Trend Micro analisa ataques cibernéticos emergentes no Leste Europeu

Mesmo antes do início da ação russa, grupos de hackers lançaram ofensivas DDos (ataques massivos de negação de serviço), tirando do ar sites de órgãos e empresas ucranianas.

A extensa quantidade de informações que circulam torna quase impossível determinar a veracidade de todos esses ciberataques, “muito menos atribuí-los com precisão a um determinado indivíduo ou grupo”, explica a Trend Micro.

Com o objetivo de colaborar com a proteção de segurança das empresas – validando e verificando essa teia de informações -, os pesquisadores da Trend Micro compilaram em um blog os principais materiais localizados.

A página será atualizada constantemente, sempre que surgirem novas descobertas, entre elas contam-se:

• Declaração de apoio do grupo Conti ao governo russo

O grupo ransomware Conti anunciou, em 25 de fevereiro, seu “total apoio” ao governo russo e sua intenção de contra-atacar qualquer um que promova ataques cibernéticos ou atividades de guerra contra a Rússia.

Poucas horas após essa divulgação, porém, o grupo recuou da postura, embora não tenha ficado claro o porquê. Conti é uma das principais gangues do crime organizado (OCGs) e possui vários departamentos, semelhante a uma empresa tradicional. O conjunto de hackers da Conti, rastreado pela Trend Micro “sob o codinome Water Goblin, permanece ativo, a despeito de outros grupos de ransomware bem estabelecidos que sumiram após sanções do governo”, explica a empresa.

• Vazamento de conversas de chat do grupo Conti

Enquanto isso, fontes externas relataram o vazamento de conversas entre operadores do grupo Conti por um pesquisador de segurança ucraniano, que teve acesso ao back-end do servidor XMPP do chat. Os pesquisadores da Trend Micro extraíram os logs e encontraram alguns elementos que podem ajudar a mapear indicadores de comprometimento (IOCs).

• Gangue Stormous apoia a Rússia

Os pesquisadores perceberam algumas ações maliciosas encorajadoras contra ucranianos e russos, embora alguns grupos tenham escolhido defender um dos lados. A gangue de ransomware Stormous, conhecida por desfigurar sites e roubar informações, é um famoso grupo de hackers de língua árabe, ativo desde 2021. Recentemente, anunciou oficialmente seu apoio ao governo russo e sua intenção de atingir instituições do governo ucraniano, como o Ministério das Relações Exteriores.

Ao analisar uma amostra de malware do grupo, foi possível descobrir que, após a infiltração, “o software malicioso permite que o atacante acesse e implante diferentes cargas personalizadas no servidor afetado por meio de upload remoto e recursos de código aberto como o Pastebin”.

• Ataque cibernético usando WhisperGate

O time de respostas a emergências da Ucrânia informou que, entre 13 e 14 de janeiro, cerca de 70 sites de agências governamentais foram atacados, resultando na alteração de conteúdo e prejuízos ao sistema. A suspeita é que os pontos de entrada tenham sido o software October CMS (sistema de conteúdo auto hospedado usado pelas empresas) e a vulnerabilidade do Log4j.