Rapport ESET T1 2022 Analyse d’impact de la guerre sur les cyber-menaces, cas spécifique de l’Ukraine

Pour la première fois depuis le début de l’année 2020, le nombre d’attaques ciblant le protocole RDP a chuté (-43%), tout comme les tentatives d’attaques visant SQL (-64%) et SMB (-26%). Durant le T1 2021, la plus grande part des détections (12%), dans la catégorie des rancongiciels, ciblaient la Russie. Avant l’invasion de l’Ukraine, la Russie et certains pays de la Communauté des États indépendants (CEI) étaient généralement exclus des listes de cibles des ransomwares, peut-être parce que les criminels résidaient dans ces pays ou craignaient des représailles. La guerre a entraîné l’afflux de campagnes d’hameçonnage et d’escroquerie ciblant les personnes souhaitant soutenir l’Ukraine. Ces campagnes ont été détectées presque immédiatement après le début de l’invasion.
En mars et avril 2022, les opérateurs d’Emotet ont lancé des campagnes massives de spam à l’aide de documents Microsoft Word infectés, ce qui a entraîné la multiplication par 113 des détections d’Emotet au T1 2022.
De fait, campagnes d’Emotet sont classés dans la catégorie des « menaces par email », celle-ci a connue une croissance de 37% au T1 2022.
ESET, 1er éditeur Européen de solutions de cybersécurité, a publié aujourd’hui son rapport sur les menaces vues au 1er trimestre 2022, qui reprend les principales statistiques issues de ses systèmes de détection et présente des études significatives. Cette édition met en lumière les différentes cyberattaques liées à la guerre en Ukraine, ainsi que l’aide apportée par les chercheurs d’ESET, menant analyses et atténuations. Il s’agit notamment de la résurrection du tristement célèbre malware Industroyer, qui visait des sous-stations électriques.
La télémétrie ESET a également enregistré d’autres changements qui pourraient avoir un lien avec la situation en Ukraine. Roman Kováč, Chief Research Officer chez ESET, précise : « Plusieurs conflits font rage dans le monde, mais pour nous, celui-ci est différent. Aux portes de la Slovaquie, où ESET a son siège et plusieurs bureaux, les Ukrainiens se battent pour leur vie et leur souveraineté».
Peu avant l’invasion russe, la télémétrie d’ESET a enregistré une forte baisse des attaques contre le protocole d’accès à distance RDP. Le déclin de ces attaques survient après deux années de croissance constante, et comme expliqué dans la section des exploitations de vulnérabilités du dernier rapport ESET sur les menaces, ce revirement pourrait être liée à la guerre en Ukraine. Mais même avec cette baisse, près de 60% des attaques entrantes contre RDP observées au T1 2022 ont pour origine la Russie.
Autre effet secondaire de la guerre : si les rançongiciels avaient auparavant tendance à éviter les cibles situées en Russie, selon la télémétrie d’ESET, la Russie a été le pays le plus ciblé. Les chercheurs d’ESET ont même détecté des variantes d’écran de verrouillage utilisant le salut national ukrainien « Slava Ukraini ! » (Gloire à l’Ukraine !). Depuis l’invasion de l’Ukraine par la Russie, une augmentation du nombre de ransomwares et de malwares d’effacement de données a été constatée. Leurs auteurs s’engagent souvent à soutenir l’un des camps en présence et présentent les attaques comme une vengeance personnelle.
Sans surprise, la guerre a également été exploitée de manière notable par les auteurs de spam et d’hameçonnage. Immédiatement après le 24 février, des escrocs ont commencé à profiter des personnes qui tentent de soutenir l’Ukraine, en utilisant des organisations caritatives et des collectes de fonds fictives comme appâts. Ce jour-là, la télémétrie d’ESET a détecté un pic important dans les détections de spam.
La télémétrie ESET a également constaté de nombreuses autres menaces sans rapport avec la guerre Russie/Ukraine. « Nous pouvons confirmer que le célèbre malware Emotet, qui se propage principalement via des emails non sollicités, est de retour après les tentatives de démantèlement de l’année dernière, et qu’il est remonté dans notre télémétrie », explique M. Kováč. Les opérateurs d’Emotet ont lancé une multitude de campagnes de spam au T1. Leur détection ayant été multipliée par plus de cent. Toutefois, comme le note le rapport sur les menaces, les campagnes reposant sur des macros malveillantes pourraient bien être les dernières, étant donné la récente décision de Microsoft de désactiver par défaut les macros des documents provenant d’Internet dans les logiciels Office. Suite à ce changement, les opérateurs d’Emotet ont testé d’autres vecteurs d’infection sur des échantillons de victimes. Le rapport d’ESET sur les menaces au T1 2022 examine également les résultats d’importantes études. ESET Research a par exemple découvert des exploitations de vulnérabilités des pilotes de noyau, des vulnérabilités UEFI à fort impact, des malwares de cryptomonnaie ciblant les appareils Android et iOS, une campagne non encore attribuée déployant le malware MacOS DazzleSpy, et les campagnes de Mustang Panda, Donot Team, Winnti Group et de APT TA410.
Le rapport présente un aperçu des nombreuses interventions des chercheurs d’ESET au cours de conférences du T1 2022, notamment RSA et REcon en juin 2022, mettant en avant la découverte par ESET Research de Wslink et ESPecter. Ces interventions seront suivies par la participation d’ESET à la conférence Virus Bulletin de septembre 2022.

Correspondance particulière