O notório ator do APT, Lazarus, está expandindo seus ataques e agora tem como alvo empresas na Europa, incluindo Alemanha e Suíça. Os especialistas da Kaspersky conseguiram identificar ataques com o backdoor DTrack em duas empresas alemãs de processamento e fabricação de produtos químicos e um em uma empresa suíça de processamento químico.
O Lazarus está ativo desde pelo menos 2009 e foi acusado de espionagem cibernética, sabotagem cibernética e ataques de ransomware. Inicialmente, o grupo concentrou-se em implementar o que parecia ser uma agenda geopolítica centrada principalmente na Coreia do Sul. No entanto, mudou-se para alvos globais e também começou a lançar ataques para obter ganhos financeiros.
Atualmente, os ataques também são direcionados a empresas na Europa. Os especialistas da Kaspersky conseguiram identificar dois ataques na Alemanha nos quais o DTrack foi usado como backdoor: um em uma empresa de processamento químico e outro em manufatura. Além disso, foi possível identificar um ataque a uma empresa suíça de processamento químico.
Backdoor DTrack modificado
O backdoor DTrack foi originalmente descoberto em 2019 [3] e não mudou significativamente ao longo do tempo. O DTrack se esconde em um arquivo executável que se parece com um programa legítimo. Existem vários estágios de descriptografia antes do início da carga útil do malware. O que há de novo é uma terceira camada adicional de criptografia que foi adicionada em algumas das novas amostras de malware.
A análise da Kaspersky mostra que o Lazarus usa o backdoor para uma variedade de ataques visando ganhos financeiros. Ele permite que criminosos cibernéticos carreguem, baixem, iniciem ou excluam arquivos no host da vítima. Um dos arquivos baixados e executados, que já foi identificado como parte do conjunto de ferramentas usual do DTrack, é um keylogger, um criador de capturas de tela e um módulo para coletar informações do sistema da vítima. No geral, esse conjunto de ferramentas pode ajudar os cibercriminosos a realizar movimentos laterais na infraestrutura das vítimas, por exemplo, para recuperar informações.
Segmentação KRITIS, escolas, pesquisa
De acordo com a telemetria KSN, o DTrack está ativo na Alemanha, Brasil, Índia, Itália, México, Suíça, Arábia Saudita, Turquia e Estados Unidos. Lázaro expande assim o círculo de suas vítimas. As empresas visadas incluem partes de infraestrutura crítica, como instituições educacionais, empresas de processamento químico, centros de pesquisa e departamentos governamentais, provedores de serviços de TI, serviços públicos e telecomunicações.
"O DTrack ainda é usado ativamente pelo Lazarus", explica Jornt van der Wiel, pesquisador de segurança da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky. “Mudanças feitas na forma como o malware é empacotado mostram que o Lazarus ainda valoriza muito o DTrack. Ainda assim, Lazarus não mudou muito desde 2019, quando foi originalmente descoberto. No entanto, a análise da vitimologia mostra que as operações foram expandidas para a Europa, uma tendência que vemos com mais frequência.”
Mais em Kasperky.com
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/