.png)
.png)
.png)
.png)
.
O uso de malware pela Rússia para dar suporte aos seus esforços militares na Ucrânia não mostra sinais de diminuição, enquanto suas táticas evoluem continuamente para contornar as proteções.
O Serviço Estatal de Comunicações Especiais e Proteção de Informações da Ucrânia (SSSCIP) publicou seu relatório semestral sobre a atividade cibernética da Rússia na guerra esta semana, observando um aumento de 90% nos incidentes envolvendo infecções por malware.
As proteções de e-mail são amplamente implementadas e, de acordo com o relatório do SSSCIP, elas são bastante eficazes, o que significa que os russos precisam ser mais criativos ao encontrar novas maneiras de instalar malware dentro das fronteiras da Ucrânia.
O relatório detalha um estudo de caso no qual o UAC-0184, um conhecido grupo russo de ciberespionagem, tem como alvo militares, usando especificamente aplicativos de mensagens como o Signal para roubar documentos confidenciais.
“Equipados com amplos dados pessoais e números de telefone de contato, os hackers do UAC-0184 se passam por outros e iniciam a comunicação com suas vítimas pretendidas, geralmente por meio do Signal”, diz o relatório. “Vale a pena notar que eles empregam quaisquer recursos disponíveis para ‘preparar’ seus alvos, incluindo plataformas de namoro.
“Depois de ganhar a confiança da vítima, sob o pretexto de enviar documentos relacionados a prêmios, filmagens de combate ou recrutamento para outras unidades, os hackers enviam um arquivo contendo um arquivo de atalho.
“Abrir o arquivo de atalho em um computador exibe um arquivo de isca relevante para o tópico da conversa enquanto simultaneamente infecta o sistema com um malware de download, que então instala software de controle remoto. Dessa forma, o UAC-0184 obtém acesso total ao computador da vítima.”
As iscas de mensagens geralmente são temáticas em torno de quatro áreas principais:
-
Solicitações de informações, como detalhes de contato ou confirmação de que o destinatário recebeu alguns documentos
-
Táticas de intimidação enganosas semelhantes a e-mails de spam falsos, por exemplo, tentando convencer o destinatário de que ele está sendo investigado por comportamento recente
-
Promessas de recompensas como relógios e licenças
-
Informações falsas sobre transferência para outra unidade
O malware não para por aí, já que cepas populares como o Smokeloader foram identificadas em outras campanhas de phishing mais especulativas do tipo “spray and pray”, enquanto ransomware também foi visto em “vários” casos.
Uma das tendências que o SSSCIP destacou foi o interesse renovado da Rússia em ataques cibernéticos disruptivos. A guerra começou poucas horas depois do ataque destrutivo da Rússia à Viasat, que envolveu o malware WhisperGate wiper, e incidentes semelhantes continuam surgindo profundamente no terceiro ano do conflito.
Em março, a Rússia tentou um ataque cibernético destrutivo generalizado contra quase 20 organizações de infraestrutura de energia na Ucrânia, tendo sucesso em pelo menos alguns casos.
Os ataques envolveram o comprometimento de três cadeias de suprimentos simultaneamente, observou o relatório, acrescentando que a infecção inicial ocorreu por meio de “um provedor de serviços compartilhado”.
A Ucrânia atribuiu os ataques ao UAC-0002, também conhecido como Sandworm, um dos grupos cibernéticos ofensivos mais prolíficos da Rússia, ligado a ataques a instalações de água nos EUA e na UE, às Olimpíadas de Inverno de 2018, ao NotPetya e a vários outros grandes ataques à infraestrutura crítica da Ucrânia.
“Atacar um número tão grande de organizações individualmente é uma tarefa desafiadora”, diz o relatório. “Portanto, dessa vez, eles executaram um ataque à cadeia de suprimentos, mirando pelo menos três cadeias de suprimentos simultaneamente.
“Essa conclusão foi tirada do fato de que, em alguns casos, o acesso inicial não autorizado estava correlacionado à instalação de software especializado contendo backdoors e vulnerabilidades, enquanto em outros, os invasores comprometeram contas de funcionários do provedor de serviços que rotineiramente tinham acesso aos sistemas d