As empresas do setor industrial na Europa Oriental foram atacadas por um ator de ameaça usando implantes avançados e novos malwares. Os serviços de armazenamento de dados baseados em nuvem têm sido usados para exfiltrar dados e, em seguida, proliferar malware.
A Kaspersky descobriu uma série de ataques direcionados a empresas industriais na Europa Oriental com o objetivo de estabelecer um canal persistente para exfiltração de dados. Esses ataques compartilham semelhanças significativas com ataques estudados anteriormente, como ExCone e DexCone; isso sugere o envolvimento de APT31, também conhecido como Judgment Panda e Zircônio.
Os ataques usaram implantes avançados projetados para permitir o acesso remoto, demonstrando o amplo conhecimento e experiência dos invasores em contornar as medidas de segurança. Isso ajudou a configurar canais permanentes para exfiltração de dados – mesmo de sistemas altamente seguros
Exfiltração de dados por meio de serviços de armazenamento em nuvem
Além disso, as técnicas de sequestro de DLL foram usadas extensivamente, permitindo o uso indevido de executáveis legítimos de terceiros que são vulneráveis ao carregamento de bibliotecas vinculadas dinamicamente maliciosas em sua memória. Isso deve evitar a detecção durante a execução de múltiplos implantes nas três fases de ataque.
Serviços de armazenamento em nuvem, como Dropbox e Yandex Disk, e plataformas temporárias de compartilhamento de arquivos foram usados para exfiltrar os dados e distribuir malware. Além disso, os agentes de ameaças implantaram infraestrutura de comando e controle (C2) no Yandex Cloud, bem como em servidores privados virtuais (VPS) regulares para manter o controle sobre as redes comprometidas.
Novas variantes do malware FourteenHi visam empresas industriais
Os ataques também implementaram novas variantes do malware FourteenHi, que foi descoberto em 2021 durante a campanha ExCone visando agências governamentais. Isso evoluiu desde então; no ano passado, surgiram novas variantes voltadas especificamente para a infraestrutura de empresas industriais. Os especialistas da Kaspersky também descobriram o novo tipo de implante de malware MeatBall. Este é um implante backdoor que possui amplas capacidades de acesso remoto.
"Não devemos subestimar os riscos impostos à indústria por ataques direcionados", disse Kirill Kruglov, pesquisador sênior de segurança da Kaspersky ICS CERT. “As empresas continuam digitalizando seus processos e dependem de sistemas em rede. As possíveis consequências de ataques bem-sucedidos a infraestruturas críticas são significativas. Esta campanha APT que examinamos ressalta a importância crítica de medidas abrangentes de segurança cibernética para proteger infraestruturas industriais de ameaças atuais e futuras.”
Recomendações da Kaspersky para proteger a tecnologia operacional
- Realize avaliações regulares de segurança dos sistemas OT para identificar e eliminar possíveis problemas de segurança cibernética.
- Estabeleça avaliação e triagem contínuas de vulnerabilidades como base para um processo eficaz de gerenciamento de vulnerabilidades. Soluções dedicadas, como Kaspersky Industrial CyberSecurity, fornecem inteligência acionável exclusiva que não está totalmente disponível ao público e pode ajudar a proteger os sistemas.
- Faça atualizações oportunas dos principais componentes da rede OT. Aplicar correções e patches de segurança e implementar contramedidas assim que for tecnicamente possível é crucial para evitar um incidente grave.
- Use uma solução de EDR, como o Kaspersky Endpoint Detection and Response, para detectar, investigar e corrigir incidentes em tempo hábil.
- Realize treinamento de segurança OT dedicado para equipes de segurança de TI e pessoal OT para permitir que a equipe previna, detecte e responda a incidentes.
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/