Tendências das atividades das
ameaças avançadas persistentes foram obtidas com base em fontes externas e nas
conclusões dos relatórios de Threat Intelligence que a empresa envia aos
assinantes desse tipo de serviço
Segundo o relatório trimestral de tendências das ameaças persistentes avançadas (APT) da Kaspersky, foram identificadas uma série de operações direcionadas ou originadas no Oriente Médio e Coreia do Sul. Grande parte das atividades se concentraram em ciberespionagem ou no retorno financeiro, mas pelo menos uma campanha foi identificada disseminando falsas informações — as famosas fake news. Em maio, a Kaspersky analisou ainda os ativos de uma campanha de ciberespionagem que pareciam pertencer a um grupo iraniano e concluíram que o grupo responsável pelo vazamento pode ser o Hades, que está ligado ao worm ExPetr e ao ciberataque nas Olimpíadas de Inverno em 2018.
Estes destaques foram obtidos com base em fontes externas e em conclusões dos relatórios de Threat Intelligence que a empresa envia aos assinantes o seu serviço, que incluem também indicadores de comprometimentos (IOC) e regras YARA para auxiliar nas investigações e caça dos ataques maliciosos.
Durante o segundo trimestre deste ano, os pesquisadores da Kaspersky identificaram uma atividade interessante no Oriente Médio. Ela incluía uma série de vazamentos online de códigos, infraestrutura, dados de grupos e possíveis vítimas, supostamente realizados por cibercriminosos de idioma persa conhecidos: OilRig e MuddyWater. Os vazamentos vieram de fontes diferentes, mas com poucas semanas de diferença entre um e outro. O terceiro vazamento, que aparentemente expôs informações relacionadas à uma entidade chamada "Instituto RANA", foi publicado em persa em um site chamado "Realidade Oculta". A análise da Kaspersky sobre os materiais, infraestrutura e website dedicado, levou à conclusão de que esse vazamento poderia estar relacionado ao agente de ameaças Hades – mesmo grupo que estava por trás do incidente do Olympic Destroyer das Olimpíadas de Inverno de 2018, assim como o worm ExPetr, e várias campanhas de desinformação, como o vazamento em 2017 de e-mails relacionados à campanha eleitoral presidencial de Emmanuel Macron, na França.
Outras atividades adicionais de APT no segundo trimestre incluem:
• Grupos de língua russa continuam aperfeiçoando e lançando novas ferramentas e operações. Por exemplo, desde março, Zebrocy parece ter focado sua atenção em eventos, funcionários, diplomatas e militares relacionados ao Paquistão/Índia, além de manter acesso contínuo a redes locais e remotas do governo da Ásia Central. Os ataques do Turla continuaram a apresentar um conjunto de ferramentas em rápida evolução e, em um caso notável, o aparente sequestro da infraestrutura pertencente à OilRig;
• A atividade relacionada à Coreia foi alta; isso porque o resto do
sudeste da Ásia registrou mais tranquilidade do que nos trimestres anteriores.
Operações notáveis incluem um ataque do grupo Lazarus contra uma empresa de
jogos para celular na Coreia do Sul e uma campanha do BlueNoroff, o subgrupo
Lazarus, contra um banco localizado em Bangladesh e um software de criptografia
monetária;
• Os pesquisadores também observaram uma campanha ativa visando
agências governamentais na Ásia Central liderada pelo grupo chinês APT
SixLittleMonkeys, usando uma nova versão do Trojan Microcin e um RAT que a
Kaspersky chama de HawkEye.
"O segundo trimestre de 2019 mostra quão obscuro e confuso o cenário de ameaças se tornou e como algo pode não ser o que parece. Entre outras coisas, vimos um grupo especializado sequestrando a infraestrutura de um grupo menor e outro grupo aproveitando-se de uma série de vazamentos online para disseminar informação falsa e minar a credibilidade dos ativos expostos. O setor de segurança enfrenta uma tarefa crescente de olhar além do sigilo para encontrar dados e informações sobre ameaças nas quais a cibersegurança é baseada. Como sempre, é importante acrescentar que nossa visibilidade não está completa e que haverá atividades que ainda não estão no nosso radar ou que não entendemos completamente – por isso, a proteção contra ameaças conhecidas e desconhecidas permanece vital para todos", afirma Vicente Díaz, principal pesquisador de segurança da Equipe Global de Análise e Pesquisa da Kaspersky.
Os documentos completos estão disponíveis apenas sob assinatura, para obter mais informações, contate: intelreports@kaspersky.com.
Para evitar ser vítima de ataque dirigido por grupos especializados conhecidos ou desconhecidos, a Kaspersky recomenda implementar as seguintes medidas:
• Forneça à sua equipe de segurança operacional (SOC) o acesso às informações mais recentes sobre ameaças para mantê-la atualizadas sobre as novas ferramentas, técnicas e táticas usadas pelos grupos especializados;
• Para a detecção, investigação e correção de incidentes no endpoint, implemente soluções avançadas de detecção e respostas à incidentes (EDR), como o Kaspersky Endpoint Detection and Response;
• Além da proteção essencial no endpoint, implemente uma solução de segurança corporativa que detecte ameaças avançadas na rede em seu estágio inicial, como o Kaspersky Anti Targeted Attack Platform;
• Como muitos dos ataques direcionados começam com phishing ou outras técnicas de engenharia social, é importante a realização de treinamentos de segurança que ensinem habilidades práticas para evitar os ataques, como os cursos disponíveis na plataforma Kaspersky Automated Security Awareness Platform.
Para acessar o relatório trimestral de tendências de APT, acesse o Securelist
Kaspersky
Nenhum comentário:
Postar um comentário