, durante esse período, de acordo com a telemetria da ESET, a Rússia foi o país mais ameaçado. Pesquisadores da ESET detectaram até mesmo variantes de bloqueio de tela usando a saudação nacional da Ucrânia “Slava Ukraini!” (Glória à Ucrânia!). Desde a invasão Russa à Ucrânia, houve um aumento no número de ransomware e wipers amadores. Seus autores frequentemente prestam apoio para um dos lados do conflito e posicionam os ataques como vingança pessoal.
Conforme esperado, a guerra também tem sido explorada por ameaças de spam e phishing. Imediatamente após a invasão, em 24 de fevereiro, golpistas começaram a tirar vantagem de pessoas que estavam tentando apoiar a Ucrânia, usando instituições de caridade e angariação de fundos fictícias como iscas. Naquele dia, a telemetria da ESET detectou um grande pico na identificação de spam.
A telemetria da ESET também viu várias outras ameaças sem relação com a guerra entre a Ucrânia e a Rússia. “Nós podemos confirmar que o Emotet – o infame malware, espalhado principalmente por spam de e-mail – está de volta após as tentativas de derrubada no ano passado, e disparou novamente em nossa telemetria,” explica Ková?. Os operadores da Emotet dispararam uma campanha de spam atrás da outra, no primeiro trimestre, com as identificações de Emotet crescendo em mais de cem vezes. Contanto, como mostra o Relatório de Ameaças, as campanhas dependendo de macros maliciosas podem ter sido as últimas, dado a ação recente da Microsoft de desabilitar macros da internet através da predefinição nos programas Office. Seguindo a mudança, operadores de Emotet começaram a testar outros vetores que comprometem, majoritariamente, grupos menores de vítimas.
O Relatório de Ameaças da ESET do primeiro trimestre de 2022 também revisa os achados mais importantes da segurança da informação no último ano, como: o abuso de vulnerabilidades de driver assinado de kernel; alto impacto de vulnerabilidades na Interface Unificada de Firmware Extensível (UEFI); malware de criptomoedas direcionados a aparelhos Android e iOS; uma campanha ainda não atribuída no malware implantando o DazzleSpy no macOS; e as campanhas do Mustang Panda, Donot Team, Winnti Group e do grupo TA410 APT.
O relatório também contém uma visão global de várias palestras dadas por pesquisadores da ESET no primeiro trimestre de 2022 e introduz falas planejadas para as conferências RSA Conference e REcon, em junho de 2022, mostrando a descoberta do Wslink e do ESPecter na pesquisa da ESET. Essas palestras serão seguidas por uma conversa na Conferência Virus Bulletin em setembro de 2022.
Para mais informações, acesse o Relatório de Ameaças do Primeiro Trimestre de 2022 da ESET no WeLiveSecurity.
Por outro lado, a ESET convida você a conhecer Conexão Segura, seu podcast para descobrir o que está acontecendo no mundo da segurança da informação. Para ouvir acesse:
https://open.spotify.com/show/61ScjrHNAs7fAYrDfw813J?si=242e542c107341a7&nd=1