Grupo ligado ao Carbanak atinge mais de 130 empresas

13 maio 2019

No ano passado, a Europol e o Departamento de Justiça dos EUA prenderam vários cibercriminosos por supostamente liderarem os grupos de hackers FIN7 e Carbanak. A mídia anunciou o fim dessas cibergangues, mas nossos especialistas continuam detectando sinais de sua atividade. Além disso, outras associações com interesses parecidos e questionáveis, que usam conjuntos semelhantes de ferramentas e a mesma infraestrutura, estão em ascensão. Aqui está uma lista de seus principais instrumentos e estratagemas, juntamente com algumas dicas sobre como manter sua empresa protegida.

FIN7

O FIN7 é especializado em ataques contra empresas, com intuito de obter acesso às informações financeiras ou infraestrutura de ponto de venda (PoS, por sua sigla em inglês). Esses grupos usam campanhas de spear phishing caracterizadas por sofisticada engenharia social. Por exemplo, antes de enviar documentos maliciosos, eles podem trocar várias mensagens relevantes com suas vítimas para evitar suspeitas.

Na maioria dos casos, os ataques usavam documentos maliciosos com macros que instalavam malware no computador da vítima e agendavam tarefas periódicas. Depois, recebiam os módulos e os executavam na memória do sistema. Para ser mais preciso, vimos módulos que coletam informações, baixam malwares adicionais, fazem capturas de tela e armazenam outras versões do mesmo malware nos registros do sistema (no caso, do primeiro ser detectado). E, é claro, os cibercriminosos podem criar módulos adicionais a qualquer momento.

Grupos CobaltGoblin/Carbanak/EmpireMonkey

Outros cibercriminosos usam ferramentas e técnicas semelhantes, apenas seus objetivos diferem: neste caso, os bancos e os desenvolvedores de softwares bancários e de fundos de processamento. A principal estratégia do grupo Carbanak (ou CobaltGoblin ou EmpireMonkey) é para ganhar espaço nas redes corporativas das vítimas e identificar parâmetros que são de interesse e contêm informações que podem ser rentáveis.

A botnet AveMaria

AveMaria é uma nova botnet usada para roubar informações que funciona da seguinte forma: quando infecta uma máquina, começa a recolher todas as credenciais do usuário que pode, pertencentes a softwares diferentes, como navegadores, e-mails e mensagens de clientes, entre outros.

Para enviar a carga, os criminosos usam spear phishing, engenharia social e anexos maliciosos. Nossos especialistas suspeitam que estejam relacionados ao FIN7, uma vez que existem semelhanças entre seus métodos e infraestrutura de comando e controle. Outra indicação de seu relacionamento é a distribuição de objetivos: 30% de suas vítimas eram pequenas e médias empresas prestadoras ou provedoras de serviços para grandes empresas e 21% consistiam em vários tipos de organizações envolvidas na produção.

CopyPaste

Nossos especialistas descobriram uma série de atividades maliciosas, cujo nome de código é CopyPaste, dirigidas contra entidades financeiras e empresas em países africanos. Os cibercriminosos usaram vários métodos e ferramentas semelhantes aos usados ​​pelo FIN7. No entanto, é provável que esses golpistas tenham usado apenas o código aberto vazado e não tenham relacionamentos reais com o FIN7

Se você quer saber mais informações técnicas detalhadas, incluindo os indicadores de comprometimento, acesse o Securelist.com.

Mantenha-se protegido

  • Utilize soluções de segurança com funcionalidades específicas projetadas para detectar e bloquear tentativas de phishing. As empresas podem proteger seus sistemas de e-mail locais com os aplicativos incluídos no Kaspersky Endpoint Security for Business.
  • Ofereça treinamento técnico e de conscientização em cibersegurança para seus funcionários. Programas como o Kaspersky Automated Security Awareness Platform ajudarão a reforçar essas habilidades realizando simulações de ataques de phishing.
  • Todos os grupos mencionados acima tiram o máximo proveito de sistemas com vulnerabilidades não corrigidas em ambientes corporativos. Para desativá-los, use uma estratégia de correção forte e uma solução de segurança como o Kaspersky Endpoint Security for Business, que pode instalar automaticamente as correções de software mais críticas.