2017-2-22
A Kaspersky Labs descobriu um conjunto de ataques massivos que infetaram mais de 140 redes empresariais de vários setores em todo o mundo, recorrendo a ataques “invisíveis que utilizam software legítimo para aceder aos dados corporativos
Ainda em 2016, os bancos da Comunidade de Estados Independentes (CIS) contactaram a Kaspersky porque encontraram o software de provas de penetração Meterpreter na memória dos seus servidores num local onde este não deveria aparecer. A Kaspersky descobriu que o código Meterpreter tinha sido combinado com um número de scripts PowerShell e com outras ferramentas e se tinha transformado em código malicioso capaz de se ocultar na memória e, de forma invisível, compilar as passwords dos administradores dos sistemas. Dessa forma, os ciberatacantes eram capazes de controlar os sistemas das suas vítimas remotamente e atingir o seu objetivo final: o acesso aos processos financeiros. Desde então que a Kaspersky tem investigado esses ataques, tendo chegado à conclusão de que estes eram massivos e responsáveis pela infeção de mais de 140 redes empresariais de vários setores, com a maioria das vítimas localizadas nos EUA, França, Equador, Quénia, Reino Unido e Rússia. No total, as infeções afetaram empresas em mais de 40 países. O uso de código de exploração de fonte aberta, funcionalidades Windows habituais e domínios desconhecidos, tornam praticamente impossível determinar o grupo responsável ou se são vários que partilham as mesmas ferramentas. GCMAN e Carbanak são alguns dos grupos conhecidos que utilizam técnica similar. “Esta tendência que observamos em técnicas anti forense e de malware que se situam na memória está relacionada com o compromisso dos ciberdelinquentes em ocultar a sua atividade e dificultarem a detenção. Por isso, a investigação forense da memória está a transformar-se em algo crítico para a análise de malware. Nestes incidentes em concreto, foram utilizadas todas as técnicas anti forenses existentes e é um exemplo claro de que não são necessários arquivos de malware para extrair dados da rede com sucesso. A utilização de ferramentas open source e software legítimo fazem com que seja impossível localizar a origem”, comenta Sergey Golovanov, analista principal de segurança na Kaspersky Lab. |