ESET ha pubblicato il suo Rapporto sulle minacce T1 2022, che riassume le statistiche chiave dei sistemi di rilevamento ESET e mette in evidenza esempi significativi della ricerca di ESET sulla cybersicurezza. L’ultimo numero del Rapporto sulle minacce di ESET racconta i vari cyberattacchi legati alla guerra in corso in Ucraina che i ricercatori ESET hanno analizzato o contribuito a mitigare. Tra questi, la resurrezione del famigerato malware Industroyer, che ha tentato di colpire le sottostazioni elettriche ad alta tensione.
La telemetria di ESET ha registrato anche altri cambiamenti nell’ambito delle minacce informatiche che potrebbero avere un collegamento con la situazione in Ucraina. Roman Kováč, Chief Research Officer di ESET, chiarisce il motivo per cui questo rapporto è così incentrato sulle minacce informatiche legate a questa guerra: “Diversi conflitti stanno imperversando in varie parti del mondo, ma per noi questo è diverso. Proprio al di là dei confini orientali della Slovacchia, dove ESET ha il suo quartier generale e diversi uffici, gli ucraini stanno combattendo per le loro vite e la loro sovranità“.
Poco prima dell’invasione russa, la telemetria di ESET ha registrato un forte calo degli attacchi al Remote Desktop Protocol (RDP). Il calo di questi attacchi arriva dopo due anni di crescita costante e, come spiegato nella sezione Exploits dell’ultimo Threat Report di ESET, questa svolta potrebbe essere legata alla guerra in Ucraina. Ma anche con questo calo, quasi il 60% degli attacchi RDP in entrata visti nel T1 2022 ha avuto origine in Russia.
Un altro effetto collaterale della guerra: mentre in passato le minacce ransomware tendevano a evitare gli obiettivi situati in Russia, in questo periodo, secondo la telemetria di ESET, la Russia è stata il Paese più bersagliato. I ricercatori di ESET hanno persino rilevato varianti di lock-screen che utilizzano il saluto nazionale ucraino “Slava Ukraini!“. (Gloria all’Ucraina!). Dopo l’invasione russa dell’Ucraina, si è registrato un aumento del numero di ransomware e wacker amatoriali. I loro autori spesso dichiarano il loro sostegno a una delle parti in lotta e posizionano gli attacchi come una vendetta personale.
Non sorprende che la guerra sia stata sfruttata anche da spam e minacce di phishing. Subito dopo l’invasione del 24 febbraio, i truffatori hanno iniziato ad approfittare delle persone che cercavano di sostenere l’Ucraina, utilizzando come esca enti di beneficenza e raccolte fondi fittizie. Quel giorno, la telemetria di ESET ha rilevato un forte picco di rilevamenti di spam.
La telemetria di ESET ha rilevato anche molte altre minacce non correlate alla guerra tra Russia e Ucraina. “Possiamo confermare che Emotet, il famigerato malware diffuso principalmente tramite e-mail di spam, è tornato dopo i tentativi di rimozione dello scorso anno ed è tornato a salire nella nostra telemetria“, spiega Kováč. Gli operatori di Emotet hanno lanciato una campagna di spam dopo l’altra nel T1, con una crescita dei rilevamenti di Emotet di oltre cento volte. Tuttavia, come osserva il Threat Report, le campagne che si basavano su macro dannose potrebbero essere state le ultime, vista la recente mossa di Microsoft di disabilitare le macro da Internet per impostazione predefinita nei programmi Office. In seguito a questo cambiamento, gli operatori di Emotet hanno iniziato a testare altri vettori di compromissione su campioni di vittime molto più piccoli.
Il rapporto sulle minacce di ESET T1 2022 passa in rassegna anche i risultati più importanti della ricerca, con ESET Research che ha scoperto: l’abuso delle vulnerabilità dei driver del kernel; le vulnerabilità UEFI ad alto impatto; il malware di criptovaluta che colpisce i dispositivi Android e iOS; una campagna non ancora attribuita che distribuisce il malware macOS DazzleSpy; e le campagne di Mustang Panda, Donot Team, Winnti Group e il gruppo APT TA410.
Il rapporto contiene anche una panoramica dei numerosi interventi dei ricercatori ESET nel T1 2022 e introduce gli interventi previsti per le conferenze RSA e REcon nel giugno 2022, che illustrano la scoperta di Wslink ed ESPecter da parte di ESET Research. Queste presentazioni saranno seguite da un intervento alla conferenza Virus Bulletin nel settembre 2022.
