Pesquisadores do Microsoft Threat Intelligence Center (MSTIC) observaram ataques destrutivos direcionados à Ucrânia e identificaram uma nova variedade de malware que chamaram de FoxBlade. A Microsoft descreve o malware em um comunicado de inteligência de segurança publicado em 23 de fevereiro de 2022, como um trojan que pode usar computadores para ataques distribuídos de negação de serviço (DDoS) sem o conhecimento dos proprietários. Trata-se de um ataque cibernético no qual o agressor procura tornar uma máquina ou recurso de rede indisponível para os usuários legítimos, interrompendo, temporária ou indefinidamente, os serviços de um host conectado a uma rede. A negação de serviço geralmente é realizada inundando a máquina ou recurso de destino com solicitações supérfluas, na tentativa de sobrecarregar os sistemas e impedir que algumas ou todas as solicitações legítimas sejam atendidas. É comum que os cibercriminosos se utilizem de botnets, uma rede de computadores e dispositivos infectados (zumbis), para enviar uma grande quantidade de solicitações aos recursos da rede, dos computadores ou da infraestrutura dos alvos previamente selecionados. Como os delinquentes virtuais controlam as ações de cada computador infectado, os quais integram a rede zumbi, sem o conhecimento dos proprietários legítimos das máquinas, a simples escala do ataque pode sobrecarregar os recursos dos alvos das operações cibernéticas.
De acordo com os analistas de inteligência de ameaças da Microsoft, as redes cibernéticas ucranianas foram alvo desse malware recém-descoberto, várias horas antes da invasão do território da Ucrânia, em larga escalada, pelas Forças Armadas da Rússia, que se iniciou, em termos cinéticos, no dia 24 de fevereiro de 2022. “Várias horas antes do lançamento de mísseis ou do movimento de tanques em 24 de fevereiro, o Centro de Inteligência de Ameaças da Microsoft (MSTIC) detectou uma nova rodada de ataques cibernéticos ofensivos e destrutivos contra a infraestrutura digital da Ucrânia”, disse o Presidente e Vice-Chair da Microsoft, Brad Smith, que também acrescentou: “Avisamos imediatamente o governo ucraniano sobre a situação, incluindo nossa identificação do uso de um novo pacote de malware (que denominamos FoxBlade), e fornecemos conselhos técnicos sobre as etapas para impedir o sucesso do malware”. Infere-se das informações publicadas pela Microsoft, que a empresa atualizou a plataforma de segurança Defender com novas assinaturas, para bloquear o FoxBlade, no período de 03 (três) horas após a descoberta do software malicioso “na natureza”.
Além dos ataques cibernéticos ofensivos detectados pelos pesquisadores do Centro de Inteligência de Ameaças da Microsoft, logo antes da invasão militar russa em larga escala, foram observadas outras séries de ataques com emprego de malware, desde o início do ano de 2021. No início do mês de fevereiro de 2022, por exemplo, o malware HermeticWiper foi usado para atingir a Ucrânia, junto com iscas de ransomware, para limpar dados e tornar os dispositivos não inicializáveis. Os alvos que foram atingidos por ataques de limpeza incluíam empresas financeiras e governamentais da Ucrânia, Letônia e Lituânia. Parece provável que o ransomware tenha sido usado como isca ou distração dos ataques do limpador (wiper). Embora os ataques cibernéticos tenham ocorrido ontem, a empresa de segurança cibernética ESET observou que o malware HermeticWiper tinha uma data de compilação de 28 de dezembro de 2021, o que sugere que os ataques foram planejados. A Symantec encontrou evidências de invasores obtendo acesso às redes das vítimas com bastante antecedência, explorando as vulnerabilidades do Microsoft Exchange já em novembro de 2021 e instalando shells da Web antes de implantar o malware (wiper). Há evidências de que, por exemplo, uma organização na Lituânia foi comprometida a partir de pelo menos 12 de novembro de 2021”, disse a Symantec. Convidamos os nossos leitores a visualizarem o recente artigo publicado pela Redação do DCIBER, que descreve os mecanismos de funcionamento do HermeticWiper. Em janeiro de 2002, a Ucrânia também foi atingido por outra série de ataques de malware com implantação do wiper denominado WhisperGate, disfarçado de carga útil de ransomware, que tem a intenção de ser destrutivo e foi projetado para tornar os dispositivos alvo inoperantes, conforme se infere de recente artigo publicado pela equipe da DCIBER.
