A Avast divulga seu Relatório de Ameaças do primeiro trimestre de 2022, que revela ameaças cibernéticas girando em torno da guerra física entre a Rússia e a Ucrânia. O relatório mais recente destaca um grupo APT atribuído à Rússia, que ataca os usuários na Ucrânia, além de ferramentas DDoS sendo usadas contra sites russos e ataques de ransomware direcionados a empresas na Ucrânia.
Adicionalmente, as descobertas mostram que as gangues cibernéticas foram afetadas pela guerra física, causando um ligeiro declínio em ransomware e a descontinuação temporária do ladrão de informações, Racoon Stealer.
Ciberguerra: Ucrânia e Rússia
“Muitas vezes vemos paralelos entre o que está acontecendo no mundo real e o cenário de ameaças, quando se trata de como as ameaças estão sendo disseminadas e os seus alvos. No primeiro trimestre de 2022, vimos um aumento significativo de ataques de determinados tipos de malware nos países envolvidos na guerra. Em comparação com o quarto trimestre de 2021, observamos um aumento de mais de 50% na quantidade de ataques de trojan de acesso remoto (RAT) e mais de 20% de crescimento nos ataques de malware de roubo de informações, que bloqueamos na Ucrânia, Rússia e Bielorrússia, e que poderiam ser usados para a coleta de informações ou espionagem”, diz Jakub Kroustek, Diretor de Pesquisa de Malware da Avast.
“Também bloqueamos 30% mais tentativas de infecções de novos dispositivos para ingressar em botnets na Rússia e um aumento de 15% na Ucrânia, com o objetivo de construir exércitos de dispositivos capazes de realizar ataques DDoS na mídia, bem como em outros sites e infraestruturas críticas. Por outro lado, bloqueamos 50% menos ataques de adware na Rússia e na Ucrânia, o que pode ser devido a um menor número de pessoas acessando a internet, especialmente na Ucrânia”, completa.
Pouco antes do início da guerra na Ucrânia, os Laboratórios de Ameaças da Avast rastrearam vários ataques cibernéticos, os quais acreditava-se terem sido realizados por grupos russos de APT. O Gamaredon, um grupo APT conhecido e ativo, aumentou a atividade rapidamente no final de fevereiro, disseminando o seu malware para um amplo grupo de alvos, incluindo consumidores, buscando por vítimas de interesse para realizar espionagem. O ransomware chamado HermeticRansom, para o qual a Avast lançou uma ferramenta de descriptografia, foi disseminado, presumivelmente também por um grupo APT.
Os pesquisadores da Avast rastrearam ferramentas promovidas por comunidades hacktivistas, para realizar ataques DDoS em sites russos. Os pesquisadores identificaram páginas web, incluindo um site de previsão de tempo, incorporando o código usado para a realização desses ataques por meio do navegador dos visitantes, sem o consentimento deles.
Esses tipos de ataques diminuíram no final do trimestre. Uma botnet vendida como serviço foi usada para uma campanha DDoS em março, em conexão com o grupo de ransomware Sodinokibi (REvil). Além disso, os autores de malware usaram a guerra para espalhar malware, como trojans de acesso remoto (RATs), espalhando e-mails com anexos maliciosos alegando conter informações importantes sobre a guerra.
Guerra na Ucrânia impactando operações do cibercrime
Os autores e operadores de malware foram diretamente afetados pela guerra, como a suposta morte do desenvolvedor líder do Raccoon Stealer, que resultou na descontinuação temporária do malware ladrão de informações.
Os Laboratórios de Ameaças da Avast também continuaram observando um ligeiro declínio de 7% nos ataques de ransomware em todo o mundo no primeiro trimestre de 2022, em comparação com o quarto trimestre de 2021, que acredita-se ter sido causado pela guerra na Ucrânia, onde muitos operadores e afiliados de ransomware operam. Com isso, os ataques de ransomware reduziram pelo segundo trimestre consecutivo.
No quarto trimestre de 2021, o declínio foi causado por uma cooperação de nações, agências governamentais e fornecedores de segurança que caçavam os autores e operadores de ransomware. Outras causas para o declínio podem ser um dos grupos de ransomware mais ativos e bem-sucedidos, Maze, encerrando as suas operações em fevereiro e a tendência contínua de gangues de ransomware concentrando-se mais em ataques direcionados a grandes alvos (como um grande jogo de caça), do que em usuários regulares através de técnicas de “spray and pray”.
A guerra causou uma divisão dentro da gangue de ransomware Conti, com um pesquisador ucraniano vazando arquivos internos sobre os negócios da gangue e o código-fonte para o ransomware Conti, depois que o grupo declarou lealdade à Rússia, prometendo retaliação de ransomware por ataques cibernéticos contra o país (a Rússia). Os vazamentos resultaram temporariamente em um declínio do ransomware Conti.
No primeiro trimestre de 2022, os usuários no Brasil e na Argentina tiveram uma chance de 21% e 23% maior, respectivamente, de encontrar o malware ladrão de informações em comparação com o quarto trimestre de 2021.
A América Latina abriga muitos ladrões regionais específicos capazes de comprometer as contas bancárias das vítimas. À medida que a cultura de hackers clandestinos continua se desenvolvendo no Brasil, esses grupos de ameaças visam seus concidadãos para fins financeiros. No Brasil, Ousaban e Chaes representam as ameaças mais significativas, com mais de 100 mil e 70 mil hits no primeiro trimestre de 2022. No México, observamos mais de 34 mil acessos do Casbaneiro. Um padrão típico compartilhado entre esses grupos é a cadeia de entrega de múltiplos estágios, utilizando linguagens de script para baixar e implantar o payload do próximo estágio, enquanto emprega técnicas de sideload de DLL para executar o estágio final.
A participação de mercado do Emotet dobrou. TDS espalhando campanhas maliciosas
Adicionalmente, o relatório revela que o Emotet dobrou a sua participação de mercado desde o último trimestre. Em particular, a Avast observou um aumento significativo nas tentativas de infecção do botnet Emotet, em março. Além disso, um sistema de direção de tráfego (TDS), chamado Parrot TDS, foi encontrado espalhando campanhas maliciosas por meio de 16.500 sites infectados. O relatório também inclui um resumo de como os pesquisadores da Avast reuniram pistas para descobrir como a Meris, uma das maiores redes botnet-as-a-service, composta principalmente por mais de 230 mil dispositivos MikroTik vulneráveis, facilitou vários ataques em grande escala nos últimos anos.
Quanto aos dispositivos móveis, os cibercriminosos estão mudando de tática quando se trata de espalhar adware e assinaturas SMS premium, as quais continuam prevalecendo. Embora a Google Play Store tenha sido usada anteriormente para distribuir essas ameaças, os malfeitores agora estão usando janelas pop-up e notificações do navegador para espalhar aplicativos maliciosos entre os consumidores.