Ataques relacionados con la invasión rusa a Ucrania
ESET lanzó hoy su T1 2022 Threat Report, que resume las estadísticas clave de los sistemas de detección de ESET y destaca ejemplos notables de la investigación de seguridad informática de ESET. La última edición del Informe de amenazas de ESET relata los diversos ataques cibernéticos relacionados con la invasión en curso en Ucrania que los investigadores de ESET analizaron o ayudaron a mitigar. Esto incluye el regreso del malware Industroyer, que intenta atacar las subestaciones eléctricas de alto voltaje.
La telemetría de ESET también registró otros cambios en el ámbito de las amenazas cibernéticas que podrían tener una conexión con la situación en Ucrania. Roman Kováč, director de investigación de ESET, aclara por qué este informe se centra tanto en las ciberamenazas relacionadas con esta guerra:
«Hay varios conflictos en diferentes partes del mundo, pero para nosotros, este es diferente. Justo al otro lado de las fronteras orientales de Eslovaquia, donde ESET tiene su sede y varias oficinas, los ucranianos luchan por sus vidas y su soberanía».
Poco antes de la invasión rusa, la telemetría de ESET registró una fuerte caída en los ataques de Protocolo de escritorio remoto (RDP). La disminución de estos ataques se produce después de dos años de crecimiento constante y, como se explica en la sección Exploits del último Informe de amenazas de ESET, este giro de los acontecimientos podría estar relacionado con la guerra en Ucrania. Pero incluso con esta caída, casi el 60 % de los ataques RDP entrantes vistos en T1 2022 se originaron en Rusia.
Otro efecto secundario de la guerra: mientras que en el pasado, las amenazas de ransomware tendían a evitar objetivos ubicados en Rusia, durante este período, según la telemetría de ESET, Rusia fue el país más atacado. Los investigadores de ESET incluso detectaron variantes de pantalla de bloqueo utilizando el saludo nacional ucraniano “Slava Ukraini!” (¡Gloria a Ucrania!). Desde la invasión rusa de Ucrania, ha habido un aumento en la cantidad de ransomware y wipers de aficionados. Sus autores a menudo prometen apoyo a uno de los bandos combatientes y posicionan los ataques como venganzas personales.
La guerra también ha sido explotada por amenazas de spam y phishing. Inmediatamente después de la invasión del 24 de febrero, los estafadores comenzaron a aprovecharse de las personas que intentaban apoyar a Ucrania, utilizando organizaciones benéficas y recaudadores de fondos ficticios como señuelos. Ese día, la telemetría de ESET detectó un gran aumento en las detecciones de spam.
La telemetría de ESET también detectó muchas otras amenazas no relacionadas con la guerra entre Rusia y Ucrania. «Podemos confirmar que Emotet, el malware que se propaga principalmente a través del correo electrónico no deseado, ha regresado después de los intentos de eliminación del año pasado y ha vuelto a dispararse en nuestra telemetría», explica Kováč.
Los operadores de Emotet arrojaron una campaña de spam tras otra en T1, y las detecciones de Emotet se multiplicaron por más de cien. Sin embargo, como señala el Informe de amenazas, las campañas que se basan en macros maliciosas bien podrían haber sido las últimas, dada la reciente decisión de Microsoft de desactivar las macros de Internet de forma predeterminada en los programas de Office. Tras el cambio, los operadores de Emotet comenzaron a probar otros vectores de compromiso en muestras mucho más pequeñas de víctimas.
El Informe de amenazas de ESET T1 2022 también revisa los hallazgos de investigación más importantes, con el descubrimiento del equipo de investigación de ESET: el abuso de las vulnerabilidades del controlador del kernel; vulnerabilidades UEFI de alto impacto; malware de criptomonedas dirigido a dispositivos Android e iOS; una campaña aún no atribuida que implementa el malware DazzleSpy macOS; y las campañas de Mustang Panda, Donot Team, Winnti Group y el grupo TA410 APT.
El informe también contiene una descripción general de las numerosas charlas impartidas por los investigadores de ESET en T1 2022, y presenta las charlas planificadas para las conferencias RSA y REcon en junio de 2022, que muestran el descubrimiento de Wslink y ESPecter por parte de ESET Research. Estas apariciones serán seguidas por una charla en la Conferencia Virus Bulletin en septiembre de 2022.