Quase metade dos ataques direcionados registrados no terceiro trimestre de 2017 são de origem chinesa

0

O terceiro trimestre de 2017 mostrou claramente que os atores de língua chinesa seguem muito ativos, conduzindo campanhas de ciberespionagem contra diferentes países e indústrias verticais. No total, 10 dos 24 projetos avançados de pesquisa sobre ataques direcionados realizados pela Kaspersky Lab no terceiro trimestre centraram-se em atividades atribuídas a múltiplos atores na região chinesa. Estas e outras tendências estão abordadas no último resumo trimestral sobre ameaças da Kaspersky Lab.

Pesquisas realizadas durante o período de julho-setembro de 2017 revelaram um aumento no número de ataques direcionados por atores de língua chinesa, russa, inglesa e coreana. Criminosos chineses, em particular, foram os mais ativos durante esse período. Sua revitalização afetou não só várias organizações, mas também órgãos governamentais e políticos, bem como acordos regionais – trazendo relações internacionais aos negócios de ataques avançados direcionados.

Os destaques do terceiro trimestre de 2017 incluem

• Aumento de ataques de ciberespionagem por atores de língua chinesa: Os ataques mais interessantes foram Netsarang/ShadowPad e CCleaner, ambos envolvidos em incorporar backdoors dentro dos pacotes de instalação de software legítimo. O CCleaner sozinho conseguiu infectar 2 milhões de computadores, tornando-se um dos maiores ataques de 2017.

• Crescimento do interesse dos atores de língua chinesa em ataques a instalações estratégicas e setores econômicos. Pelo menos dois relatórios separados fornecem casos claros em questão:

   1.    Ataque IronHusky às empresas russas e mongóis de aviação e institutos de pesquisa.Esta campanha foi descoberta em julho, quando os dois países foram alvo de uma variante do Poison Ivy, feita por um ator de ameaça de língua chinesa. O ataque estava ligado aos prospectos de defesa aérea da Mongólia, que eram um tema-chave das negociações realizadas com a Rússia no início do ano.
 2.    Ataque "H2Odecomposition" aos setores de energia da Índia e da Rússia. Ambos os setores de energia dos países foram alvo de um novo malware chamado "H2ODecomposition". Em alguns casos, esse malware estava disfarçado como uma popular solução antivírus indiana (QuickHeal).

Além disso, os especialistas da Kaspersky Lab emitiram diversos relatórios sobre os atores de língua russa. A maioria deles foi dedicado aos ataques financeiros e aos ATMs. Entretanto, um relatório examinou a atividade de verão do Sofacy, indicando que o grupo permaneceu ativo.

Sobre os atores de língua inglesa, o terceiro trimestre também produziu ainda outro membro do Lamberts: Red Lambert. Os Lamberts são uma família de ferramentas de ataque sofisticadas que têm sido usadas por um ou múltiplos atores de ameaças desde pelo menos 2008. O Red Lambert é um backdoor de rede, descoberto durante a análise anterior do Gray Lambert, sendo utilizado no lugar de certificados SSL codificados em comunicações de comando e controle.

"O cenário das ameaças direcionadas está evoluindo constantemente, não só pelo fato dos criminosos estarem cada vez mais bem preparados e tecnologicamente sofisticados, mas também em termos de geografia. O aumento dos ataques de origem chinesa demonstra mais uma vez a importância de investir em inteligência contra as ameaças e fornecer para as organizações informações sobre as últimas tendências da área", disse Dmitry Bestuzhev, diretor da equipe de pesquisa e análise da América Latina na Kaspersky Lab.

O Relatório de Tendências de Ataques Direcionados resume as descobertas dos relatórios de inteligência de ameaças somente para assinantes da Kaspersky Lab. Durante o terceiro trimestre de 2017, a Equipe de Pesquisa e Análise Global da Kaspersky Lab criou 24 relatórios privados para os assinantes, com dados de Indicadores de Compromisso (IoC) e regras YARA para auxiliar em análises forense e busca de malware.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.