Mercado fechado
  • BOVESPA

    114.177,55
    -92,52 (-0,08%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    55.164,01
    +292,65 (+0,53%)
     
  • PETROLEO CRU

    81,12
    +0,11 (+0,14%)
     
  • OURO

    1.929,60
    -0,40 (-0,02%)
     
  • BTC-USD

    23.025,98
    +15,65 (+0,07%)
     
  • CMC Crypto 200

    523,89
    -3,30 (-0,63%)
     
  • S&P500

    4.060,43
    +44,21 (+1,10%)
     
  • DOW JONES

    33.949,41
    +205,57 (+0,61%)
     
  • FTSE

    7.761,11
    +16,24 (+0,21%)
     
  • HANG SENG

    22.566,78
    +522,13 (+2,37%)
     
  • NIKKEI

    27.362,75
    -32,26 (-0,12%)
     
  • NASDAQ

    12.045,25
    -61,50 (-0,51%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,5224
    -0,0164 (-0,30%)
     

Criminosos russos revivem malware com mais de 10 anos em guerra contra Ucrânia

Um malware bancário com 10 anos de vida foi ressuscitado por cibercriminosos ligados ao governo da Rússia para ser usado em operações de guerra cibernética contra a Ucrânia. O Andromeda, criado em 2011 e que circulou em 2013, foi concebido como um vírus bancário que circulava por meio de drives USB infectados, passando a enviar informações aos bandidos originais por meio de servidores de controle.

Na nova operação, entretanto, a praga virou arma de acesso remoto e reconhecimento, permitindo a obtenção de dados digitados e arquivos das máquinas conectadas. Tudo, aparentemente, sem chamar a atenção de pesquisadores em segurança e ferramentas antivírus, já que a quadrilha conhecida como Turla se aproveitou de contaminações antigas, que estavam dormentes nos computadores desde a desativação da rede do Andromeda.

Governos, organizações públicas e empresas cujo parque tecnológico está defasado parecem ser os principais alvos da operação, revelada pelos pesquisadores em segurança da Mandiant. Os ataques começaram no ano passado quando os cibercriminosos registraram para si domínios que eram originalmente associados ao malware, permitindo que as conexões fossem reativadas e o vírus voltasse a receber comandos.

Desta vez, foram baixadas duas ferramentas cibercriminosas: a Kopiluwak, voltada para reconhecimento, e a backdoor Quietcanary, que poderia permitir acesso remoto. A “carona” na operação cibercriminosa antiga também deu amplitude ao ataque sem que os bandidos tivessem que focar em vetores de comprometimento próprios, dando acesso a sistemas oficiais e a informações sensíveis para o esforço de guerra.

<em>Detecção do Andromeda pelo antivírus Malwarebytes; contaminações bem-sucedidas há 10 anos foram revividas por grupo cibercriminoso russo, em guerra contra a Ucrânia (Imagem: Divulgação/MalwareBytes)</em>
Detecção do Andromeda pelo antivírus Malwarebytes; contaminações bem-sucedidas há 10 anos foram revividas por grupo cibercriminoso russo, em guerra contra a Ucrânia (Imagem: Divulgação/MalwareBytes)

O resultado, segundo a Mandiant, foram centenas de comprometimentos bem-sucedidos após a reativação de três domínios que pertenciam originalmente ao Andromeda. Isso, somente na Ucrânia, alvo principal da operação, o que indica um trabalho direcionado ao país, uma vez que o vírus conta com contaminações ao redor do globo em sua jornada inicial. Agora, porém, ele serve de carona para um grupo que os especialistas em segurança digital afirmam ter ligação direta com o Kremlin.

A empresa de segurança digital aponta que o Andromeda continua se espalhando por meio de drives USB infectados, com o retorno de seus servidores de controle representando um risco a mais para os usuários, principalmente, corporativos e governamentais. O ideal é que as organizações tenham políticas rígidas quanto ao uso de dispositivos externos, assim como monitorem conexões e movimentações pelas redes.

Enquanto as novas operações parecem se concentrar especificamente nos esforços de guerra, elas podem se tornar mais abrangentes a qualquer momento, o que reforça a necessidade de atualizações não só de software, mas também de dispositivos. A Mandiant liberou, ainda, indicadores de comprometimento para que administradores possam buscar sinais de contaminação pelo Andromeda em suas redes e computadores.

Fonte: Canaltech

Trending no Canaltech: