Een kijk op het dreigingslandschap gedurende T3 2022 zoals waargenomen door ESET-telemetrie en vanuit het perspectief van ESET dreigingsdetectie- en onderzoeksexperts.
Roman Kovac
In 2022 schokte een niet-uitgelokte en onrechtvaardige aanval op Oekraïne de wereld, met desastreuze gevolgen voor het land en de bevolking. Deze oorlog blijft alles beïnvloeden, van energieprijzen en inflatie, tot het digitale dreigingslandschap, dat onderzoekers en analisten van ESET het hele jaar door uitgebreid in de gaten hebben gehouden.
Van de effecten die in cyberspace te zien zijn, heeft de ransomware-scene enkele van de grootste verschuivingen ondergaan. Vanaf het begin van de invasie zagen we een verdeeldheid onder ransomware exploitanten, waarbij sommigen de agressie vanuit Rusland steunden en anderen zich ertegen verzetten. De aanvallers hebben ook steeds destructievere tactieken gebruikt, zoals het inzetten van wipers die ransomware nabootsen en de gegevens van het slachtoffer versleutelen zonder de intentie om de decoderingssleutel te verstrekken.
Zoals te lezen is in het ESET Threat Report T3 2022, maakten aanvallen op Oekraïne in het licht van de oorlog ook misbruik van blootgestelde RDP-diensten. Deze aanvallen hebben in 2022 echter een enorme daling laten zien. Factoren die mogelijk hebben bijgedragen aan deze daling zijn, naast de oorlog, een afname van werken op afstand, verbeterde set-up en tegenmaatregelen door IT-afdelingen van bedrijven en een nieuwe brute-force blokkeerfunctie ingebouwd in Windows 11. De meeste in 2022 ontdekte RDP-aanvallen waren afkomstig van Russische IP-adressen.
Zelfs met de afname van RDP-aanvallen waren password-guessing aanvallen nog steeds de meest favoriete aanvalsvector voor netwerken in T3 2022. Oude kwetsbaarheden, zoals de Log4j-kwetsbaarheid en andere oudere kwetsbaarheden waarvoor al langere tijd patches beschikbaar zijn, blijven ook een grote rol spelen in het dreigingslandschap. Ondanks dat er sinds december 2021 oplossingen beschikbaar zijn voor de Log4J kwetsbaarheid, stond deze nog steeds op de tweede plaats in de ranglijst van externe inbraakvectoren. De pogingen tot exploitatie van Log4J namen in het derde trimester van 2022 met 9% toe.
Verschillende crypto-bedreigingen werden beïnvloed door kelderende cryptocurrency wisselkoersen aan de ene kant, en stijgende energieprijzen aan de andere kant. Terwijl traditionele crimeware zoals cryptostealers en cryptominers afnam, hebben cryptocurrency-gerelateerde scams een wedergeboorte doorgemaakt: phishingwebsites met cryptocurrency-thema die door ESET-producten werden geblokkeerd, stegen in T3 met 62%. Daarnaast gaf de FBI onlangs nog een waarschuwing uit voor een toename van nieuwe cryptobeleggingsschema's.
De vele feestdagen die in december werden gevierd leidden tot meer phishing-activiteiten die zich voordeden als online winkels, omdat mensen die online cadeaus kopen een zeer lucratief doelwit vormen voor cybercriminelen. En toen ontwikkelaars van mobiele spellen voor de kerst nieuwe releases uitbrachten, maakten aanvallers gebruik van de hype door hun aangepaste kwaadaardige versies te uploaden naar app stores van derden. Wij hebben op onze beurt een aanzienlijke toename van Android adware detecties waargenomen in T3 2022.
Het Android platform zag ook een toename van spyware gedurende het jaar, als gevolg van gemakkelijk toegankelijke spyware kits, beschikbaar op diverse online forums en gebruikt door amateur-aanvallers. Alhoewel het aantal detecties van infostealers zowel in T3 als in heel 2022 daalde, vormde banking malware een uitzondering: het aantal detecties verdubbelde in een vergelijking van jaar tot jaar.
De laatste maanden van 2022 stonden in het teken van interessante ESET-onderzoeksresultaten. Onze onderzoekers ontdekten een MirrorFace spearphishing campagne gericht op hoogstaande Japanse politieke entiteiten, en nieuwe ransomware genaamd RansomBoggs die zich richt op meerdere organisaties in Oekraïne en de handtekening van Sandworm heeft. ESET-onderzoekers ontdekten ook een campagne van de beruchte Lazarus groep die zijn slachtoffers benadert met spearphishing e-mails die documenten bevatten met valse baanaanbiedingen; een van de lokmiddelen werd gestuurd naar een werknemer van een luchtvaartbedrijf. Wat betreft aanvallen op de supply chain, vonden we een nieuwe wiper en zijn executietool, die we beide toeschrijven aan de Agrius APT groep, gericht op gebruikers van een Israëlische softwaresuite die wordt gebruikt in de diamantindustrie.
Zoals altijd grepen ESET-onderzoekers meerdere gelegenheden aan om hun expertise te delen op verschillende conferenties, door te verschijnen op AVAR, Ekoparty en dergelijke, waar ze diep ingingen op technische aspecten van de meeste van de eerdergenoemde ESET Research ontdekkingen. Voor de komende maanden nodigen we je graag uit voor ESET talks op Botconf, RSA Conference en op andere plaatsen. Een inzichtelijke lezing toegewenst.
Lees voor meer informatie het volledige ESET Threat Report T3 2022 op WeLiveSecurity en volg ESET Research op Twitter voor het laatste nieuws.
Voor meer informatie over hoe threat intelligence de de houding ten opzichte van cybersecurity binnen je organisatie kan verbeteren, kun je de ESET Threat Intelligence pagina bezoeken.