Het dreigingslandschap is drastisch veranderd naar aanleiding van de Russische invasie in Oekraïne. De oorlog bracht een massale toename van phishing- en scam-campagnes met zich mee. Daarbij werd misbruik gemaakt van burgers die Oekraïne probeerden te steunen; deze campagnes begonnen vrijwel onmiddellijk na het begin van de invasie.
Dit blijkt uit het ‘Threat Report’ dat de Slowaakse security-specialist Eset over het eerste kwartaal van dit jaar heeft uitgebracht. Kort voor de Russische invasie registreerde Eset een scherpe daling in brute-force remote desktop protocol (rdp)-aanvallen. Hackers maken daarbij gebruik van kwetsbare rdp-poorten op endpoints en hosts om ransomware in te zetten. De daling van deze aanvallen komt na twee jaar van constante groei.
Volgens Eset zou de wending van gebeurtenissen te maken kunnen hebben met de oorlog in Oekraïne. Maar zelfs met deze daling is bijna zestig procent van de inkomende rdp-aanvallen die afgelopen kwartaal werd gesignaleerd afkomstig uit Rusland. Het aantal rdp-aanvallen daalde voor het eerst sinds begin 2020 (minus 43 procent), gevolgd door aanvalspogingen tegen SQL (-64 procent) en Server Message Block (-26 procent).
Een ander neveneffect van de oorlog: Rusland is volgens Eset het voornaamste doelwit van ransomware-groeperingen geworden. In het verleden hadden deze criminelen de neiging doelwitten in Rusland te vermijden.
Emotet-botnet
Verder blijkt het Emotet-botnet in Nederland aan een opmars bezig te zijn. Detectiecijfers van Eset laten een toename zien van 3.900 procent in het eerste kwartaal van dit jaar vergeleken met het kwartaal daarvoor.
Emotet is een vorm van malware die op grote schaal kwaadwillenden helpt bij het binnendringen van bedrijfsomgevingen. Emotet wordt mede gebruikt voor de verspreiding van ransomware. Het botnet werd door Europol omschreven als ’s werelds gevaarlijkste malware. In januari 2021 werd het botnet tijdens een wereldwijd gecoördineerde politie-inval ontwricht. Daarna werd tot en met midden november 2021 vrijwel geen activiteit van Emotet gedetecteerd. Sinds 16 november 2021 is Emotet terug en zijn de wereldwijde detectie-cijfers van Eset gestegen met bijna 8600 procent. De grootste piek werd vooralsnog gezien in maart en sindsdien zijn er regelmatig detectie-pieken.
“Rusland is volgens Eset het voornaamste doelwit van ransomware-groeperingen geworden. In het verleden hadden deze criminelen de neiging doelwitten in Rusland te vermijden.”
Elk nadeel heb een voordeel want gemiddelde ransomware-groepering is winstgedreven en zo’n plotselinge verandering van doelen is daarom opmerkelijk want het doet vermoeden dat Oekraïne niet zo onschuldig is. Een vermoeden wat min of meer bevestigd wordt door een onafhankelijk rapport voor de Russische inval over de bijzonder lage inkomsten voor IT specialisten. Dat gegeven werkt corruptie in de hand werkt en tel daarbij op dat veel IT specialisten censuur vrezen om te begrijpen dat hacktivisme gewoon een vorm van interne politiek is.
Er lijken meerdere bewegingen van verschillende groeperingen te zijn, het voeren van cyber oorlog naast het werken volgens het criminele verdienmodel. Ransome innen in Rusland is lang niet zo gemakkelijk als ransome innen vanuit Rusland. De door Eset geconstateerde scherpe dalingen van ransomware aanvallen vlak voor de Russische invasie en vlak daarna de phishing- en scam-campagnes tegen tegenstanders van het Kremlin beleid, zijn tekenen dat de ransomware-groeperingen uit Rusland heel veel beter op de hoogte waren van de inval in Oekraïne dan de dienstplichtige militairen die de inval moesten uitvoeren.