Ucrânia acusa a Rússia de realizar novos ataques usando vírus que apagam dados
Por Felipe Demartini | Editado por Claudio Yuge | 16 de Novembro de 2022 às 13h56
O governo da Ucrânia voltou a acusar a Rússia de realizar ataques contra empresas do setor militar, como parte dos esforços de guerra digital contra o país. A praga usada desta vez é o Somnia, uma variante de ransomware que atua sem a capacidade de recuperação de arquivos, com travamento irreversível.
- Ucrânia viu ciberataques triplicarem após invasão pela Rússia
- O que a Guerra da Ucrânia pode ensinar sobre cibersegurança às empresas
De acordo com a Equipe Digital de Resposta Emergencial ucraniano (CERT-UA, na sigla em inglês), diferentes organizações ligadas ao conflito teriam sido atingidas, incluindo fabricantes de tanques de guerra. O golpe é atribuído ao grupo From Russia With Love, também conhecido como Z-Team, APT-28 ou UAC-0118 e apontado por empresas de segurança como autores de ataques contra diplomatas, governos e empresas internacionais, a serviço do governo de Vladimir Putin.
No caso do Somnia, sites falsos promovendo uma ferramenta de segurança conhecida, o Advanced IP Scanner, foram usados como vetor de contaminação. O download permite a execução do Vidar, um malware que rouba dados focado exclusivamente no Telegram, de onde credenciais de colaboradores das organizações de interesse são roubados para permitir novos comprometimentos.
De acordo com o CERT-UA, o mensageiro foi utilizado para obter acesso às VPNs dos alvos, com a falta de mecanismos de segurança como autenticação em duas etapas permitindo a intrusão. Por fim, diversas ferramentas de monitoramento e reconhecimento das redes são utilizadas antes da contaminação pelo Somnia, que criptografa os dados sem chance de recuperação.
Segundo as autoridades, criminosos que vendem listas de credenciais roubadas também fariam parte da operação, fornecendo acesso direto às redes de interesse sem que o golpe de phishing seja necessário. A onda de ataques estaria acontecendo desde meados deste ano como parte de operações de hacktivismo em prol da Rússia.
Ainda que a ameaça seja essencialmente um ransomware, o governo ucraniano associa a operação à de um wiper, uma vez que não há pedido de resgate. Apesar de os dados permanecerem nos dispositivos atingidos, eles são inutilizados e têm até as extensões modificadas, de forma que não sejam recuperados pelas vítimas.
Indicadores de comprometimento, domínios e servidores de controle foram divulgados pela Ucrânia como forma de ajudar as empresas dos setores visados a se protegerem. O CERT-UA também disse estar trabalhando ao lado das vítimas na investigação dos incidentes.
Fonte: CERT-UA