Instituições públicas, bancos e empresas do setor energético entre os principais alvos
A Check Point Research (CPR), área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), alerta para grupos de cibercrime de todo o mundo que estão a utilizar documentos sobre o conflito Rússia/Ucrânia para distribuir malware e incitar as vítimas a cair em esquemas de ciberespionagem. Os ficheiros partilhados variam dependendo da região e setor visados, indo desde documentos que parecem provir de fontes oficiais a artigos noticiosos e ofertas de trabalho. A CPR acredita que a principal motivação dos ataques seja o roubo de informação sensível de instituições governamentais, bancos e empresas do setor energético.
No relatório mais recente, a CPR perfila três grupos APT, El Machete, Lyceum e Sidewinder, apanhados recentemente a disseminar campanhas direcionadas de phishing para vítimas de 5 países. A tabela abaixo sumariza cada um dos grupos APT quanto à sua origem, setores a que se dirigem e países-alvo.
Capacidades do malware
A CPR analisou o malware associado a cada um dos três grupos APT, especialmente para estas atividades de ciberespionagem. As capacidades do malware incluem:
- Keylogging: aceder a tudo o que é digitado no teclado
- Roubo de credenciais: obter as credenciais armazenadas nos browsers do Chrome e Firefox
- Recolha de ficheiros: recolher informação sobre os ficheiros em cada disco, acedendo a nomes e tamanhos de ficheiros, permitindo o roubo de ficheiros específicos
- Capturas de ecrã
- Recolher dados da área de transferência
- Executar comandos
Metodologia dos ataques
El Machete
- Lança campanhas de phishing direcionadas com um texto sobre a Ucrânia
- Em anexo, um documento Word com um artigo sobre a Ucrânia
- O documento inclui um macro malicioso que descarrega uma sequência de ficheiros
- O malware é descarregado no PC
Lyceum
- E-mail com conteúdo sobre os crimes de guerra na Ucrânia e um link para um documento malicioso hospedado num website
- O documento executa um macro código quando é fechado
- Ficheiro exe guardado no computador
- Na próxima vez que o computador for reiniciado, o malware será executado
SideWinder
- Documento malicioso é aberto pela vítima.
- Assim que aberto, o documento recupera um template remoto a partir de um servidor controlado por um agente malicioso
- O template externo que é descarregado é um ficheiro RTF que explora a vulnerabilidade CVE-2017-11882
- O malware chega ao PC da vítima
Documentos relacionados com a guerra Rússia-Ucrânia são o isco de eleição
A CPR observou que o grupo El Manchete enviava e-mails de phishing direcionados a organizações financeiras na Nicarágua, com um ficheiro Word anexado cujo título era “Planos obscuros do regime neonazi na Ucrânia”. O documento continha um artigo escrito e publicado por Alexander Khokholikov, o embaixador russo em Nicarágua que discutiu o conflito russo-ucraniano a partir da perspetiva do Kremlin.
Fig. 1 Documento utilizado pelo grupo APT El Machete para atrair as instituições financeiras nicaraguenses |
Em meados de março, uma empresa israelita do setor energético recebeu um e-mail do endereço inews-reporter@protonmail(.)com com o assunto “Crimes de guerra russos na Ucrânia”. O e-mail continha algumas fotografias tiradas de meios de comunicação e um link para um artigo hospedado no domínio news-spot[.]live. O link levava o utilizador para um documento com o artigo do The Guardian intitulado “Investigadores reúnem evidências de possíveis crimes de guerra russos na Ucrânia”. O mesmo domínio servia de endereço para alguns outros documentos maliciosos relacionados com a Rússia e com a guerra Rússia-Ucrânia, como uma cópia de um artigo de 2020 do The Atlantic Council sobre armas nucleares, e uma oferta de trabalho para um agente de segurança privada na Ucrânia.
Fig. 2 E-mail enviado pelo grupo Lyceum para atrair vítimas através do conflito Rússia-Ucrânia |
Fig. 4 Documentos relacionados com o conflito Rússia-Ucrânia utilizados pelo grupo APT Lyceum |
O documento malicioso do SideWinder, que tirava partido também da guerra Rússia-Ucrânia, foi carregado em meados de março no VirusTotal (VT), um serviço online gratuito que analisa o potencial malicioso dos ficheiros. Considerando o seu conteúdo, os alvos pretendidos eram entidades paquistanesas. O documento usado como isco parecia provir do Instituto Nacional de Assuntos Marítimos da Universidade de Bahria em Islamabad, e apresentava como título "O impacto do conflito russo-ucraniano no Paquistão". Este documento malicioso utilizava uma injeção de template remota. Quando aberto, o documento recupera um template remoto a partir de um servidor controlado por agente malicioso.
Fig. 4 Documento utilizado pelo grupo APT Sidewinder para ludibriar as vítimas com o conflito Rússia-Ucrânia |
“Neste momento, estamos a ver uma variedade de campanhas APT que aproveitam a guerra para distribuir malware. As campanhas são altamente direcionadas e sofisticadas, focando-se em vítimas de instituições governamentais, entidades financeiras e setores energéticos. No nosso relatório mais recente, perfilamos e trazemos exemplos de três grupos APT diferentes, oriundos de várias partes do mundo, que apanhámos a orquestrar campanhas de phishing direcionado,” começa por dizer Sergey Shykevich, Threat Intelligence Group Manager da Check Point Software. “Analisámos de perto o malware envolvido, e entre as capacidades encontramos desde o keylogging à captura de ecrã, e muito mais. Acredito vivamente que estas campanhas têm como motivação principal a ciber espionagem. As nossas descobertas revelam uma tendência clara em que o conflito Rússia-Ucrânia se tornou o tema de eleição dos grupos de cibercrime para ludibriar as vítimas. A minha recomendação para os governos, bancos e empresas energéticas é que reiterem com as suas equipas a importância da cibersegurança, e implementem soluções de cibersegurança que protejam as redes a todos os níveis.”
Ciberataques no mundo em torno da guerra
A Check Point Research (CPR) partilhou recentemente uma atualização das tendências de cibercrime a que se tem assistido enquanto decorre a guerra Rússia-Ucrânia. Um mês depois do início da guerra, a 24 de fevereiro de 2022, tanto a Rússia como a Ucrânia viram o número de ciberataques aumentar, 10% e 17% respetivamente. A CPR constatou ainda que, a nível global, registou-se um aumento de 16% do número de ciberataques. A CPR tem monitorizado de perto o fluxo de ciberataques por região e, especificamento, nos países da NATO, nos quais se inclui Portugal.
Post A Comment:
0 comments: