O fabricante europeu de segurança de TI ESET publicou seu atual "APT Activity Report T3 2022". Foco: Grupos de hackers chineses estão ativos na Europa e grupos de hackers russos continuam a atacar a Ucrânia.
Os resultados da investigação sobre grupos selecionados de Ameaça Persistente Avançada (APT) são regularmente resumidos nesses relatórios. Na última edição, que cobre o período de setembro a dezembro de 2022, os especialistas da ESET apresentam suas últimas percepções sobre várias campanhas globais de hackers. Grupos aliados da China mudaram suas atividades para países europeus. Os hackers da Rússia, como Sandworm, Callisto e Gamaredon, continuam a atacar a Ucrânia. Além disso, grupos ligados ao Irã e à Coreia do Norte continuam operando em larga escala.
Agentes de ameaças chineses tornam a Europa insegura
“Os países europeus estão se tornando cada vez mais interessantes para os grupos APT chineses. Tradicionalmente, grupos de hackers alinhados à China, como Goblin Panda e Mustang Panda, tendiam a se concentrar mais no Sudeste Asiático”, explica Jan-Ian Boutin, diretor da ESET Threat Research. “Mas em novembro passado, os pesquisadores da ESET encontraram um novo backdoor chamado TurboSlate em uma organização governamental na União Europeia. O malware foi rastreado até o Goblin Panda, que parece estar copiando as operações do grupo APT Mustang Panda. Estes últimos descobriram destinos europeus por conta própria no início de 2022. “O grupo de espionagem cibernética é conhecido por visar instituições governamentais, corporações e institutos de pesquisa. Em setembro passado, os especialistas da ESET descobriram um carregador Korplug que estava sendo usado por hackers em uma empresa suíça do setor de energia e tecnologia”, continuou Boutin.
A guerra cibernética na Ucrânia continua
O notório grupo Sandworm também é muito ativo e continua suas operações contra a Ucrânia. Os pesquisadores da ESET encontraram um limpador até então desconhecido que foi usado contra uma empresa do setor de energia no país do leste europeu em outubro de 2022. O ataque descrito ocorreu no momento em que as forças russas começaram a lançar ataques com mísseis contra a infraestrutura de energia. Embora a ESET não possa provar que esses eventos foram coordenados, isso sugere que Sandworm e os militares russos compartilham objetivos semelhantes.
A ESET apelidou o limpador mais recente, vindo de uma linha de limpadores descobertos anteriormente, NikoWiper. O malware é baseado no SDelete, uma ferramenta de linha de comando da Microsoft usada para excluir arquivos com segurança. Além do malware de limpeza de dados, os pesquisadores da ESET também descobriram ataques Sandworm usando ransomware como limpador. O software de criptografia tinha o mesmo objetivo do limpador, era destruir dados. Isso é demonstrado principalmente pelo fato de que o fornecimento de uma chave de descriptografia nunca foi planejado.
Verme da areia, Calisto, Gamaredon
Além do Sandworm, outros grupos APT russos, como Callisto e Gamaredon, continuaram campanhas de spearphishing contra a Ucrânia para roubar credenciais e instalar malware. Em outubro de 2022, a ESET detectou o ransomware Prestige, que foi usado contra empresas de logística na Ucrânia e na Polônia. Um mês depois, pesquisadores da ESET na Ucrânia encontraram um novo software de criptografia escrito em .NET, que eles apelidaram de RansomBoggs. A ESET Research publicou os resultados de sua investigação sobre esta campanha na conta do Twitter com o mesmo nome.
Irã e Coreia do Norte continuam a operar em larga escala
Grupos aliados ao Irã também continuam seus ataques – além das empresas israelenses, o POLONIUM também teve como alvo as subsidiárias estrangeiras de empresas israelenses. O grupo iraniano APT MuddyWater também é suspeito de comprometer um provedor de serviços de segurança gerenciados.
O grupo de hackers Konni, afiliado à Coreia do Norte, usou vulnerabilidades antigas para comprometer empresas e exchanges de criptomoedas em diferentes partes do mundo. Os pesquisadores da ESET descobriram que os agentes de ameaças adicionaram o inglês ao repertório de idiomas que ele usa em seus documentos fraudulentos. Isso sugere que eles não estão mais limitando seu raio de ação apenas aos alvos russos e sul-coreanos habituais.
Histórico do Relatório de Atividades APT
Além do ESET Threat Report, a ESET Research publica o ESET APT Activity Report, que fornece uma visão geral regular dos resultados da pesquisa sobre as atividades de Ameaças Persistentes Avançadas (APT). A primeira edição abrange o período de maio a agosto de 2022. No futuro, o Relatório APT será publicado juntamente com o Relatório de Ameaças da ESET.
Mais em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.