Mercado fechará em 2 h 8 min
  • BOVESPA

    111.579,08
    +669,47 (+0,60%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    50.421,56
    +247,50 (+0,49%)
     
  • PETROLEO CRU

    80,45
    +2,25 (+2,88%)
     
  • OURO

    1.767,80
    +4,10 (+0,23%)
     
  • BTC-USD

    16.859,38
    +449,78 (+2,74%)
     
  • CMC Crypto 200

    400,44
    -0,26 (-0,06%)
     
  • S&P500

    3.956,04
    -1,59 (-0,04%)
     
  • DOW JONES

    33.699,76
    -152,77 (-0,45%)
     
  • FTSE

    7.587,51
    +75,51 (+1,01%)
     
  • HANG SENG

    18.597,23
    +392,55 (+2,16%)
     
  • NIKKEI

    27.968,99
    -58,85 (-0,21%)
     
  • NASDAQ

    11.569,75
    +45,00 (+0,39%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,4244
    -0,0322 (-0,59%)
     

Ucrânia acusa a Rússia de realizar novos ataques usando vírus que apagam dados

O governo da Ucrânia voltou a acusar a Rússia de realizar ataques contra empresas do setor militar, como parte dos esforços de guerra digital contra o país. A praga usada desta vez é o Somnia, uma variante de ransomware que atua sem a capacidade de recuperação de arquivos, com travamento irreversível.

De acordo com a Equipe Digital de Resposta Emergencial ucraniano (CERT-UA, na sigla em inglês), diferentes organizações ligadas ao conflito teriam sido atingidas, incluindo fabricantes de tanques de guerra. O golpe é atribuído ao grupo From Russia With Love, também conhecido como Z-Team, APT-28 ou UAC-0118 e apontado por empresas de segurança como autores de ataques contra diplomatas, governos e empresas internacionais, a serviço do governo de Vladimir Putin.

No caso do Somnia, sites falsos promovendo uma ferramenta de segurança conhecida, o Advanced IP Scanner, foram usados como vetor de contaminação. O download permite a execução do Vidar, um malware que rouba dados focado exclusivamente no Telegram, de onde credenciais de colaboradores das organizações de interesse são roubados para permitir novos comprometimentos.

<em>Sites falsos se passavam por ferramenta de segurança para induzir vítimas a baixarem vírus que rouba dados; credenciais vazadas também foram usadas em ataques contra organizações da Ucrânia (Imagem: Divulgação/CERT-UA)</em>
Sites falsos se passavam por ferramenta de segurança para induzir vítimas a baixarem vírus que rouba dados; credenciais vazadas também foram usadas em ataques contra organizações da Ucrânia (Imagem: Divulgação/CERT-UA)

De acordo com o CERT-UA, o mensageiro foi utilizado para obter acesso às VPNs dos alvos, com a falta de mecanismos de segurança como autenticação em duas etapas permitindo a intrusão. Por fim, diversas ferramentas de monitoramento e reconhecimento das redes são utilizadas antes da contaminação pelo Somnia, que criptografa os dados sem chance de recuperação.

Segundo as autoridades, criminosos que vendem listas de credenciais roubadas também fariam parte da operação, fornecendo acesso direto às redes de interesse sem que o golpe de phishing seja necessário. A onda de ataques estaria acontecendo desde meados deste ano como parte de operações de hacktivismo em prol da Rússia.

Ainda que a ameaça seja essencialmente um ransomware, o governo ucraniano associa a operação à de um wiper, uma vez que não há pedido de resgate. Apesar de os dados permanecerem nos dispositivos atingidos, eles são inutilizados e têm até as extensões modificadas, de forma que não sejam recuperados pelas vítimas.

Indicadores de comprometimento, domínios e servidores de controle foram divulgados pela Ucrânia como forma de ajudar as empresas dos setores visados a se protegerem. O CERT-UA também disse estar trabalhando ao lado das vítimas na investigação dos incidentes.

Fonte: Canaltech

Trending no Canaltech: