Pesquisadores de segurança dizem que observaram recentemente uma equipe de hackers russa, que estava por trás dos ciberataques destrutivos de malware WhisperGate, visando entidades ucranianas com um novo malware de roubo de informações.
A equipe de caçadores de ameaças da Symantec atribuiu esta campanha a um agente de ameaças cibernéticas vinculado à Rússia, amplamente conhecido como TA471 (ou UAC-0056), que está ativo desde o início de 2021. O grupo é conhecido por apoiar os interesses do governo russo e, embora principalmente visando a Ucrânia, o grupo também tem atuado contra os estados membros da OTAN na América do Norte e na Europa. O TA471 foi vinculado ao WhisperGate , um malware destrutivo de limpeza de dados que foi usado em vários ataques cibernéticos contra alvos ucranianos em janeiro de 2022. O malware se disfarça de ransomware, mas torna os dispositivos direcionados completamente inoperáveis e incapazes de recuperar arquivos, mesmo que um pedido de resgate seja pago .
De acordo com a Symantec, a campanha mais recente da equipe de hackers se baseia em um malware nunca visto para roubo de informações, chamado de “Graphiron” para atingir organizações ucranianas. O malware foi usado para roubar dados de máquinas infectadas de outubro de 2022 até pelo menos meados de janeiro de 2023, de acordo com os pesquisadores, razoável supor que continue fazendo parte do kit de ferramentas [dos hackers].”
O malware de roubo de informações usa nomes de arquivo projetados para se passar por arquivos legítimos do Microsoft Office e é semelhante a outras ferramentas TA471, como GraphSteel e GrimPlant , que foram usadas anteriormente como parte de uma campanha de spear phishing direcionada especificamente a órgãos estatais ucranianos. Mas a Symantec diz que o Graphiron foi projetado para extrair muito mais dados, incluindo capturas de tela e chaves SSH privadas.
“Essa informação pode ser útil por si só de uma perspectiva de inteligência, ou pode ser usada para penetrar mais fundo na organização visada ou para lançar ataques destrutivos”, disse Dick O’Brien, principal analista de inteligência da Symantec Threat Hunter Team, ao TechCrunch.
O’Brien disse que, embora pouco se saiba sobre a origem ou estratégia da equipe de hackers, o TA471 se tornou um dos principais participantes das campanhas cibernéticas em andamento da Rússia contra a Ucrânia.
As notícias da última campanha de espionagem do TA471 chegam dias depois que o governo ucraniano soou o alarme sobre outro grupo de hackers patrocinado pelo estado russo, apelidado de UAC-0010, que continua a conduzir campanhas frequentes de ataques cibernéticos contra organizações ucranianas.
“Apesar de usar principalmente conjuntos repetidos de técnicas e procedimentos, os adversários evoluem lenta mas insistentemente em suas táticas e redesenvolvem variantes de malware usadas para permanecerem indetectáveis”, disse o Centro de Proteção Cibernética da Ucrânia. “Portanto, continua sendo uma das principais ameaças cibernéticas enfrentadas pelas organizações em nosso país.”
Fonte Leia mais: https://techcrunch.com/2023/02/08/whispergate-hackers-data-stealing-malware-ukraine/
