84002 0

Perseguição a Lazarus: caça a um grupo de hackers para evitar roubos a grandes bancos

A Kaspersky Lab publicou os resultados de uma investigação realizada durante mais de um ano sobre a atividade de Lazarus, o famoso grupo de hackers alegadamente responsável pelo roubo de 81 milhões de dólares ao Banco Central do Bangladesh em 2016. Este roubo é considerado um dos maiores golpes cibernéticos realizados até hoje e as investigações realizadas posteriormente por diferentes empresas de segurança de IT, entre elas a Kaspersky Lab, atribuem a autoria a Lazarus, um famoso grupo de ciberespionagem responsável por uma série de ataques repetitivos e devastadores. Este grupo ficou conhecido em 2009 pelos ataques a empresas de produção, meios de comunicação e instituições financeiras de pelo menos 18 países.

Mesmo tendo permanecido em silêncio depois do ataque no Bangladesh, o grupo Lazarus manteve-se ativo, preparando novas operações para roubar fundos a outros bancos. Conseguiram entrar numa instituição financeira do sudeste asiático, mas os produtos da Kaspersky Lab detetaram o ataque e detiveram-no, tendo o grupo ficado inativo nos meses seguintes. Depois disso, tomaram a decisão de se dirigir para a Europa, mas foram novamente neutralizados graças ao software de deteção da Kaspersky Lab, assim como pelo trabalho das equipas de resposta rápida, análise forense e reverse engineering das empresas que investigaram o caso.

 Fórmula Lazarus

Tendo como base os resultados da análise forense destes ataques, os analistas da Kaspersky Lab foram capazes de reconstruir o modus operandi do grupo.

  • Compromisso inicial: Um sistema simples do banco vê-se comprometido, seja remotamente através de um código de acesso vulnerável (por exemplo através de um webserver), ou mediante um ataque wateringhole que se aproveitou de um exploit Quando se visita esse site, o computador da vítima (o empregado do banco) fica com um malware, que agrega componentes adicionais.
  • Posição estabelecida: Nesta fase o grupo move-se para outros hosts do banco e implementa backdoors persistentes, sendo que o malware permite que estes entrem e saiam conforme queiram.
  • Reconhecimento interno: O grupo dedica-se durante dias e semanas a conhecer a rede e a identificar os recursos de valor. Um desse recursos pode ser um servidor de backup, onde se armazena informação de autenticação, um servidor de email o os registos de processos de transações financeiras.
  • Entregar e roubar: Por último, o grupo implementa um malware especial capaz de evitar as medidas de segurança do software financeiro, procedendo à emissão de transações não autorizadas no nome do banco.

Geografia e referência

Os ataques analisados pelos analistas da Kaspersky Lab aconteceram durante várias semanas. No entanto, os hackers conseguiram operar durante meses.

Durante a análise do incidente no sudeste asiático, os especialistas descobriram que os hackers comprometeram a rede do banco pelo menos durante sete meses antes do momento em que a equipa de respostas a incidentes conseguiu intervir. De facto, o grupo já tinha conseguido aceder à rede desse banco antes que se tivesse acontecido o incidente no Bangladesh.

Segundo os registos da Kaspersky Lab, desde dezembro de 2015 que foram aparecendo exemplos de malware relacionados com as atividades do grupo Lazarus em instituições financeiras, casinos e programadores de software para empresas de investimento na Coreia, Bangladesh, India, Vietname, Indonésia, Costa Rica, Malásia, Polónia, Iraque, Etiópia, Quénia, Nigéria, Uruguai, Gabão, Tailândia e algum outro país. Ainda que não se conheça a origem deste grupo, sabe-se que continuou a investir em variantes do seu malware algum tempo depois e que agora está relativamente silencioso – provavelmente a rearmar-se.

Os produtos da Kaspersky Lab detetam e bloqueiam com êxito o seguinte malware utilizado pelo grupo Lazarus:

  • Win32.Contopee.a,
  • Win64.Agent.lo,
  • MSIL.CVE-2016-0034.b,
  • HEUR:Trojan-Banker.Win32.Alreay.gen,
  • Trojan-Banker.Win32.Agent.zvr

Patricia Fonseca

Patricia Fonseca

Viciada em tecnologia, entrou para a equipa em 2012 e é responsável pela Leak Business, função que acumula com a de editora da Leak. Não dispensa o telemóvel nem o iPod e não consegue ficar sem experimentar nenhum dispositivo tecnológico.

Notícias Relacionadas

ESET lança novas soluções para servidores

A ESET, líder em protecção proactiva que celebra 25 anos de existência, anunciou o lançamento de novos produtos para servidor: ESET Mail Security for IBM Lotus Domino e

Spam atinge o nível mais baixo dos últimos 5 anos

A Kaspersky Lab apresentou o seu Relatório de spam de 2012, um período em que a percentagem de spam caiu ao longo de todo o ano, permanecendo durante

Check Point melhora solução vSEC Cloud Security para Azure

A Check Point melhorou a solução vSEC Cloud Security para Microsoft Azure que suporta agora o Azure Stack. Esta atualização protege de forma integral as clouds públicas e híbridas

A rápida inovação em técnicas de ataque e defesa marca a batalha da cibersegurança

Com o objetivo de enfrentar ciberameaças cada vez mais sofisticadas e persistentes, é imprescindível que as organizações reduzam o tempo que demoram a detetar e mitigar estes mesmos

Dê a sua opinião:

O seu endereço de email não será publicado. Campos obrigatórios marcados com *