Antes da invasão, a Rússia e alguns países da Comunidade dos Estados Independentes (CEI) estavam tipicamente excluídos da lista de alvos de ransomware, muito possivelmente, devido a agentes criminosos residirem naqueles países ou temerem represálias. No entanto, no primeiro quadrimestre de 2022, a Rússia foi alvo da maior percentagem de deteções (12%) na categoria de ransomware. Foi detetada, inclusive, variantes de “lock-screen” que usam a saudação nacional ucraniana “Slava Ukraini!” (Glória à Ucrânia!).
Esta é uma das conclusões da mais recente edição do “ESET Threat Report”, referente ao primeiro quadrimestre, que descreve os vários ciberataques ligados à atual guerra na Ucrânia que os investigadores da ESET analisaram ou contribuíram para mitigar. Entre eles, está o reaparecimento do malware Industroyer, que visou um fornecedor de energia na Ucrânia.
Antes da invasão, a telemetria da ESET registou uma queda acentuada de 41% nos ataques via Remote Desktop Protocol (RDP), que envolvem o acesso a rede sem contacto direto. em relação ao quadrimestre anterior. O declínio destes ataques surge dois anos depois de um crescimento constante. Entre as razões possíveis por detrás deste declínio, a ESET sublinha a queda no trabalho remoto relacionado com a pandemia, a maior sensibilização entre os departamentos de TI e a guerra, cuja disrupção e sanções terão influenciado o acesso e disponibilidade às infraestruturas envolvidas nos ataques RDP. Apesar disso, perto de 60% dos ataques RDP registados no último quadrimestre teve origem na Rússia.
Adicionalmente, registou-se um aumento no número de ransomware e “wipers” mais amadores. Os seus autores assumem, frequentemente, o apoio de um dos lados em luta e posicionam os ataques como vinganças pessoais.
Sem surpresas, a guerra tem também sido explorada por autores de ameaças de spam e phishing. Logo após a invasão, a 24 de fevereiro, “scammers” começaram a aproveitar-se das pessoas que procuravam apoiar a Ucrânia, usando iniciativas de caridade e angariação de fundos fictícias como iscos. Nesse mesmo dia, a telemetria da ESET detetou um grande pico em deteções de spam.
Ameaças além da invasão
A telemetria da ESET também encontrou outras ameaças não relacionadas com a guerra. Entre elas, a ESET destaca o reaparecimento do Emotet, uma família de trojans bancários distribuída, sobretudo, através de campanhas de spam de e-mail. As deteções do Emotet cresceram em mais de uma centena, em comparação com o quadrimestre anterior. No entanto, a decisão da Microsoft de desativar as macros da Internet por predefinição nos programas Office forçará os operadores do Emotet a procurar novas vias de ataque.
Finalmente, o ESET Threat Report T1 2022 passa em revista as mais importantes descobertas de investigação do período. A equipa de investigação da ESET revelou ainda o abuso de controladores vulneráveis do kernel, vulnerabilidades UEFI de alto impacto, malware de criptomoeda que visa dispositivos Android e iOS, uma campanha ainda não atribuída de implementação do malware DazzleSpy em macOS e as campanhas de Mustang Panda, Donot Team, Winnti Group e do grupo APT TA410.
