Guerra cibernética na Ucrânia e na Rússia domina o cenário de ameaças

Operações de crimes cibernéticos parcialmente enfraquecidas devido à guerra. Pesquisadores observam uma ligeira redução contínua em ransomware, crescimento da presença do Emotet e descobrem uma das maiores botnet-as-a-services

Compartilhar:

A Avast divulga seu Relatório de Ameaças do primeiro trimestre de 2022, que revela ameaças cibernéticas girando em torno da guerra física entre a Rússia e a Ucrânia. O relatório mais recente destaca um grupo APT atribuído à Rússia, que ataca os usuários na Ucrânia, além de ferramentas DDoS sendo usadas contra sites russos e ataques de ransomware direcionados a empresas na Ucrânia.

 

Adicionalmente, as descobertas mostram que as gangues cibernéticas foram afetadas pela guerra física, causando um ligeiro declínio em ransomware e a descontinuação temporária do ladrão de informações, Racoon Stealer.

 

Ciberguerra: Ucrânia e Rússia

 

“Muitas vezes vemos paralelos entre o que está acontecendo no mundo real e o cenário de ameaças, quando se trata de como as ameaças estão sendo disseminadas e os seus alvos. No primeiro trimestre de 2022, vimos um aumento significativo de ataques de determinados tipos de malware nos países envolvidos na guerra. Em comparação com o quarto trimestre de 2021, observamos um aumento de mais de 50% na quantidade de ataques de trojan de acesso remoto (RAT) e mais de 20% de crescimento nos ataques de malware de roubo de informações, que bloqueamos na Ucrânia, Rússia e Bielorrússia, e que poderiam ser usados para a coleta de informações ou espionagem”, diz Jakub Kroustek, Diretor de Pesquisa de Malware da Avast.

 

“Também bloqueamos 30% mais tentativas de infecções de novos dispositivos para ingressar em botnets na Rússia e um aumento de 15% na Ucrânia, com o objetivo de construir exércitos de dispositivos capazes de realizar ataques DDoS na mídia, bem como em outros sites e infraestruturas críticas. Por outro lado, bloqueamos 50% menos ataques de adware na Rússia e na Ucrânia, o que pode ser devido a um menor número de pessoas acessando a internet, especialmente na Ucrânia”, completa. 

 

Pouco antes do início da guerra na Ucrânia, os Laboratórios de Ameaças da Avast rastrearam vários ataques cibernéticos, os quais acreditava-se terem sido realizados por grupos russos de APT. O Gamaredon, um grupo APT conhecido e ativo, aumentou a atividade rapidamente no final de fevereiro, disseminando o seu malware para um amplo grupo de alvos, incluindo consumidores, buscando por vítimas de interesse para realizar espionagem. O ransomware chamado HermeticRansom, para o qual a Avast lançou uma ferramenta de descriptografia, foi disseminado, presumivelmente também por um grupo APT.

 

Os pesquisadores da Avast rastrearam ferramentas promovidas por comunidades hacktivistas, para realizar ataques DDoS em sites russos. Os pesquisadores identificaram páginas web, incluindo um site de previsão de tempo, incorporando o código usado para a realização desses ataques por meio do navegador dos visitantes, sem o consentimento deles.

 

Esses tipos de ataques diminuíram no final do trimestre. Uma botnet vendida como serviço foi usada para uma campanha DDoS em março, em conexão com o grupo de ransomware Sodinokibi (REvil). Além disso, os autores de malware usaram a guerra para espalhar malware, como trojans de acesso remoto (RATs), espalhando e-mails com anexos maliciosos alegando conter informações importantes sobre a guerra.

 

Guerra na Ucrânia impactando operações do cibercrime 

 

Os autores e operadores de malware foram diretamente afetados pela guerra, como a suposta morte do desenvolvedor líder do Raccoon Stealer, que resultou na descontinuação temporária do malware ladrão de informações.

 

Os Laboratórios de Ameaças da Avast também continuaram observando um ligeiro declínio de 7% nos ataques de ransomware em todo o mundo no primeiro trimestre de 2022, em comparação com o quarto trimestre de 2021, que acredita-se ter sido causado pela guerra na Ucrânia, onde muitos operadores e afiliados de ransomware operam. Com isso, os ataques de ransomware reduziram pelo segundo trimestre consecutivo.

 

No quarto trimestre de 2021, o declínio foi causado por uma cooperação de nações, agências governamentais e fornecedores de segurança que caçavam os autores e operadores de ransomware. Outras causas para o declínio podem ser um dos grupos de ransomware mais ativos e bem-sucedidos, Maze, encerrando as suas operações em fevereiro e a tendência contínua de gangues de ransomware concentrando-se mais em ataques direcionados a grandes alvos (como um grande jogo de caça), do que em usuários regulares através de técnicas de “spray and pray”.

 

A guerra causou uma divisão dentro da gangue de ransomware Conti, com um pesquisador ucraniano vazando arquivos internos sobre os negócios da gangue e o código-fonte para o ransomware Conti, depois que o grupo declarou lealdade à Rússia, prometendo retaliação de ransomware por ataques cibernéticos contra o país (a Rússia). Os vazamentos resultaram temporariamente em um declínio do ransomware Conti.

 

No primeiro trimestre de 2022, os usuários no Brasil e na Argentina tiveram uma chance de 21% e 23% maior, respectivamente, de encontrar o malware ladrão de informações em comparação com o quarto trimestre de 2021.

 

A América Latina abriga muitos ladrões regionais específicos capazes de comprometer as contas bancárias das vítimas. À medida que a cultura de hackers clandestinos continua se desenvolvendo no Brasil, esses grupos de ameaças visam seus concidadãos para fins financeiros. No Brasil, Ousaban e Chaes representam as ameaças mais significativas, com mais de 100 mil e 70 mil hits no primeiro trimestre de 2022. No México, observamos mais de 34 mil acessos do Casbaneiro. Um padrão típico compartilhado entre esses grupos é a cadeia de entrega de múltiplos estágios, utilizando linguagens de script para baixar e implantar o payload do próximo estágio, enquanto emprega técnicas de sideload de DLL para executar o estágio final.

 

A participação de mercado do Emotet dobrou. TDS espalhando campanhas maliciosas

 

Adicionalmente, o relatório revela que o Emotet dobrou a sua participação de mercado desde o último trimestre. Em particular, a Avast observou um aumento significativo nas tentativas de infecção do botnet Emotet, em março. Além disso, um sistema de direção de tráfego (TDS), chamado Parrot TDS, foi encontrado espalhando campanhas maliciosas por meio de 16.500 sites infectados. O relatório também inclui um resumo de como os pesquisadores da Avast reuniram pistas para descobrir como a Meris, uma das maiores redes botnet-as-a-service, composta principalmente por mais de 230 mil dispositivos MikroTik vulneráveis, facilitou vários ataques em grande escala nos últimos anos.

 

Quanto aos dispositivos móveis, os cibercriminosos estão mudando de tática quando se trata de espalhar adware e assinaturas SMS premium, as quais continuam prevalecendo. Embora a Google Play Store tenha sido usada anteriormente para distribuir essas ameaças, os malfeitores agora estão usando janelas pop-up e notificações do navegador para espalhar aplicativos maliciosos entre os consumidores.

Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...