Nos últimos dias, a Microsoft forneceu inteligência de ameaças e sugestões defensivas para os oficiais ucranianos sobre ataques cibernéticos contra uma série de alvos, incluindo instituições e fabricantes de equipamentos militares ucranianos e várias outras agências governamentais ucranianas. Ao contrário dos ataques cibernéticos com emprego de ransomware que impactaram o setor econômico da Ucrânia e de diversos outros países, durante a disseminação indiscriminada do NotPetya em 2017, atribuído ao Grupo de Advanced Persistent Threat (APT) denominado Sandworm, supostamente patrocinado ou ligado à GRU (Direção Central do Estado-Maior das Forças Armas da Rússia), os sofisticados ataques cibernéticos recentes e em andamento, destacando-se o emprego do FoxBlade, foram direcionados com precisão e contra alvos específicos. Essa investida operacional, inexoravelmente coordenada com a subsequente invasão militar engendrada pela Rússia em território ucraniano, soou o alarme em relação à vulnerabilidade dos alvos digitais civis, incluindo o setor financeiro, o setor agrícola, os serviços de resposta a emergências, os esforços de ajuda humanitária e as organizações e as empresas do setor de energia. Esses ataques a alvos civis levantam sérias preocupações quando à violação da Convenção de Genebra. A Microsoft também aconselhou o governo ucraniano sobre os recentes esforços cibernéticos para subtração de uma ampla gama de dados, incluindo informações de identificação pessoal (PII) relacionadas à saúde, seguro e transporte.
Os fatos em andamento são tão graves que a Microsoft está a compartilhar informações adequadas com funcionários da OTAN (Organização do Tratado do Atlântico Norte) na Europa e com funcionários dos Estados Unidos da América, haja vista a crescente atividade cibernética maliciosa e de operações de guerra digital, incluindo novas formas de malwares destrutivos e de desestabilização de infraestruturas críticas e de comunicação. No momento, a Microsoft está engajada em 04 (quatro) eixos: a) proteger a Ucrânia de ataques cibernéticos; b) proteção contra campanhas de desinformação patrocinadas pelo Estado; c) apoio à assistência humanitária; d) e a proteção dos funcionários da empresa. Os últimos dias revelaram uma guerra cinética acompanhada de uma batalha bem orquestrada em andamento nos ecossistemas da informação, onde a munição é a desinformação, minando a verdade e semeando a discórdia e a desconfiança. Isso requer esforços decisivos em todo o setor de tecnologia – tanto individualmente por empresas quanto em parceria com outros – bem como com governos, academia e sociedade civil.
Por essa razão, a Microsoft também está se movimentando rapidamente para tomar novas medidas para reduzir a exposição da propaganda estatal russa, bem como para garantir que as plataformas da empresa não financiem, de forma inadvertida, essas operações. De acordo com a recente decisão da União Europeia, a plataforma Microsoft Start (incluindo MSN.com) não exibirá nenhum conteúdo da Russia Today (RT) e da Sputnik, gigantes da mídia patrocinados pela Rússia. Em comunicado recente, a Microsoft sustentou que está removendo os aplicativos de notícias Russia Today (RT) da loja de aplicativos do Windows e desclassificando ainda mais os resultados de pesquisa desses sites no Bing, para que eles retornem apenas links da Russia Today (RT) e do Sputnik quando um usuário pretender, de forma clara e consciente, navegar para essas páginas. Por fim, a empresa baniu todos os anúncios da Russia Today (RT) e da Sputinik da rede de anúncios, vedando a inserção de anúncios desses sites na rede da Microsoft. Como esse movimento inédito no campo da geopolítica, a Microsoft visa monitorar os eventos e fortalecer mecanismos de detecção e interrupção de desinformação e promover conteúdo independente e confiável. Noutro giro, a empresa ressaltou que as equipes de Filantropia da Microsoft e de Assuntos da Organização das Nações Unidas (ONU) trabalham em estreita colaboração com o Comitê Internacional da Cruz Vermelha (CICV) e várias agências da ONU, e estão engajadas para rapidamente mobilizar os recursos tecnológicos para ajuda humanitária na Ucrânia. A empresa também reforçou o propósito de garantir auxílio aos funcionários que prestam serviços na Ucrânia, inclusive àqueles que precisaram fugir para salvar suas vidas ou para segurança pessoal ou família.
Fonte: https://blogs.microsoft.com/on-the-issues/2022/02/28/ukraine-russia-digital-war-cyberattacks/
Fonte: https://dciber.org/hermeticwiper-novo-malware-destrutivo-usado-em-ataques-ciberneticos-na-ucrania/
Fonte: https://twitter.com/ESETresearch/status/1496581904916754435
Fonte: https://www.amazon.com.br/Sandworm-Cyberwar-Kremlins-Dangerous-Hackers/dp/0385544405
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
