Novo grupo de hackers russo ataca organizações financeiras

: Por João Fernandes; Nov. 06, 2017

O Silence junta-se agora ao grupo dos ciberataques mais devastadores e complexos, ao lado de operações como o Metel, GCMAN ou o Carbanak, que foram bem-sucedidos ao obter milhões de dólares de organizações financeiras. A maioria destas operações faz uso da seguinte técnica: os hackers obtém acesso às redes internas bancárias durante longos períodos de tempo, monitorizam a sua atividade diária, examinam os detalhes de cada rede bancária individual e, na altura certa, tiram partido desses conhecimentos para roubar o máximo de dinheiro possível.

Este é o caso do Trojan Silence – que danifica a infraestrutura da vítima através de spear phishing emails.

Os anexos maliciosos dos emails são bastante sofisticados. Assim que a vítima os abre, basta apenas um clique para iniciar uma série de downloads e finalmente executar o dropper. Este comunica comando e controla o servidor, envia o ID do computador infetado e faz download, ao mesmo tempo que executa programas maliciosos, responsáveis por diferentes tarefas como gravação de ecrã, carregamento de informações, roubo de credenciais, controlo remoto, etc.

Curiosamente, os hackers exploram as infraestruturas de instituições financeiras já atacadas para levar a cabo novos ataques, ao enviarem emails para novas vítimas, com um pedido para abrirem uma nova conta bancária, a partir de endereços verdadeiros de outros colaboradores. Ao utilizarem este truque, os hackers garantem que a vítima não suspeita do anexo infetado.

Quando os hackers obtém o acesso à rede, começam por examiná-la. O grupo Silence é capaz de monitorizar as atividades das suas vítimas, incluindo captar várias imagens do ecrã, fornecendo um vídeo em direto das atividades da vítima, etc. Todas estas características servem apenas um propósito: compreender a atividade diária da vítima e obter informação suficiente para, eventualmente, roubar dinheiro. Este processo e forma de operar assemelha-se bastante às técnicas do Carbanak.

Com base em artefactos da linguagem obtidos durante a investigação aos componentes maliciosos deste ataque, os investigadores de segurança da Kaspersky Lab concluíram que os hackers responsáveis pelos ataques do Silence falam russo.

“O trojan Silence é um exemplo recente onde vimos os hackers passarem de ataques direcionados aos utilizadores para ataques aos bancos. Temos acompanhado o crescimento desta tendência, à medida que mais ataques profissionais do estilo APT têm aparecido. A maior preocupação neste caso é o facto de estes ataques serem bem-sucedidos devido à sua abordagem na sombra, independentemente da arquitetura de segurança de cada banco,” diz Sergey Lozhkin, especialista de segurança na Kaspersky Lab.

Investigadores da Kaspersky Lab aconselham as organizações a adotar as seguintes medidas de forma a se protegerem de possíveis ciberataques:

Utilizar uma solução especializada contra ameaças avançadas que possa detetar todos os tipos de anomalias e escrutinar a um nível mais profundo ficheiros suspeitos para revelar, reconhecer e descobrir ataques complexos – como a Kaspersky Anti Targeted Attack Platform.
Eliminar por completo falhas de segurança, incluindo as que envolvem configurações de sistemas impróprias ou erros em aplicações privadas. Neste caso os serviços Kaspersky Penetration Testing and Application Security Assessment são uma solução altamente eficaz e conveniente, proporcionando não só dados sobre as vulnerabilidades mas também aconselhando os utilizadores sobre como as resolver para aumentar a segurança da empresa.
Configurar regras restritas de processamento de emails e ativar soluções de segurança com funcionalidades específicas de combate ao phishing, anexos maliciosos e spam – por exemplo, assistência cloud, anti-phishing e filtração de anexos no Kaspersky Endpoint Security e soluções de segurança específicas para proteção de emails.

Saiba mais sobre o trojan Silence e indicadores de ameaça em Securelist.com.

Classifique este item

(0 votos)