Σε έξαρση οι κυβερνοεπιθέσεις σύμφωνα με την ESET

Του Στάθη Ασπιώτη

Συνοψίζοντας βασικά στατιστικά στοιχεία από συστήματα ανίχνευσης της ιδίας και επισημαίνοντας αξιοσημείωτα παραδείγματα που προκύπτουν από την έρευνά της για την ασφάλεια στον κυβερνοχώρο, η εταιρεία δημοσίευσε το ESET T1 2022 Threat Report. Στα παραδείγματα περιλαμβάνονται ποικίλες κυβερνοεπιθέσεις που συνδέονται με τον συνεχιζόμενο πόλεμο στην Ουκρανία, τις οποίες ερευνητές της ESET ανέλυσαν ή βοήθησαν στην αντιμετώπισή τους, όπως η αναβίωση του διαβόητου malware Industroyer που έχει στόχους ηλεκτρικούς υποσταθμούς υψηλής τάσης.

Η ESET κατέγραψε και άλλες αλλαγές στον τομέα των απειλών στον κυβερνοχώρο που μπορεί να έχουν σχέση με την κατάσταση στην Ουκρανία. Λίγο πριν από τη ρωσική εισβολή, η τηλεμετρία της κατέγραψε μια απότομη πτώση στις επιθέσεις Remote Desktop Protocol (RDP). Η μείωση αυτών των επιθέσεων ήρθε μετά από δύο χρόνια συνεχούς αύξησής τους – και όπως εξηγεί η εταιρεία, αυτή η εξέλιξη μπορεί να σχετίζεται με τον πόλεμο. Ακόμη και με αυτήν την πτώση όμως, σχεδόν το 60% των επιθέσεων RDP που παρατηρήθηκαν στο T1 2022 προέρχονταν από τη Ρωσία. Εξάλλου, ενώ στο παρελθόν οι απειλές ransomware έτειναν να αποφεύγουν στόχους που βρίσκονταν στη Ρωσία, κατά τη διάρκεια αυτής της περιόδου, σύμφωνα με τα στοιχεία, η Ρωσία ήταν η νούμερο ένα χώρα-στόχος.

Οι ερευνητές της ESET εντόπισαν ακόμη και παραλλαγές στο lock screen υπολογιστών με χρήση του ουκρανικού εθνικού χαιρετισμού Slava Ukraini! (Δόξα στην Ουκρανία!). Από την έναρξη της ρωσικής εισβολής, έχει αυξηθεί ο αριθμός των ransomware «ερασιτεχνικού επιπέδου» και των wiper. Οι (κακώς εννοούμενοι) developers τους συχνά δεσμεύονται να υποστηρίξουν μια από τις αντιμαχόμενες πλευρές και θέτουν τις επιθέσεις ως προσωπικές βεντέτες.

Δεν αποτελεί έκπληξη το γεγονός ότι ο πόλεμος έχει οδηγήσει σε χρήση spam mail και phishing mail. Αμέσως μετά την εισβολή στις 24 Φεβρουαρίου, οι scammers άρχισαν να εκμεταλλεύονται ανθρώπους που προσπαθούσαν να υποστηρίξουν την Ουκρανία, χρησιμοποιώντας ως δέλεαρ ανύπαρκτες φιλανθρωπίες και εράνους. Ακριβώς εκείνη την ημέρα, η τηλεμετρία της ESET ανίχνευσε απότομη και μεγάλη αύξηση ανεπιθύμητων email.

Πέρα από τον πόλεμο – Η επανεμφάνιση του Emotet

Η τηλεμετρία της ESET έχει επίσης εντοπίσει πολλές άλλες απειλές που δεν σχετίζονται με τον πόλεμο Ουκρανίας – Ρωσίας. «Μπορούμε να επιβεβαιώσουμε ότι το Emotet – το διαβόητο malware, που διαδόθηκε κυρίως μέσω spam mail – επέστρεψε, μετά τις προσπάθειες εξάλειψής του το περασμένο έτος», λέει η εταιρεία. Οι χειριστές του Emotet διέσπειραν αλλεπάλληλες εκστρατείες μέσα στο πρώτο τετράμηνο του 2022, οδηγώντας στον εκατονταπλασιασμό εμφάνισης του Emotet. Ωστόσο, όπως σημειώνεται, οι εκστρατείες που βασίζονται σε κακόβουλες μακροεντολές, μπορεί να ήταν οι τελευταίες, μετά την by default απενεργοποίηση από τη Microsoft των μακροεντολών στη σουΐτα του Office.

Μετά την αλλαγή, οι χειριστές του Emotet άρχισαν να δοκιμάζουν άλλους τρόπους «έκθεσης», σε μικρότερο αριθμό υποψηφίων θύματων.

Τέλος, η Έκθεση περιέχει αναλύσεις των περισσότερο σημαντικών ευρημάτων της έρευνας, όπως την κατάχρηση των εμπαθειών οδήγησης πυρήνα (kernel), σημαντικές ευπάθειες πυρήνα UEFI, cryptocurrency malware με στόχο συσκευές Android και iOS, μια καμπάνια που αναπτύσσει το malware DazzleSpymacOS και τις εκστρατείες των Mustang Panda, Donot Team, Winnti Group και TA410 APT group.

Για περισσότερες πληροφορίες, ανατρέξτε στο ESET T1 2022 Threat Report, πατώντας εδώ.

Τεύχος 84