ESET ha pubblicato il “Threat Report T2 2022“, l’analisi che affronta le principali minacce degli ultimi quattro mesi, i trends e gli sviluppi che hanno plasmato tale panorama e quanto significa tutto questo per la sicurezza di organizzazioni di tutte le dimensioni.
I dati mostrano che negli ultimi quattro mesi alcuni operatori di malware hanno colto il periodo delle vacanze estive come un’opportunità per riposarsi, rifocalizzare e rianalizzare le loro attuali procedure e attività.
Secondo la telemetria di ESET, agosto è stato un mese di “vacanza” per gli operatori di Emotet, il ceppo di downloader più influente. La banda dietro di esso si è anche adattata alla decisione di Microsoft di disabilitare le macro VBA nei documenti provenienti da Internet e si è concentrata su campagne basate su file Microsoft Office e file LNK.
Nel T2 2022, si è assistito alla continuazione del forte calo degli attacchi di Remote Desktop Protocol (RDP), che probabilmente hanno continuato a perdere vigore a causa del conflitto Russia-Ucraina, insieme al ritorno agli uffici post-COVID e al miglioramento generale della sicurezza di ambienti aziendali.
Anche con numeri in calo, gli indirizzi IP russi hanno continuato a essere i responsabili della maggior parte degli attacchi RDP. Nel T1 2022, la Russia era anche il paese più preso di mira dai ransomware, con alcuni degli attacchi motivati politicamente o ideologicamente dalla guerra. Tuttavia, questa ondata di hacktivism è diminuita nel T2 e gli operatori di ransomware hanno rivolto la loro attenzione verso Stati Uniti, Cina e Israele.
In termini di minacce che colpiscono principalmente gli utenti domestici, è stato riscontrato un aumento di sei volte dei rilevamenti di esche di phishing a tema di spedizione, il più delle volte presentando alle vittime false richieste DHL e USPS di verificare gli indirizzi di spedizione.
Uno web skimmer noto come Magecart, che ha visto un aumento di tre volte nel T1 2022, ha continuato a essere la principale minaccia per i dettagli della carta di credito degli acquirenti online. Il crollo dei tassi di cambio delle criptovalute ha influito anche sulle minacce online: i criminali si sono rivolti al furto di criptovalute invece di estrarle, come si è visto in un duplice aumento delle esche di phishing a tema criptovaluta e nel numero crescente di criptostealer.
Gli ultimi quattro mesi sono stati interessanti anche in termini di ricerca. I ricercatori di ESET hanno scoperto una backdoor macOS precedentemente sconosciuta e in seguito l’hanno attribuita a ScarCruft, hanno scoperto una versione aggiornata del malware loader ArguePatch del gruppo Sandworm APT, hanno scoperto i payload di Lazarus nelle app trojanizzate e hanno analizzato un’istanza della campagna Lazarus Operation In(ter)ception mirata a dispositivi macOS durante lo spearphishing in crypto-waters. Hanno anche scoperto vulnerabilità di buffer overflow nel firmware Lenovo UEFI e una nuova campagna che utilizzava un falso aggiornamento di Salesforce come esca.
“Negli ultimi mesi, abbiamo continuato a condividere le nostre conoscenze alle conferenze sulla sicurezza informatica Virus Bulletin, Black Hat USA, RSA, CODE BLUE, SecTor, REcon, LABSCon e BSides Montreal, dove abbiamo divulgato i nostri risultati sulle campagne implementate da OilRig, APT35, Agrius, Sandworm, Lazarus e POLONIUM. Abbiamo anche parlato del futuro delle minacce UEFI, analizzato il loader unico che abbiamo chiamato Wslink e spiegato come ESET Research attribuisce minacce e campagne dannose. Per i prossimi mesi, siamo lieti di invitarti ai colloqui ESET presso AVAR, Ekoparty e molti altri”, concludono gli esperti di ESET.
ESET Threat Report T2 2022 è consultabile al seguente link:
https://www.welivesecurity.com/wp-content/uploads/2022/10/eset_threat_report_t22022.pdf
https://www.welivesecurity.com/2022/10/05/eset-threat-report-t2-2022/