Bancos, empresas de telecomunicações e organizações governamentais do América do Sul entre os principais alvos. Os grupos GCMAN e Carbanak são os principais suspeitos.
Mais de 140 redes corporativas de empresas de diversos setores de negócios — incluindo bancos, organizações governamentais e empresas de telecomunicações —, a maior parte delas nos EUA, França, Equador, Quênia, Reino Unido, Rússia e o Brasil incluído, foram infectadas com um malware invisível utilizado por hackers para desviar dinheiro de contas bancárias. No total, foram registradas infecções em 40 países, segundo levantamento da Kaspersky.
No fim do ano passado, especialistas da Kaspersky Lab foram contatados por bancos na Comissão Especial de Inquérito (CEI), que encontraram o software de testes de penetração Meterpreter, atualmente muito usado em crimes cibernéticos, na memória de seus servidores. A empresa não revela as organizações e empresas afetadas, mas o malware parece ter se disseminado em larga escala.
Não se sabe também quem está por trás dos ataques. O abuso de software livre e utilitários comuns do Windows, além de domínios desconhecidos, torna praticamente impossível determinar o grupo responsável ou mesmo se é um único grupo ou vários grupos que compartilham as mesmas ferramentas. Os grupos hackers conhecidos, que utilizam as abordagens mais parecidas com essas, são o GCMAN e o Carbanak.
Essas ferramentas também dificultam a descoberta de informações do ataque. No processo normal de resposta a incidentes, o investigador segue os rastros e as amostras deixados na rede pelos invasores. Embora os dados no disco rígido possam continuar disponíveis após o evento, os artefatos ocultos na memória são eliminados na primeira reinicialização do computador. Felizmente, nesse caso, os especialistas conseguiram acessá-los a tempo.
“A determinação dos criminosos de esconder suas atividades e tornar a detecção e a resposta a incidentes cada vez mais difícil explica a recente vertente das técnicas antiperícia do malware baseado na memória. Por isso, a perícia da memória tem se tornado essencial para a análise de malware e de suas funções. Nesses incidentes específicos, os invasores usaram todas as técnicas antiperícia imagináveis, demonstrando como os arquivos de malware não são necessários para a extração bem-sucedida de dados de uma rede e como o uso de utilitários legítimos e de software livre torna a atribuição praticamente impossível”, explica Sergey Golovanov, pesquisador chefe de segurança da Kaspersky Lab.
Segundo a empresa, os invasores ainda estão ativos, por isso, é importante lembrar que a detecção desses ataques só é possível na RAM, na rede e no registro. E que, nesses casos, o uso das regras Yara, baseadas na verificação de arquivos maliciosos, não tem qualquer utilidade.
Os detalhes da segunda parte da operação, que mostram como os invasores implementaram técnicas únicas para sacar dinheiro de caixas eletrônicos, serão apresentados por Sergey Golovanov e Igor Soumenkov no Global Security Analyst Summit, que acontecerá em abril.
Fonte: Computer World