Vírusový radar: Ruské skupiny APT pokračujú v útokoch na Ukrajinu
Vojna na Ukrajine a zločinná ruská invázia do krajiny nášho východného suseda je niečo, s čím sa na televíznych obrazovkách stretávame denne a za posledný rok aj v tomto pravidelnom stĺpčeku. Ani posledné dve hĺbkové správy z nášho Labu sa jej logicky nemohli vyhnúť.
Nedávno sme začali pravidelne každé štyri mesiace publikovať report o operáciách skupín APT. Skratka APT znamená, že ide o skupiny, ktoré vykonávajú pokročilé a pretrvávajúce útoky. Bývajú napojené na štáty, a teda sledujú ciele jednotlivých vlád: kybernetickú špionáž alebo, ako je to v prípade Ukrajiny, deštrukciu. Počas skúmaného obdobia september až december 2022 pokračovali ruské skupiny v operáciách zacielených práve sem, pričom používali ničivé mazače dát (wiper) aj ransomvérové útoky.
Naši výskumníci napríklad odhalili doposiaľ nezdokumentovaný wiper z dielne neslávnej skupiny Sandworm, ktorý nasadila v októbri na ukrajinskú spoločnosť z energetického sektora. V tom istom období ruské ozbrojené zložky spustili raketový útok na ukrajinskú energetickú infraštruktúru. V ESETe nevieme dokázať koordináciu kybernetických a fyzických útokov, ale ukazuje sa, že skupina Sandworm a ruské ozbrojené zložky majú podobné ciele. Ďalší mazač dát NikoWiper použili hackeri takisto proti spoločnosti z energetického sektora v októbri. A len pred niekoľkými týždňami koncom minulého týždňa výskumníci spoločnosti zachytili ďalší wiper šíriaci sa na Ukrajine: SwiftSlicer. Ten po spustení prepíše systémové súbory, čo má za dôsledok, že počítač nepôjde naštartovať. Ešte predtým zmaže zálohy, čím sťaží obnovu, a donúti obeť preinštalovať Windows.
Sandworm stál aj za spomínaným SwiftSlicerom, rovnako aj za iným ransomvérom, ktorého cieľom však tiež bola nakoniec deštrukcia dát. Na rozdiel od tradičných ransomvérových útokov hackeri nemali v pláne poskytnúť obetiam dešifrovací kľúč po zaplatení výkupného. V októbri 2022 ESET zdetegoval ransomvér Prestige nasadený na logistické spoločnosti na Ukrajine a v Poľsku. V novembri sme zas odhalili na Ukrajine nový ransomvér napísaný v platforme .NET, ktorý naši výskumníci pomenovali RansomBoggs. Spolu so skupinou Sandworm sa zamerali na Ukrajinu aj ďalšie ruské skupiny APT ako Callisto a Gamaredon, ktoré pokračovali v spearphishingových kampaniach s cieľom krádeže prihlasovacích údajov a inštalácie škodlivých kódov.
Okrem tejto správy sme publikovali pre odbornú a laickú verejnosť aj pravidelnú všeobecnejšiu správu o bezpečnostných hrozbách, pokrýva to isté časové obdobie. Aj tá sa zameriava na dôsledky vojny na Ukrajine. Ruská invázia má veľký vplyv na ceny energií, infláciu aj kybernetické hrozby. Na ransomvér sme sa v nej pozreli trochu z iného uhla. Kým jedna skupina agresiu podporuje, druhá je proti.
Takisto sme sa pozreli na vplyv kryptomenových kurzov a zvyšujúcich sa cien energií na rôzne hrozby zamerané na kryptomeny. V tejto súvislosti podvody súvisiace s kryptomenami zažívajú niečo ako renesanciu. Počet phishingových stránok zameraných na kryptomeny, ktoré naše technológie zablokovali, vzrástol o 62 %. FBI dokonca vydala varovanie pred pribúdajúcimi schémami na investovanie do kryptomien. Celkové detekcie infostealerov mali v sledovanom období klesajúci charakter, výnimkou však bol bankový malvér, ktorého počet sa v medziročnom porovnaní zdvojnásobil. A to dokazuje aj prúd neutíchajúcich správ v médiách o tomto type podvodu.
S tým súvisia aj ďalšie zaznamenané trendy, napríklad nárast phishingových hrozieb zameraných na online nakupovanie pred sviatkami. ESET tiež zaznamenal pred Vianocami nárast detekcií advéru pre Android v dôsledku umiestnenia škodlivých verzií mobilných hier do obchodov tretích strán. Pri platforme Android sme tiež zaznamenali počas roka zvýšené detekcie spajvéru, teda špionážneho softvéru. Tieto nástroje sú ľahko dostupné na rôznych online fórach, a tak ich používajú aj útočníci amatéri.
A čo sa týka takých populárnych útokov RDP, teda cez protokoly na vzdialenú správu: napriek tomu, že počet takýchto pokusov v roku 2022 klesol z miliardy na sto miliónov denne, hádanie hesla naďalej zostáva jedným z najrozšírenejších sieťových vektorov útoku.
Oba reporty nájdete ako vždy v anglickom jazyku na našom informačnom webe WeLiveSecurity.com, ktorý vás aj týmto pozývam sledovať. To je na tento mesiac všetko, želám zážitkové a hlavne bezpečné surfovanie online svetom.
