Segurança - Cibercriminosos violam empresas em 40 países usando malware oculto
Bancos, empresas de telecomunicações e organizações governamentais da América do Sul estão entre os principais alvos; os grupos GCMAN e Carbanak são principais suspeitos
Desde então, os especialistas descobriram que esses ataques estão ocorrendo em grande escala: eles atingem mais de 140 redes corporativas em diversos setores de negócios, sendo que a maior parte das vítimas se encontra nos EUA, na França, Equador, Quênia, Reino Unido e Rússia – o Brasil está entre os 10 países afetados. No total, foram registradas infecções em 40 países.
Não se sabe quem está por trás dos ataques. O abuso de software livre e utilitários comuns do Windows, além de domínios desconhecidos torna praticamente impossível determinar o grupo responsável – ou mesmo se é um único grupo ou vários grupos que compartilham as mesmas ferramentas. Os grupos conhecidos que utilizam as abordagens mais parecidas com essas são o GCMAN e o Carbanak.
Essas ferramentas também dificultam a descoberta de informações do ataque. No processo normal de resposta a incidentes, o investigador segue os rastros e as amostras deixados na rede pelos invasores. Embora os dados no disco rígido possam continuar disponíveis após o evento, os artefatos ocultos na memória são eliminados na primeira reinicialização do computador. Felizmente, nesse caso, os especialistas conseguiram acessá-los a tempo.
“A determinação dos criminosos de esconder suas atividades e tornar a detecção e a resposta a incidentes cada vez mais difícil explica a recente vertente das técnicas antiperícia do malware baseado na memória. Por isso, a perícia da memória tem se tornado essencial para a análise de malware e de suas funções. Nesses incidentes específicos, os invasores usaram todas as técnicas antiperícia imagináveis, demonstrando como os arquivos de malware não são necessários para a extração bem-sucedida de dados de uma rede e como o uso de utilitários legítimos e de software livre torna a atribuição praticamente impossível”, explica Sergey Golovanov, pesquisador-chefe de segurança da Kaspersky Lab.
Os invasores ainda estão ativos; por isso, é importante lembrar que a detecção desses ataques só é possível na RAM, na rede e no Registro. E que, nesses casos, o uso das regras Yara, baseadas na verificação de arquivos maliciosos, não tem qualquer utilidade.
fonte: http://securityreport.com.br/overview/mercado/cibercriminosos-violam-empresas-em-40-paises-usando-malware-oculto/