A ESET lançou hoje o seu relatório do primeiro quadrimestre do ano, o Threat Report T1 2022. O novo relatório destaca em especial os ciberataques e ciberameaças que têm marcado a invasão da Rússia à Ucrânia.
Enquanto primeiro relatório de ameaças do ano corrente, que cobre o período correspondente aos meses de janeiro a abril, o Threat Report T1 2022 inclui ainda comentários sobre tendências gerais observadas ao longo destes meses, bem como uma visão sobre as principais descobertas de investigação.
Principais destaques
- Antes da invasão, a Rússia e alguns países da Comunidade dos Estados Independentes (CEI) estavam tipicamente excluídos da lista de alvos de ransomware, muito possivelmente devido a agentes criminosos residirem naqueles países ou temerem represálias. No primeiro quadrimestre de 2022, a Rússia foi alvo da maior percentagem de deteções (12%) na categoria de Ransomware.
- A invasão resultou num crescimento do phishing e outras campanhas de scam que tentam aproveitar-se das pessoas à procura de apoiar a Ucrânia. Este crescimento foi detetado logo a seguir ao início da invasão.
- O número de ataques que envolvem o acesso de um computador a uma rede sem contacto direto (ou ataques Remote Desktop Protocol – RDP) caíram pela primeira vez desde o início de 2022. A redução do trabalho remoto, bem como as disrupções e sanções resultantes da invasão, que condicionaram o acesso e disponibilidade a infraestruturas, são prováveis razões que justificam esse declínio.
Os ciberataques que contam a história da guerra na Ucrânia
A mais recente edição do ESET Threat Report descreve os vários ciberataques ligados à atual guerra na Ucrânia que os investigadores da ESET analisaram ou contribuíram para mitigar. Entre eles, está o reaparecimento do malware Industroyer, que visou um fornecedor de energia na Ucrânia.
Antes da invasão da Rússia à Ucrânia, a telemetria da ESET registou uma queda acentuada nos ataques via RDP de 41% em relação ao quadrimestre anterior. O declínio destes ataques surge dois anos depois de um crescimento constante. Entre as razões possíveis por detrás deste declínio, a ESET sublinha: a queda no trabalho remoto relacionado com a pandemia; a maior sensibilização entre os departamentos de TI; e a guerra, cuja disrupção e sanções terão influenciado o acesso e disponibilidade às infraestruturas envolvidas nos ataques RDP. Todavia, perto de 60% dos ataques RDP registados no último quadrimestre tiveram origem na Rússia.
Outro efeito secundário da guerra foi a Rússia, tipicamente um país imune a ameaças de ransomware, ter sido o maior alvo de ameaças desta categoria no último quadrimestre (12%). Os investigadores da ESET detetaram inclusive variantes de “lock-screen” que usam a saudação nacional ucraniana “Slava Ukraini!” (Glória à Ucrânia!). Adicionalmente, registou-se um aumento no número de ransomware e “wipers” mais amadores. Os seus autores assumem frequentemente o apoio de um dos lados em luta e posicionam os ataques como vinganças pessoais.
Sem surpresas, a guerra tem também sido explorada por autores de ameaças de spam e phishing. Aliás, logo após a invasão, a 24 de fevereiro, scammers começaram a aproveitar-se das pessoas que procuravam apoiar a Ucrânia, usando iniciativas de caridade e angariação de fundos fictícias como iscos. Nesse mesmo dia, a telemetria da ESET detetou um grande pico em deteções de spam.
Paisagem de ameaças além da invasão
A telemetria da ESET também encontrou outras ameaças não relacionadas com a guerra. Entre elas, a ESET destaca o reaparecimento do Emotet, uma família de trojans bancários distribuída sobretudo através de campanhas de spam de email. As deteções do Emotet cresceram em mais de uma centena em comparação com o quadrimestre anterior. No entanto, a decisão da Microsoft de desativar os macros da Internet por predefinição nos programas Office forçará os operadores do Emotet a procurar novas vias de ataque.
Finalmente, o ESET Threat Report T1 2022 passa em revista as mais importantes descobertas de investigação do período. Por exemplo, o abuso de controladores vulneráveis do kernel, vulnerabilidades UEFI de alto impacto, malware de criptomoeda que visa dispositivos Android e iOS, assim como uma campanha ainda não atribuída de implementação do malware DazzleSpy em macOS. Por último, o relatório também analisa as campanhas de Mustang Panda, Donot Team, Winnti Group, bem como do grupo APT TA410.
Para mais informações, consulte o relatório completo.