book_icon

ESET revela as atualizações do grupo GreyEnergy de cyberespionagem

ESET revela as atualizações do grupo GreyEnergy de cyberespionagem

Investigação revela que o grupo tem um novo arsenal de ferramentas e pode estar preparando novos ataques

São Paulo, Brasil – A ESET, empresa líder em detecção proativa de ameaças, descobriu os detalhes de um sucessor do grupo BlackEnergy APT, chamado GreyEnergy, que se concentraem espionagem e reconhecimento, e possivelmente se prepara para futuros ataques cibernéticos.

O BlackEnergy vem ameaçando a Ucrânia há anos, e sua maior investida foi em dezembro de 2015, quando causou o primeiro apagão por ataque cibernético, que deixou 230 mil pessoas sem eletricidade. Desde o incidente, pesquisadores da ESET têm acompanhado atividades maliciosas desse gênero, o que levou a detecção de uma evolução da ameaça, chamada GreyEnergy.

“Nos últimos três anos, o GreyEnergy esteve envolvido em ataques na Ucrânia e na Polônia contra empresas de energia e outros alvos”, diz Anton Cherepanov, principal pesquisador de segurança da ESET e lider da investigação. O ataque de 2015 à infraestrutura de energia da Ucrânia foi a operação mais recente conhecida, na qual o kit de ferramentas BlackEnergy foi usado. Posteriormente, os pesquisadores da ESET documentaram um novo subgrupo de APT, o TeleBots.

As ameaças cibernéticas relacionadas ao TeleBots são mais notáveis pelo surto mundial do NotPetya, malware de limpeza de disco que interrompeu as operações de negócios globais em 2017 e causou danos no valor de bilhões de dólares, e também pelo caso confirmado recentemente pelos pesquisadores da ESET, do Industroyer, malware moderno e mais poderoso voltado para os sistemas de controle industrial, culpado pela segunda queda de energia na capital da Ucrânia, Kiev, em 2016.

“O GreyEnergy surgiu junto com o TeleBots, mas ao contrário de seu primo mais conhecido, as atividades do GreyEnergy não se limitam à Ucrânia e, até agora, não foram prejudiciais. Claramente, eles querem voar sob o radar “, diz Anton Cherepanov.

De acordo com a análise da ESET, o malware GreyEnergy está intimamente relacionado aos malwares BlackEnergy e TeleBots. Sua construção é modular, portanto, seu funcionamento depende da combinação particular de módulos que ele carrega nos sistemas da vítima. Os módulos descritos na análise da ESET foram usados para fins de espionagem e reconhecimento, e incluem: acesso remoto a sistemas, extração de arquivos, captura de tela, registro de senhas e roubo de credenciais, etc.

“Não observamos nenhum módulo que aborde especificamente o software ou os dispositivos dos Sistemas de Controle Industrial (ICS). No entanto, verificamos que os operadores da GreyEnergy têm visado estrategicamente as estações de trabalho de controle ICS que executam softwares e servidores SCADA”, explica Anton Cherepanov.

A análise da ESET sobre o GreyEnergy é importante para uma proteção bem-sucedida contra ameaças específicas. Por esse motivo, a empresa disponibiliza indicadores de comprometimento (IoC) a todos seus os usuários, para que suas infraestruturas continuem protegidas. Essa é a melhor maneira de entender as táticas, ferramentas e procedimentos dos grupos de cibercriminosos mais avançados.

Para acessar mais informações sobre segurança cibernética, visite nosso portal:

https://www.welivesecurity.com/br/2018/10/18/greyenergy-um-dos-agentes-maliciosos-mais-perigosos-atualiza-seu-arsenal/

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.