(11) 3232-0000

 

NOTÍCIAS

FABRICANTES 

Hackers famosos estão compartilhando a mesma infraestrutura

Integre TI 0 Comentário , , , , , , , , , , , ,

Descoberta reforça o que a Kaspersky Lab diz há anos: não há nenhum tipo de barreira entre o cibercrime. Por isso a necessidade de cooperação internacional entre as nações.

Os especialistas da Kaspersky Lab identificaram uma sobreposição nos ciberataques de dois grupos especializados em ciberameaça famosos, o GreyEnergy – que acredita-se ser o sucessor do BlackEnergy – e o grupo de espionagem cibernética Sofacy. Ambos usaram os mesmos servidores simultaneamente, mas com finalidades diferentes.

Os grupos de hackers BlackEnergy e Sofacy são considerados os dois principais players no cenário das ciberameaças modernas. No passado, muitas vezes suas atividades tiveram consequências devastadoras. Em 2015, o BlackEnergy produziu um dos ciberataques mais famosos da história contra instalações elétricas ucranianas, que causaram vários apagões elétricos no pais. Ao mesmo tempo, o grupo Sofacy causou grande confusão com vários ataques sobre organizações governamentais, agências de inteligência e de segurança nacional dos EUA e européias. Já se suspeitava haver uma conexão entre os dois grupos, mas isso não tinha sido provado até agora, depois que descobriu-se que o GreyEnergy – o sucessor do BlackEnergy – estava usando malware para atacar alvos industriais e de infraestrutura crítica, principalmente na Ucrânia, e que foram percebidas fortes semelhanças da arquitetura em relação ao BlackEnergy.

O departamento de segurança industrial (ICS CERT) da Kaspersky Lab, responsável pela pesquisa e eliminação de ameaças nesses sistemas, encontrou dois servidores hospedados na Ucrânia e na Suécia que foram usados simultaneamente pelos dois grupos, em junho de 2018. O GreyEnergy usou esses servidores em uma campanha de phishing para baixar um arquivo malicioso. Esse arquivo era executado pelos usuários que abriam um documento de texto anexado a um e-mail de phishing. Ao mesmo tempo, o Sofacy usou esse mesmo servidor como centro de comando e controle para seu próprio malware. Como os dois grupos usaram os servidores por um tempo relativamente pequeno, essa coincidência sugere uma infraestrutura compartilhada. Isso foi confirmado pelo fato de que os dois players estavam visando, há semanas, uma empresa com e-mails de spearphishing. Além disso, os dois grupos usavam documentos de phishing semelhantes disfarçados de e-mails do Ministério de Energia da República do Cazaquistão.

A infraestrutura comprometida compartilhada por esses dois grupos especializados possivelmente indica que eles não têm apenas o idioma russo em comum, mas também trabalham em cooperação mútua. Isso também dá uma ideia de sua capacidade conjunta e produz um quadro mais claro de suas metas e possíveis alvos. Essas constatações acrescentam outra peça importante para o público sobre o GreyEnergy e o Sofacy. Quanto mais o setor conhece suas táticas, técnicas e procedimentos, melhor os especialistas em segurança podem trabalhar para proteger os clientes de ataques sofisticados”, afirma Maria Garnaeva, pesquisadora de segurança da Kaspersky Lab ICS CERT.

 

Para proteger as empresas de ataques desses grupos, a Kaspersky Lab recomenda:

  • Disponibilizar treinamento específico em cibersegurança para seus funcionários, instruí-los a sempre verificar os endereços de links e o e-mail do remetente antes de clicar em qualquer link;
  • Realizar iniciativas de conscientização sobre segurança, incluindo treinamentos em forma de jogos com avaliação de habilidades e reforço por meio da repetição de simulações de ataques de phishing;
  • Automatizar as atualizações de sistemas operacionais, software de aplicativos e soluções de segurança nos sistemas que fazem parte da rede de TI e também da rede industrial da empresa;
  • Implementar uma solução de proteção exclusiva, capacitada com tecnologias antiphishing baseadas em comportamento, além de tecnologias contra ataques direcionados e inteligência de ameaças, como a solução Kaspersky Threat Management and Defense. Elas são capazes de identificar e bloquear ataques direcionados avançados por análises de anomalias na rede e proporcionam visibilidade total da rede e automação da resposta às equipes de cibersegurança.

Você pode gostar também

Dell promove tecnologias para empreendedores em campanha no programa Shark Tank Brasil

Integre TI 0

Hora de agir: a necessidade de uma resposta robusta e abrangente para a segurança cibernética

Integre TI 0

Dell continua a investir na evolução do sistema operacional Wyse ThinOS

Integre TI 0
Integre TI - Integre Hardware, Software e Serviços.