0
0
O aumento do uso de limpadores de disco em ataques cibernéticos que começaram com a invasão da Ucrânia pela Rússia no início do ano passado continuou inabalável, e o malware se transformou em uma ameaça potente para organizações na região e em outros lugares.
Pesquisadores da Fortinet analisaram recentemente os dados de ataque do segundo semestre de 2022 e observaram um aumento surpreendente de 53% no uso de limpadores de disco por agentes de ameaças entre o terceiro e o quarto trimestres do ano. A trajetória sugere que não haverá desaceleração tão cedo, disse o fornecedor de segurança.
Grupos de ameaças persistentes avançadas (APT) baseados na Rússia – trabalhando em apoio aos objetivos militares do país na Ucrânia – foram responsáveis por grande parte do aumento inicial no uso de limpadores e atividades contínuas no ano passado. No entanto, os dados da Fortinet mostram que outros, incluindo cibercriminosos com motivação financeira, grupos hacktivistas e outros indivíduos também alimentaram o aumento, especialmente no final de 2022.
Até o ano passado, a atividade do limpador tendia a ser quase inexistente, de acordo com Geri Revay, pesquisador de segurança do FortiGuard Labs da Fortinet. Mas desde o início do conflito entre a Rússia e a Ucrânia, o uso do malware por agentes de ameaças explodiu, diz ele.
“Somente em 2022, vimos 16 famílias diferentes direcionadas a 25 países ao redor do mundo”, diz Revay. “Na segunda metade do ano, também começamos a ver uma nova geração de limpadores, alguns até de código aberto e no GitHub, tornando-os muito mais prontamente disponíveis para campanhas avançadas de cibercrime persistentes”, diz ele.
Uma mistura de malware Wiper
O relatório da Fortinet destaca várias famílias de limpadores que considera apresentar uma grande ameaça para as organizações com base no uso de agentes de ameaças no ano passado. Entre os maiores deles está o HermeticWiper, um limpador que apaga e sobrescreve o registro mestre de inicialização de um sistema comprometido. O limpador apareceu pela primeira vez em ataques contra organizações ucranianas em 2021. A Fortinet disse que observou um aumento significativo na atividade no ano passado envolvendo o HermeticWiper em novembro, que se tornou ainda mais pronunciado em dezembro.
Outros limpadores que o fornecedor de segurança observou que os agentes de ameaças usaram amplamente em ataques no ano passado incluem o WhisperGate, uma variedade de malware que se parece com ransomware na superfície, mas não possui mecanismo de recuperação de dados; NotPetya ; DuploZero; e Isaac Wiper. Analistas já haviam identificado o grupo de inteligência militar da Rússia como provavelmente por trás do WhisperGate. Curiosamente, Shamoon , um limpador que foi usado em um ataque que bloqueou milhares de PCs na Saudi Aramco há mais de uma década, também permaneceu popular entre os atores no ano passado. Os dados da Fortinet mostraram que o Shamoon é um dos limpadores mais usados em ataques destrutivos no ano passado.
Atualmente, a principal motivação para o uso do malware wiper parece estar focada na guerra cibernética e no hacktivismo, diz Revay. Mas isso não significa que os agentes de ameaças não o usem de outras maneiras, como usar limpadores para sabotar sistemas ou destruir evidências de um crime cibernético.
“A sabotagem é a razão mais óbvia para implantar um limpador”, observa Revay. “Assim como o Stuxnet foi usado para destruir centrífugas para desacelerar os esforços do Irã para desenvolver armas nucleares, o malware wiper pode ser usado para destruir dados, sabotar o desenvolvimento, causar perdas financeiras ou apenas causar caos”. E usar limpadores para destruir evidências, embora barulhento, também faz o trabalho para os invasores e é muito mais simples do que remover todos os arquivos de log e malware, diz ele.
Nova geração de limpadores
O relatório da Fortinet está entre vários que destacaram um aumento acentuado tanto no uso de limpadores de disco quanto na variedade de limpadores de disco no ano passado. Enquanto a pesquisa da Fortinet mostrou que os agentes de ameaças usaram 16 famílias de limpadores em ataques no ano passado, outro relatório de Max Kersten, analista de malware da Trellix, identificou mais de 20 famílias de limpadores que os agentes de ameaças usaram em ataques destrutivos no ano passado.
As organizações ucranianas continuam sendo os alvos principais, como demonstrouum ataque recente contra a principal agência de notícias do país envolvendo o uso de cinco variantes de limpadores separados . Mas as organizações em outros países também estão sob crescente risco de ataque. A Fortinet, por exemplo, descobriu que WhisperGate e HermeticWiper eram os mais comuns fora da Europa. Mais organizações na África e na Ásia sofreram ataques envolvendo as duas famílias Wiper do que organizações na Europa. E a América do Norte, em geral, continua a experimentar a menor atividade de limpeza, disse o fornecedor de segurança.
“A maioria dos ataques de limpeza teve como alvo organizações ucranianas em 2022, mas isso poderia facilmente ter um efeito de propagação em outros países”, diz Revay. Como exemplo, ele aponta para um incidente em que um ataque que teve como alvo um provedor de comunicação por satélite ucraniano acabou deixando 5.800 turbinas eólicas alemãs offline.
Em termos de como se preparar e como responder a um ataque de limpeza, “é muito semelhante a um incidente de ransomware”, disse Revay ao Dark Reading. “Se o resgate não for pago, que é a abordagem recomendada, um ransomware também pode ser considerado um limpador, porque sem a chave de descriptografia, os dados criptografados podem ser perdidos”.
FONTE: DARK READING