Rússia domina cenário de ameaças cibernéticas na guerra

A Avast acaba de divulgar seu Relatório de Ameaças do primeiro trimestre de 2022, que revela ameaças cibernéticas girando em torno da guerra física entre a Rússia e a Ucrânia. O documento destaca um grupo APT atribuído à Rússia, que ataca os usuários na Ucrânia, além de ferramentas DDoS sendo usadas contra sites russos e ataques de ransomware direcionados a empresas na Ucrânia. Além disso, as descobertas mostram que as gangues cibernéticas foram afetadas pela guerra física, causando um ligeiro declínio em ransomware e a descontinuação temporária do ladrão de informações, Racoon Stealer.

“Muitas vezes vemos paralelos entre o que está acontecendo no mundo real e o cenário de ameaças, quando se trata de como as ameaças estão sendo disseminadas e os seus alvos. No primeiro trimestre de 2022, vimos um aumento significativo de ataques de determinados tipos de malware nos países envolvidos na guerra. Em comparação com o quarto trimestre de 2021, observamos um aumento de mais de 50% na quantidade de ataques de trojan de acesso remoto (RAT) e mais de 20% de crescimento nos ataques de malware de roubo de informações, que bloqueamos na Ucrânia, Rússia e Bielorrússia, e que poderiam ser usados para a coleta de informações ou espionagem”, diz Jakub Kroustek, Diretor de Pesquisa de Malware da Avast.

“Também bloqueamos 30% mais tentativas de infecções de novos dispositivos para ingressar em botnets na Rússia e um aumento de 15% na Ucrânia, com o objetivo de construir exércitos de dispositivos capazes de realizar ataques DDoS na mídia, bem como em outros sites e infraestruturas críticas. Por outro lado, bloqueamos 50% menos ataques de adware na Rússia e na Ucrânia, o que pode ser devido a um menor número de pessoas acessando a internet, especialmente na Ucrânia”.

Pouco antes do início da guerra, os Laboratórios de Ameaças da Avast rastrearam vários ataques cibernéticos, os quais acreditava-se terem sido realizados por grupos russos de APT. O Gamaredon, um grupo APT conhecido e ativo, aumentou a atividade rapidamente no final de fevereiro, disseminando o seu malware para um amplo grupo de alvos, incluindo consumidores, buscando por vítimas de interesse para realizar espionagem. O ransomware chamado HermeticRansom foi disseminado presumivelmente também por um grupo APT.

Os pesquisadores identificaram páginas web, incluindo um site de previsão de tempo, incorporando o código usado para a realização desses ataques por meio do navegador dos visitantes, sem o consentimento deles. Esses tipos de ataques diminuíram no final do trimestre. Uma botnet vendida como serviço foi usada para uma campanha DDoS em março, em conexão com o grupo de ransomware Sodinokibi (REvil). Além disso, os autores de malware usaram a guerra para espalhar malware, como trojans de acesso remoto (RATs), espalhando e-mails com anexos maliciosos alegando conter informações importantes sobre a guerra.

A Avast também observou um ligeiro declínio de 7% nos ataques de ransomware em todo o mundo no primeiro trimestre de 2022, em comparação com o quarto trimestre de 2021, que acredita-se ter sido causado pela guerra na Ucrânia, onde muitos operadores e afiliados de ransomware operam. Com isso, os ataques de ransomware reduziram pelo segundo trimestre consecutivo.

No quarto trimestre de 2021, o declínio foi causado por uma cooperação de nações, agências governamentais e fornecedores de segurança que caçavam os autores e operadores de ransomware. Outras causas para o declínio podem ser um dos grupos de ransomware mais ativos e bem-sucedidos, Maze, encerrando as suas operações em fevereiro e a tendência contínua de gangues de ransomware concentrando-se mais em ataques direcionados a grandes alvos.

No primeiro trimestre de 2022, os usuários no Brasil e na Argentina tiveram uma chance de 21% e 23% maior, respectivamente, de encontrar o malware ladrão de informações em comparação com o quarto trimestre de 2021.