Criminosos russos revivem malware com mais de 10 anos em guerra contra a Ucrânia

Um malware bancário de 10 anos foi ressuscitado por cibercriminosos ligados ao governo russo para uso em operações de guerra cibernética contra a Ucrânia. O Andromeda, criado em 2011 e circulado em 2013, foi concebido como um vírus bancário que circulava por pendrives infectados, passando a enviar informações aos criminosos originais por meio de servidores de controle.

  • Ucrânia viu ciberataques triplicarem após invasão da Rússia
  • O que a guerra da Ucrânia pode ensinar às empresas sobre segurança cibernética

Na nova operação, porém, a praga se tornou uma arma de acesso remoto e reconhecimento, permitindo a obtenção de dados digitados e arquivos das máquinas conectadas. Tudo, aparentemente, sem chamar a atenção dos pesquisadores em ferramentas de segurança e antivírus, já que a quadrilha conhecida como Turla se aproveitava de antigas contaminações, que estavam adormecidas nos computadores desde a desativação da rede Andromeda.

Governos, órgãos públicos e empresas com parque tecnológico ultrapassado parecem ser os principais alvos da operação, revelaram pesquisadores de segurança da Mandiant. Os ataques começaram no ano passado, quando cibercriminosos registraram para si domínios originalmente associados ao malware, permitindo que as conexões fossem reativadas e o vírus recebesse comandos novamente.

Desta vez, foram baixadas duas ferramentas cibercriminosas: Kopiluwak, voltada para reconhecimento, e o backdoor Quietcanary, que pode permitir acesso remoto. A “carona” na antiga operação cibercriminosa também deu margem ao ataque sem que os bandidos tivessem que focar em seus próprios vetores de comprometimento, dando acesso a sistemas oficiais e informações sensíveis para o esforço de guerra.

O resultado, segundo a Mandiant, foram centenas de concessões bem-sucedidas após a reativação de três domínios que originalmente pertenciam a Andromeda. Isso, apenas na Ucrânia, principal alvo da operação, o que indica um trabalho direcionado ao país, já que o vírus tem contaminações ao redor do globo em seu percurso inicial. Agora, porém, ele está pegando carona em um grupo que, segundo especialistas em segurança cibernética, tem laços diretos com o Kremlin.

A empresa de segurança digital aponta que o Andromeda continua se espalhando por meio de drives USB infectados, com o retorno de seus servidores de controle representando um risco adicional para os usuários, principalmente corporativos e governamentais. Idealmente, as organizações devem ter políticas rígidas em relação ao uso de dispositivos externos, bem como monitorar conexões e movimentos nas redes.

Embora as novas operações pareçam estar focadas especificamente no esforço de guerra, elas podem se tornar mais amplas a qualquer momento, o que reforça a necessidade de atualizações não apenas de software, mas também de dispositivos. A Mandiant também divulgou indicadores de comprometimento para que os administradores possam buscar indícios de contaminação pelo Andromeda em suas redes e computadores.

https://animamundi2019.com.br