Criminosos russos revivem malware com mais de 10 anos em guerra contra Ucrânia

Um malware bancário com 10 anos de vida foi ressuscitado por cibercriminosos ligados ao governo da Rússia para ser usado em operações de guerra cibernética contra a Ucrânia. O Andromeda, criado em 2011 e que circulou em 2013, foi concebido como um vírus bancário que circulava por meio de drives USB infectados, passando a enviar informações aos bandidos originais por meio de servidores de controle.

• Ucrânia viu ciberataques triplicarem após invasão pela Rússia
• O que a Guerra da Ucrânia pode ensinar sobre cibersegurança às empresas

Na nova operação, entretanto, a praga virou arma de acesso remoto e reconhecimento, permitindo a obtenção de dados digitados e arquivos das máquinas conectadas. Tudo, aparentemente, sem chamar a atenção de pesquisadores em segurança e ferramentas antivírus, já que a quadrilha conhecida como Turla se aproveitou de contaminações antigas, que estavam dormentes nos computadores desde a desativação da rede do Andromeda.

Governos, organizações públicas e empresas cujo parque tecnológico está defasado parecem ser os principais alvos da operação, revelada pelos pesquisadores em segurança da Mandiant. Os ataques começaram no ano passado quando os cibercriminosos registraram para si domínios que eram originalmente associados ao malware, permitindo que as conexões fossem reativadas e o vírus voltasse a receber comandos.

Desta vez, foram baixadas duas ferramentas cibercriminosas: a Kopiluwak, voltada para reconhecimento, e a backdoor Quietcanary, que poderia permitir acesso remoto. A “carona” na operação cibercriminosa antiga também deu amplitude ao ataque sem que os bandidos tivessem que focar em vetores de comprometimento próprios, dando acesso a sistemas oficiais e a informações sensíveis para o esforço de guerra.

O resultado, segundo a Mandiant, foram centenas de comprometimentos bem-sucedidos após a reativação de três domínios que pertenciam originalmente ao Andromeda. Isso, somente na Ucrânia, alvo principal da operação, o que indica um trabalho direcionado ao país, uma vez que o vírus conta com contaminações ao redor do globo em sua jornada inicial. Agora, porém, ele serve de carona para um grupo que os especialistas em segurança digital afirmam ter ligação direta com o Kremlin.

A empresa de segurança digital aponta que o Andromeda continua se espalhando por meio de drives USB infectados, com o retorno de seus servidores de controle representando um risco a mais para os usuários, principalmente, corporativos e governamentais. O ideal é que as organizações tenham políticas rígidas quanto ao uso de dispositivos externos, assim como monitorem conexões e movimentações pelas redes.

Enquanto as novas operações parecem se concentrar especificamente nos esforços de guerra, elas podem se tornar mais abrangentes a qualquer momento, o que reforça a necessidade de atualizações não só de software, mas também de dispositivos. A Mandiant liberou, ainda, indicadores de comprometimento para que administradores possam buscar sinais de contaminação pelo Andromeda em suas redes e computadores.

Fonte: Mandiant