PUBLICIDADE

Hackers compartilham infraestrutura para ataque conjunto

Os cibercriminosos de diferentes grupos estão literalmente se unindo para promover ataques.

28 jan 2019 16h50
ver comentários
Publicidade

Não há nenhum tipo de barreira entre o cibercrime. Até antigas rivalidades estão sendo deixadas de lado em nome de um objetivo comum: o crime. A novidade agora foi uma sobreposição nos ciberataques de dois grupos especializados em ciberameaça famosos, o GreyEnergy – que acredita-se ser o sucessor do BlackEnergy – e o grupo de espionagem cibernética Sofacy. Ambos usaram os mesmos servidores simultaneamente, mas com finalidades diferentes.

A conclusão foi do grupo de estudos da Kaspersky Lab, que alertam para as consequências devastadoras para esse tipo de cooperação. Em 2015, o BlackEnergy produziu um dos ciberataques mais famosos da história contra instalações elétricas ucranianas, que causaram vários apagões elétricos no país. Ao mesmo tempo, o grupo Sofacy causou grande confusão com vários ataques sobre organizações governamentais, agências de inteligência e de segurança nacional dos EUA e européias.

Já se suspeitava haver uma conexão entre os dois grupos, mas isso não tinha sido provado até agora, depois que descobriu-se que o GreyEnergy estava usando malware para atacar alvos industriais e de infraestrutura crítica, principalmente na Ucrânia, e que foram percebidas fortes semelhanças da arquitetura em relação ao BlackEnergy.

Foto: Jefferson Santos / Unsplash.com

O departamento de segurança industrial da Kaspersky Lab, responsável pela pesquisa e eliminação de ameaças nesses sistemas, encontrou dois servidores hospedados na Ucrânia e na Suécia que foram usados simultaneamente pelos dois grupos, em junho de 2018.

O GreyEnergy usou esses servidores em uma campanha de phishing para baixar um arquivo malicioso. Esse arquivo era executado pelos usuários que abriam um documento de texto anexado a um e-mail de phishing. Ao mesmo tempo, o Sofacy usou esse mesmo servidor como centro de comando e controle para seu próprio malware. Como os dois grupos usaram os servidores por um tempo relativamente pequeno, essa coincidência sugere uma infraestrutura compartilhada.

Isso foi confirmado pelo fato de que os dois players estavam visando, há semanas, uma empresa com e-mails de spearphishing. Além disso, os dois grupos usavam documentos de phishing semelhantes disfarçados de e-mails do Ministério de Energia da República do Cazaquistão.

“A infraestrutura comprometida compartilhada por esses dois grupos especializados possivelmente indica que eles não têm apenas o idioma russo em comum, mas também trabalham em cooperação mútua. Isso também dá uma ideia de sua capacidade conjunta e produz um quadro mais claro de suas metas e possíveis alvos. Essas constatações acrescentam outra peça importante para o público sobre o GreyEnergy e o Sofacy. Quanto mais o setor conhece suas táticas, técnicas e procedimentos, melhor os especialistas em segurança podem trabalhar para proteger os clientes de ataques sofisticados”, afirma Maria Garnaeva, pesquisadora de segurança da Kaspersky Lab.

Para proteger as empresas de ataques desses grupos, a Kaspersky Lab faz quatro recomendações:

  1. Disponibilizar treinamento específico em cibersegurança para seus funcionários, instruí-los a sempre verificar os endereços de links e o e-mail do remetente antes de clicar em qualquer link;
  2. Realizar iniciativas de conscientização sobre segurança, incluindo treinamentos em forma de jogos com avaliação de habilidades e reforço por meio da repetição de simulações de ataques de phishing;
  3. Automatizar as atualizações de sistemas operacionais, software de aplicativos e soluções de segurança nos sistemas que fazem parte da rede de TI e também da rede industrial da empresa;
  4. Implementar uma solução de proteção exclusiva, capacitada com tecnologias antiphishing baseadas em comportamento, além de tecnologias contra ataques direcionados e inteligência de ameaças, como a Kaspersky Threat Management and Defense. Elas são capazes de identificar e bloquear ataques direcionados avançados por análises de anomalias na rede e proporcionam visibilidade total da rede e automação da resposta às equipes de cibersegurança.
Digital
Publicidade
Publicidade