Os especialistas em segurança da WithSecure expuseram Kapeka. O novo malware parece ter ligações com o grupo de hackers russo Sandworm. Vários factores indicam claramente que o desenvolvimento e a utilização do malware estão relacionados com a guerra Rússia-Ucrânia: o momento, os locais e a provável ligação ao grupo russo Sandworm.
Os pesquisadores de inteligência de ameaças da WithSecure™ (anteriormente F-Secure Business) descobriram um novo malware que tem sido usado em ataques a alvos na Europa Central e Oriental desde pelo menos meados de 2022. O malware, chamado Kapeka, pode estar vinculado a um grupo chamado Sandworm. Sandworm é um grupo de hackers russos operado pelo Quartel-General do Estado-Maior General das Forças Armadas da Federação Russa (GRU). O grupo é mais conhecido pelos seus ataques destrutivos contra a Ucrânia em busca dos interesses russos na região.
Malware backdoor com funcionalidade furtiva
Kapeka é um backdoor flexível com vários recursos. Não só serve como um kit de ferramentas para hackers nos estágios iniciais do ataque, mas também fornece acesso de longo prazo aos dados da vítima. A análise do malware, a sua ocorrência pouco frequente e o seu nível de furtividade e sofisticação indicam actividade ao nível do APT, normalmente ataques de hackers dirigidos pelo Estado.
O desenvolvimento e uso do Kapeka estão intimamente ligados à atual guerra Rússia-Ucrânia. Desde a invasão ilegal, a porta dos fundos provavelmente tem sido utilizada em ataques direcionados a empresas na Europa Central e Oriental.
Conexão com o grupo russo Sandworm
“Estamos muito preocupados com Kapeka por causa de suas ligações com campanhas russas de APT, particularmente com o grupo Sandworm”, disse Mohammad Kazem Hassan Nejad, pesquisador da WithSecure Intelligence. “Os raros ataques direcionados observados principalmente na Europa Oriental apontam para uma ferramenta feita sob medida para ataques de alcance limitado. Além disso, análises mais aprofundadas revelaram semelhanças com GreyEnergy – outro kit de ferramentas que parece fazer parte do Sandworm. Isto sublinha as ligações ao grupo e indica um aumento do nível de ameaça para possíveis alvos de ataque na Europa de Leste.”
WithSecure observou a atividade de Kapeka pela última vez em maio de 2023. Não se pode esperar que os atores estatais, em particular, interrompam as suas atividades ou desativem as ferramentas funcionais. Os raros avistamentos de Kapeka podem, portanto, ser uma evidência adicional de um ataque de hacking avançado (APT) liderado pelo Estado. Estes ataques podem durar anos – por exemplo, na guerra entre a Rússia e a Ucrânia.
Mais em WithSecure.com
Sobre a WithSecure WithSecure, anteriormente F-Secure Business, é o parceiro confiável em segurança cibernética. Provedores de serviços de TI, provedores de serviços gerenciados de segurança e outras empresas confiam na WithSecure - assim como grandes instituições financeiras, empresas industriais e provedores líderes de comunicação e tecnologia. Com sua abordagem orientada a resultados para segurança cibernética, o provedor de segurança finlandês ajuda as empresas a colocar a segurança em relação às operações e a proteger processos e evitar interrupções nos negócios.