ESET Threat Report: gerichte aanvallen met betrekking tot invasie van Oekraïne en hoe de oorlog het dreigingslandschap veranderde
Het nieuwste nummer van ESET’s Threat Report beschrijft de verschillende cyberaanvallen in verband met de oorlog in Oekraïne die ESET-onderzoekers hebben geanalyseerd of hielpen beperken. Dit gaat ook over de nieuwe pogingen van de beruchte Industroyer-malware, die zich op elektrische hoogspanningsstations probeert te richten.
De ESET-telemetrie registreerde ook andere wijzigingen op het vlak van cyberdreigingen die mogelijk verband houden met de situatie in Oekraïne. Roman Kováč, hoofd onderzoek bij ESET, legt uit waarom dit rapport zo focust op cyberdreigingen die verband houden met deze oorlog: “Er zijn verschillende conflicten in verschillende delen van de wereld, maar voor ons is dit anders. Over de oostelijke grenzen van Slowakije, waar ESET zijn hoofdkwartier en verschillende vestigingen heeft, vechten Oekraïners voor hun leven en hun soevereiniteit.”
Kort voor de Russische invasie registreerde de ESET-telemetrie een scherpe daling in RDP-aanvallen (Remote Desktop Protocol). De afname van deze aanvallen komt na twee jaar van gestage groei – en, zoals uitgelegd in het gedeelte Exploits van het ESET Threat Report, zou deze gang van zaken verband kunnen houden met de oorlog in Oekraïne. Maar zelfs met deze daling waren, in het eerste kwartaal van 2022, bijna 60% van de inkomende RDP-aanvallen uit Rusland afkomstig.
Een ander effect van deze oorlog: terwijl in het verleden ransomware-bedreigingen meestal Rusland ontweken, was het in deze periode, en volgens ESET-telemetrie, het meest aangevallen land. ESET-onderzoekers hebben zelfs varianten op het vergrendelscherm gedetecteerd met de Oekraïense nationale begroeting “Slava Ukraini!” (Eer aan Oekraïne!). Sinds de Russische inval in Oekraïne is het aantal amateuristische ransomware en wipers toegenomen. Vaak verbinden hun daders zich ertoe een van de strijdende partijen te steunen en presenteren ze de aanslagen als een persoonlijke vendetta.
Het zal geen verrassing zijn dat de oorlog ook uitgebuit wordt door spam- en phishing-dreigingen. Onmiddellijk na de invasie van 24 februari begonnen oplichters, door valse liefdadigheidsinstellingen en fondsenwervers als lokmiddel (using fictitious charities and fundraisers), mensen te misbruiken die Oekraïne probeerden te steunen. Die dag ontdekte ESET-telemetrie een aanzienlijke piek in spamdetecties.
ESET-telemetrie heeft ook heel wat bedreigingen gevonden die geen verband houden met de oorlog tussen Rusland en Oekraïne. “We kunnen bevestigen dat Emotet – de beruchte malware die voornamelijk via spam wordt verspreid – teruggekeerd is na de verwijderingspogingen van vorig jaar en in onze telemetrie gestegen is”, zegt Kováč. In het eerste kwartaal brachten de Emotet-operatoren de ene spamcampagne na de andere uit, waarbij het aantal Emotet-detecties met meer dan honderd toenam. Maar, zoals het rapport laat zien, waren campagnes op kwaadaardige macro’s gebaseerd misschien wel de laatste, na de recente beslissing van Microsoft om in Office-programma’s internetmacro’s standaard uit te schakelen. Na deze wijziging begonnen Emotet-operators andere compromisvectoren te testen op veel kleinere slachtofferstalen.
ESET T1 2022 Threat Report geeft ook een overzicht van de belangrijkste onderzoeksresultaten, waarbij het volgende: het misbruik van kwetsbaarheden vin kernelstuurprogramma’s abuse of kernel driver vulnerabilities); UEFI-kwetsbaarheden met grote impact (high‑impact UEFI vulnerabilities; cryptocurrency-malware gericht op Android- en iOS-apparaten (targeting Android and iOS devices); een nog niet-toegeschreven campagne die de DazzleSpy macOS-malware inzet (deploying the DazzleSpy macOS malware); en de campagnes van Mustang Panda (Mustang Panda), Donot Team (Donot Team), Winnti Group (Winnti Group) en de TA410 APT-groep (TA410 APT group)
Dit artikel is geschreven door één van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.
Het nieuwste nummer van ESET’s Threat Report beschrijft de verschillende cyberaanvallen in verband met de oorlog in Oekraïne die ESET-onderzoekers hebben geanalyseerd of hielpen beperken. Dit gaat ook over de nieuwe pogingen van de beruchte Industroyer-malware, die zich op elektrische hoogspanningsstations probeert te richten.
De ESET-telemetrie registreerde ook andere wijzigingen op het vlak van cyberdreigingen die mogelijk verband houden met de situatie in Oekraïne. Roman Kováč, hoofd onderzoek bij ESET, legt uit waarom dit rapport zo focust op cyberdreigingen die verband houden met deze oorlog: “Er zijn verschillende conflicten in verschillende delen van de wereld, maar voor ons is dit anders. Over de oostelijke grenzen van Slowakije, waar ESET zijn hoofdkwartier en verschillende vestigingen heeft, vechten Oekraïners voor hun leven en hun soevereiniteit.”
Kort voor de Russische invasie registreerde de ESET-telemetrie een scherpe daling in RDP-aanvallen (Remote Desktop Protocol). De afname van deze aanvallen komt na twee jaar van gestage groei – en, zoals uitgelegd in het gedeelte Exploits van het ESET Threat Report, zou deze gang van zaken verband kunnen houden met de oorlog in Oekraïne. Maar zelfs met deze daling waren, in het eerste kwartaal van 2022, bijna 60% van de inkomende RDP-aanvallen uit Rusland afkomstig.
Een ander effect van deze oorlog: terwijl in het verleden ransomware-bedreigingen meestal Rusland ontweken, was het in deze periode, en volgens ESET-telemetrie, het meest aangevallen land. ESET-onderzoekers hebben zelfs varianten op het vergrendelscherm gedetecteerd met de Oekraïense nationale begroeting “Slava Ukraini!” (Eer aan Oekraïne!). Sinds de Russische inval in Oekraïne is het aantal amateuristische ransomware en wipers toegenomen. Vaak verbinden hun daders zich ertoe een van de strijdende partijen te steunen en presenteren ze de aanslagen als een persoonlijke vendetta.
Het zal geen verrassing zijn dat de oorlog ook uitgebuit wordt door spam- en phishing-dreigingen. Onmiddellijk na de invasie van 24 februari begonnen oplichters, door valse liefdadigheidsinstellingen en fondsenwervers als lokmiddel (using fictitious charities and fundraisers), mensen te misbruiken die Oekraïne probeerden te steunen. Die dag ontdekte ESET-telemetrie een aanzienlijke piek in spamdetecties.
ESET-telemetrie heeft ook heel wat bedreigingen gevonden die geen verband houden met de oorlog tussen Rusland en Oekraïne. “We kunnen bevestigen dat Emotet – de beruchte malware die voornamelijk via spam wordt verspreid – teruggekeerd is na de verwijderingspogingen van vorig jaar en in onze telemetrie gestegen is”, zegt Kováč. In het eerste kwartaal brachten de Emotet-operatoren de ene spamcampagne na de andere uit, waarbij het aantal Emotet-detecties met meer dan honderd toenam. Maar, zoals het rapport laat zien, waren campagnes op kwaadaardige macro’s gebaseerd misschien wel de laatste, na de recente beslissing van Microsoft om in Office-programma’s internetmacro’s standaard uit te schakelen. Na deze wijziging begonnen Emotet-operators andere compromisvectoren te testen op veel kleinere slachtofferstalen.
ESET T1 2022 Threat Report geeft ook een overzicht van de belangrijkste onderzoeksresultaten, waarbij het volgende: het misbruik van kwetsbaarheden vin kernelstuurprogramma’s abuse of kernel driver vulnerabilities); UEFI-kwetsbaarheden met grote impact (high‑impact UEFI vulnerabilities; cryptocurrency-malware gericht op Android- en iOS-apparaten (targeting Android and iOS devices); een nog niet-toegeschreven campagne die de DazzleSpy macOS-malware inzet (deploying the DazzleSpy macOS malware); en de campagnes van Mustang Panda (Mustang Panda), Donot Team (Donot Team), Winnti Group (Winnti Group) en de TA410 APT-groep (TA410 APT group)
Dit artikel is geschreven door één van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.