Relatórios da F-Secure: hackers norte-coreanos lançam campanha global de ataque à indústria de criptomoedas. Embora os atacantes profissionais tenham coberto seus rastros, a F-Secure conseguiu reconstruir um ataque global do chamado Lazarus Group.
Os especialistas em segurança cibernética da F-Secure divulgaram um relatório vinculando detalhes de um ataque direcionado a uma empresa do setor de criptomoedas ao Lazarus Group. O grupo de hackers, que se acredita ter laços estreitos com a República Popular Democrática da Coreia (RPDC), é conhecido por sua abordagem altamente profissional que persegue interesses puramente financeiros. No relatório, ao vincular pistas e padrões obtidos do ataque com pesquisas existentes, a F-Secure conclui que o incidente verificado faz parte de uma campanha global do Lazarus Group. Destina-se a empresas da indústria de criptomoedas dos Estados Unidos, Grã-Bretanha, Holanda, Alemanha, Cingapura, Japão e outros países.
Relatório revela grupo Lázaro
O relatório analisa os logs, logs e outros artefatos técnicos recuperados pela F-Secure durante a investigação forense de um ataque a uma organização criptográfica. Os especialistas em segurança da F-Secure descobriram que os métodos de ataque são quase idênticos às práticas usadas anteriormente pelo Lazarus Group - também conhecido como APT38.
Além disso, o relatório inclui detalhes sobre Táticas, Técnicas e Procedimentos (TTP) usados durante o ataque. Por exemplo, os invasores conseguiram usar “spearphishing” para explorar serviços externos confiáveis. Neste caso específico, foi enviada através da plataforma LinkedIn uma oferta de emprego falsa adaptada especificamente ao perfil do destinatário.
Ataques semelhantes em pelo menos 14 países
Com base em artefatos de phishing recuperados após o ataque do Lazarus Group, os pesquisadores da F-Secure conseguiram vincular o incidente a uma extensa campanha que está em execução desde janeiro de 2018. Segundo o relatório, artefatos semelhantes foram detectados em ataques em pelo menos 14 países: Estados Unidos, China, Grã-Bretanha, Canadá, Alemanha, Rússia, Coreia do Sul, Argentina, Cingapura, Hong Kong, Holanda, Estônia, Japão e Filipinas.
O Lazarus Group fez um grande esforço para contornar as defesas da empresa afetada durante o ataque. Por exemplo, foi capaz de desativar o software antivírus nos hosts comprometidos e remover qualquer evidência de suas atividades deixadas para trás. E embora o relatório caracterize o ataque como altamente profissional, ele indica que os esforços do Lazarus Group para posteriormente cobrir seus rastros não foram suficientes. Numerosas pistas ocultas e não resolvidas finalmente deram à F-Secure evidências claras das atividades dos atacantes.
Equipe de resposta a incidentes, detecção e resposta gerenciadas e defesa tática
“O ataque foi investigado por especialistas experientes de nossas equipes de Resposta a Incidentes, Detecção e Resposta Gerenciada e Defesa Tática. Descobriu-se que esse ataque tinha várias semelhanças com as atividades conhecidas do grupo Lazarus. Acreditamos que eles também foram responsáveis por este ataque”, disse Matt Lawrence, diretor de detecção e resposta da F-Secure. As organizações agora podem consultar o relatório para se familiarizar com o ataque cibernético específico, os TTPs e o Lazarus Group em geral. Além disso, são fornecidas recomendações diretas de segurança para proteção contra ataques do grupo de hackers.
Saiba mais em F-Secure.com
Sobre a F-Secure Ninguém tem uma visão melhor sobre ataques cibernéticos reais do que a F-Secure. Nós preenchemos a lacuna entre a detecção e a resposta. Para fazer isso, aproveitamos a experiência inigualável em ameaças de centenas dos principais consultores técnicos do setor, dados de milhões de dispositivos que executam nosso software premiado e inovações contínuas em inteligência artificial. Os principais bancos, companhias aéreas e corporações confiam em nosso compromisso de combater as ameaças cibernéticas mais perigosas do mundo. Juntamente com nossa rede dos principais parceiros de canal e mais de 200 provedores de serviços, nossa missão é fornecer a todos os nossos clientes segurança cibernética de nível empresarial adaptada às suas necessidades. Fundada em 1988, a F-Secure está listada na NASDAQ OMX Helsinki Ltd.