Microsoft desativa mais de 30 sites usados em ataques e espionagem

A Microsoft anunciou nesta semana a retirada do ar de mais de 30 sites pertencentes ao grupo cibercriminoso Nickel, envolvido em operações de espionagem e com possíveis ligações ao governo da China. Os domínios eram utilizados na distribuição de malware, recebimento e envio de comandos durante as operações que envolviam o comprometimento de dispositivos e a coleta de informações sensíveis que eram enviadas, de volta, aos criminosos.

• Microsoft usa parcerias e programas bug bounty como chave para maior segurança
• Pesquisa aponta que vulnerabilidades a ransomware devem durar mais dois anos

De acordo com a empresa, o Nickel esteve envolvido em centenas de ataques contra empresas e organizações oficiais dos Estados Unidos e mais 28 países, incluindo o Brasil. Os focos também incluem organizações não governamentais e entidades diplomáticas, assim como ministros e membros individuais de governos, em ataques usados para a coleta de inteligência e informações confidenciais destas entidades.

O bando utilizada credenciais roubadas, vendidas na dark web, e servidores comprometidos ou mal-configurados como vetores de entrada, além de explorarem brechas não atualizadas em sistemas Exchange Server e SharePoint. Os golpes envolvendo phishing eram a porta de entrada principal, com e-mails corporativos falsos e propostas enganosas sendo usadas como portas de entrada para as explorações dos cibercriminosos.

A remoção dos domínios veio a pedido da Microsoft, após uma autorização de uma corte federal dos EUA, no distrito da Virgínia. Os sites foram redirecionados a endereços seguros sob o controle da empresa de Redmond, perdendo sua utilização como fonte de controle e recebimento de dados a partir de malwares instalados pelo Nickel.

O grupo, que também atende por nomes como Ke3Chang, APT15, Vixen Panda, Royal APTG e Playful Dragon, está na ativa, pelo menos, desde 2010. A Microsoft passou a acompanhar tais atividades em 2016 e intensificou o foco três anos depois; junto do bloqueio dos domínios, também liberou indicadores de comprometimento para que as empresas possam avaliar suas redes e mitigarem qualquer tipo de ameaça contra suas estruturas internas.

Trabalho ostensivo

Com o anúncio, a Microsoft também citou marcas importantes de seu combate contra o crime digital. De acordo com a empresa, até hoje, foram 24 processos judiciais desse tipo, solicitando o bloqueio de sites fraudulentos, sendo cinco envolvendo grupos com parceria governamental. No total, mais de 10 mil domínios maliciosos foram retirados do ar.

Outros 600 mil registros de URLs potencialmente fraudulentas ou que poderiam ser utilizadas por bandidos para a aplicação de golpes também foram bloqueados pela Microsoft. A empresa também trabalha na desativação de redes e servidores focados na distribuição de spam e phishing, incluindo um golpe recente sobre a rede Necurs que encerrou o funcionamento de uma plataforma capaz de enviar 3,8 milhões de mensagens em apenas dois meses.

Fonte: Microsoft