ESET Threat Report T1 2022, gli effetti del conflitto in Ucraina sulla cybersecurity

ESET ha focalizzato il suo Threat Report T1 2022 sugli effetti che sta avendo l'invasione dell'Ucraina da parte della Russia sulla sicurezza informatica.

ESET individua Trickbot

A una prima veloce occhiata, il Threat Report T1 2022 pubblicato in questi giorni da ESET sembra fornire dati abbastanza rassicuranti riguardo la cybersecurity. Infatti, dopo due anni di continua crescita, diminuiscono gli attacchi Remote Desktop Protocol (-43%) e i tentativi di attacco contro SQL (-64%) e SMB (-26%). In realtà, è un risultato che maschera una realtà ben diversa, che è influenzata in modo sostanziale dal conflitto bellico che sta avvenendo tra Russia e Ucraina.

Infatti, nel mese di febbraio c’è stato un progressivo calo degli attacchi sino a quasi estinguersi fino al giorno 22. “Il pomeriggio del 23 febbraio c’è però stata un’improvvisa ondata di malware in Ucraina e 7 ore dopo le truppe russe hanno iniziato l’invasione”, ha sottolineato Richard Marko, CEO di ESET.

Roman Kováč, Chief Research Officer di ESET, ha spiegato che il report è particolarmente incentrato sulle minacce informatiche legate al conflitto per un motivo importante. “Ci sentiamo fortemente coinvolti da quanto accade proprio al di là dei confini orientali della Slovacchia, dove ESET ha il suo quartier generale e diversi uffici, e dove gli ucraini stanno combattendo per le loro vite e la loro sovranità”, ha affermato Roman Kováč.

Richard Marko ha anche raccontato come ESET abbia contribuito in prima persona ad aiutare il popolo ucraino allestendo alcuni mezzi per far arrivare beni di prima necessità a chi si trova a vivere una situazione difficile solo a pochi chilometri dagli uffici della società di sicurezza.

eset

I ransomware all’attacco della Russia

Come detto, poco prima dell’invasione russa, la telemetria ESET ha registrato un forte calo degli attacchi al Remote Desktop Protocol (RDP), evento che potrebbe essere legato alla guerra in Ucraina. Tuttavia, va sottolineato che, nonostante questo decremento, quasi il 60% degli attacchi RDP in entrata visti nel T1 2022 ha avuto origine in Russia.

Un altro effetto collaterale del conflitto è stato che, mentre in passato le minacce ransomware tendevano a evitare gli obiettivi situati in Russia, in questo periodo, secondo la telemetria ESET, la Russia è stata il Paese più bersagliato (12% a livello globale). Questo forse perché i criminali risiedevano in Russia o temevano una punizione, ipotizza l’azienda di sicurezza. Comunque, la Russia ha risposto riportando in auge il famigerato malware Industroyer, con il quale ha tentato di colpire le sottostazioni elettriche ad alta tensione ucraine.

Dopo l’invasione russa si è registrato un aumento del numero di ransomware e wiper amatoriali i cui autori, ben lontani dall’essere dei professionisti degli attacchi alla sicurezza, spesso dichiarano sostegno a una delle parti in lotta e definiscono gli attacchi come una vendetta personale. Non stupisce quindi che i ricercatori di ESET abbiano anche rilevato varianti di lockscreen contenenti il saluto nazionale ucraino Slava Ukraini! (Gloria all’Ucraina!).

Non sorprende nemmeno che la guerra sia stata sfruttata anche per spam e minacce di phishing. Infatti, dopo l’invasione del 24 febbraio, i criminali informatici hanno iniziato ad approfittare delle persone che cercavano di sostenere l’Ucraina, utilizzando come esca enti di beneficenza e raccolte fondi fittizie. In quel periodo, la telemetria ESET ha evidenziato un forte picco di rilevamenti di spam.

Malware crittografati

Il ritorno del temuto Emotet

Nel suo Threat Report T1 2022, ESET riporta anche i dati inerenti alle minacce non correlate al conflitto tra Russia e Ucraina. “Possiamo confermare che Emotet, il famigerato malware diffuso principalmente tramite e-mail di spam, è tornato dopo i tentativi di rimozione dello scorso anno ed è di nuovo in crescita nella nostra telemetria“, ha sostenuto Roman Kováč. Le campagne di spam lanciate nel primo trimestre 2022, hanno portato a una crescita dei rilevamenti di oltre cento volte.

Tuttavia, come si dice, potrebbe essere stato il canto del cigno, dato che tali campagne si basavano su macro potenzialmente dannose che Microsoft dovrebbe disabilitare per impostazione predefinita nei programmi Office. Prova ne è che in seguito alla mossa decisa da Microsoft, gli operatori di Emotet hanno iniziato a testare altri vettori di compromissione su campioni di vittime molto più piccoli.