Eset ha pubblicato il Threat Report T1 2022, che sintetizza le tendenze osservate dai suoi sistemi di rilevamento e mette in evidenza i progressi nella ricerca sulla cybersecurity, inclusi aggiornamenti esclusivi e inediti sulle minacce attualmente più diffuse.
L'ultima edizione riporta i vari cyberattacchi legati alla guerra in corso in Ucraina che i ricercatori hanno analizzato o contribuito a mitigare. Tra questi, la ricomparsa del famigerato malware Industroyer, che ha tentato di colpire le sottostazioni elettriche ad alta tensione
La telemetria ha registrato anche altri cambiamenti nell'ambito delle minacce informatiche che potrebbero avere un collegamento con la situazione in Ucraina. Roman Kováč, Chief Research Officer di Eset, chiarisce il motivo per cui questo report è così incentrato sulle minacce informatiche legate al conflitto.
“Ci sentiamo fortemente coinvolti da quanto accade proprio al di là dei confini orientali della Slovacchia, dove Eset ha il suo quartier generale e diversi uffici, e dove gli ucraini stanno combattendo per le loro vite e la loro sovranità”.
Poco prima dell'invasione russa, la telemetria ha registrato un forte calo degli attacchi al Remote Desktop Protocol (RDP) dopo due anni di crescita costante e, come spiegato nella sezione Exploits dell'ultimo Threat Report, questa svolta potrebbe essere legata alla guerra in Ucraina. Ma nonostante questo decremento, quasi il 60% degli attacchi RDP in entrata visti nel T1 2022 ha avuto origine in Russia.
Un altro effetto collaterale del conflitto: mentre in passato le minacce ransomware tendevano a evitare gli obiettivi situati in Russia, in questo periodo, sempre secondo la telemetria ESET, la Russia è stata il Paese più bersagliato.
I ricercatori di hanno persino rilevato varianti di lock screen contenenti il saluto nazionale ucraino "Slava Ukraini!". (Gloria all'Ucraina!). Dopo l'invasione russa si è registrato un aumento del numero di ransomware e wiper amatoriali i cui autori spesso dichiarano sostegno a una delle parti in lotta e definiscono gli attacchi come una vendetta personale.
Non sorprende che la guerra sia stata sfruttata anche per spam e minacce di phishing. Subito dopo l'invasione del 24 febbraio, i criminali informatici hanno iniziato ad approfittare delle persone che cercavano di sostenere l'Ucraina, utilizzando come esca enti di beneficenza e raccolte fondi fittizie. Quel giorno, la telemetria ha evidenziato un forte picco di rilevamenti di spam.
La telemetria ha rilevato anche molte altre minacce non correlate al conflitto tra Russia e Ucraina. "Possiamo confermare che Emotet, il famigerato malware diffuso principalmente tramite e-mail di spam, è tornato dopo i tentativi di rimozione dello scorso anno ed è di nuovo in crescita nella nostra telemetria", spiega Kováč.
Gli operatori di Emotet hanno lanciato diverse campagne di spam nel T1, con una crescita dei rilevamenti di oltre cento volte. Tuttavia, come osserva il Threat Report, le campagne che si basavano su macro dannose potrebbero essere state le ultime, vista la recente mossa di Microsoft di disabilitare le macro da Internet per impostazione predefinita nei programmi Office.
Il Threat Report T1 2022 passa in rassegna anche i risultati più importanti ottenuti dagli specialisti: tra questi, l'abuso delle vulnerabilità dei driver del kernel; vulnerabilità UEFI ad alto rischio; il malware di criptovaluta che colpisce i dispositivi Android e iOS; una campagna non ancora attribuita che distribuisce il malware macOS DazzleSpy; e le campagne di Mustang Panda, Donot Team, Winnti Group e il gruppo APT TA410.
Il report contiene anche una panoramica dei numerosi interventi tenuti dai ricercatori nel T1 2022 e anticipa la loro partecipazione alle conferenze RSA e REcon nel giugno 2022, dove verranno illustrate le scoperte di Wslink ed ESPecter da parte di Eset Research, cui seguirà un intervento alla conferenza Virus Bulletin nel settembre 2022.