ESET Threat Report: confira as ameaças detectadas no primeiro semestre de 2023

A equipe de pesquisa da ESET apresenta uma nova edição do ESET Threat Report. Desta vez, o documento traz mudanças que tornaram seu conteúdo mais atraente e acessível. Uma das principais alterações está na nova abordagem para a apresentação de dados: em vez de detalhar todas as mudanças de dados dentro de cada categoria de detecção, a nossa intenção é fornecer análises mais aprofundadas de desenvolvimentos selecionados. Para aqueles que buscam uma visão geral e abrangente dos dados de telemetria relacionados a cada categoria, incluímos o conjunto completo de gráficos e figuras em um capítulo dedicado à Telemetria de Ameaças.

Além disso, agora temos uma mudança na periodicidade de publicação, passando de um cronograma de lançamento trianual para um semestral. Nesta edição, destacamos informações do primeiro semestre de 2023, que abrange o período de dezembro de 2022 a maio de 2023. Ao compararmos este período com o segundo semestre de 2022, nos referimos ao período de junho de 2022 a novembro de 2022.

No primeiro semestre de 2023, observamos tendências que destacam a notável adaptabilidade dos cibercriminosos e a busca incessante de novos caminhos para atingir seus objetivos nefastos, seja explorando vulnerabilidades, obtendo acesso não autorizado, comprometendo informações confidenciais ou fraudando indivíduos. Um dos motivos para as mudanças nos padrões de ataque são as políticas de segurança mais rígidas introduzidas pela Microsoft, especialmente quanto à abertura de arquivos habilitados para macro. Em uma nova tentativa de contornar essas medidas, os atacantes substituíram as macros por arquivos do OneNote armados no primeiro semestre de 2023, aproveitando a capacidade de incorporar outros arquivos diretamente no OneNote. Em resposta, a Microsoft se reajustou, o que fez com que os cibercriminosos explorassem vetores de invasão alternativos, com a intensificação de ataques de força bruta contra servidores Microsoft SQL possivelmente sendo uma das abordagens testadas.

Nossos dados de telemetria também sugerem que os operadores da famosa botnet Emotet tiveram dificuldades para se adaptar à superfície de ataque cada vez menor, possivelmente indicando que um grupo diferente adquiriu o botnet. Na arena do ransomware, os cibercriminosos reutilizaram cada vez mais o código-fonte vazado anteriormente para criar novas variantes de ransomware. Embora isso permita que amadores se envolvam em atividades de ransomware, também permite que defensores como nós cubram uma gama mais ampla de variantes, inclusive as recém-surgidas, com um conjunto mais genérico de regras e detecções.

Embora as ameaças de criptomoeda tenham diminuído constantemente em nossa telemetria (nem mesmo para serem ressuscitadas pelo recente aumento no valor do bitcoin), as atividades cibercriminosas relacionadas à criptomoeda continuam de forma persistente, com recursos de criptomineração e roubo de criptomoedas cada vez mais incorporados a linhagens de malware mais versáteis. Essa evolução segue um padrão observado no passado, quando malwares como keyloggers foram inicialmente identificados como uma ameaça separada, mas acabaram se tornando um recurso comum de muitas famílias de malware.

Analisando outras ameaças voltadas para o ganho financeiro, observamos um retorno dos chamados e-mails de sextorção, explorando os medos das pessoas em relação às suas atividades on-line, e um crescimento alarmante de aplicativos falsos de empréstimo para Android, mascarados como serviços legítimos de empréstimo pessoal, aproveitando-se de usuários vulneráveis com necessidades financeiras urgentes.