O atual conflito geopolítico entre Rússia e Ucrânia se tornou um cenário propício para os criminosos, que se beneficiam da situação para explorar ainda mais as vulnerabilidades cibernéticas das empresas.
O diretor de cibersegurança da Netskope, Paolo Passeri, divulgou uma análise revelando que, se até pouco tempo atrás as habilidades avançadas dos russos seguiam um protocolo informal de ataques globais executados geralmente “de dentro para fora”, agora estão crescendo os registros de ameaças entre compatriotas.
Os hackers se aproveitam da instabilidade atual de segurança, na qual diversos fornecedores de soluções de segurança suspenderam suas operações na Rússia, aumentando a exposição das empresas e transformando-as em alvos fáceis.
O grupo OldGremlin, especializado em ataques de ransomware e que tem como alvo organizações na Rússia desde meados de 2020, ressurgiu e foi identificado recentemente. A falta de estabilidade incentivou os golpistas a lançarem duas novas campanhas para explorar o impacto das sanções ao país.
A equipe do OldGremlin realizou um ataque em 22 de março que aproveitou especificamente da suspensão das operações da Visa e da Mastercard no país. A ação envolveu um e-mail de phishing encorajando o usuário a preencher um formulário para solicitar um novo cartão. Na verdade, o formulário é um documento malicioso do Office hospedado no Dropbox que, uma vez executado, carrega um template hospedado também no Dropbox. Trata-se de um backdoor chamado TinyFluff que os invasores usam para realizar atividades maliciosas, como coleta e roubos de informações e download de arquivos.
Além das fronteiras
Dentro do contexto geopolítico, vale destacar também um exemplo completamente diferente de ataque que teve como alvo o setor bancário africano, novamente via Dropbox, e dessa vez disseminando o RemcosRAT no OneDrive. Nesta campanha, curiosamente, o payload foi entregue por meio do downloader GuLoader que, neste caso, não usou um serviço de nuvem para se espalhar, mas sim por meio da técnica de contrabando de HTML.
Veja abaixo as recomendações para mitigar os riscos de instâncias de nuvem não autorizadas usadas para fornecer conteúdo malicioso
Existem vários estágios da cadeia de ataque que podem mitigar o risco de malware entregue por serviços de nuvem legítimos.
• Bloquear o acesso e, em geral, aplicar controles granulares a dezenas de serviços em nuvem, como o Dropbox, onde instâncias pessoais e não corporativas podem estar em uso;
• Evitar download de documento de páginas da Web ou de serviços em nuvem por meio de vários mecanismos, como AV baseado em assinatura, análise heurística avançada, sandboxing e um scanner baseado em machine learning para documentos e executáveis do Office;
• Evitar qualquer redirecionamento na kill chain por meio de um mecanismo de filtragem de conteúdo que oferece uma variedade de categorias granulares de riscos de segurança, incluindo pontos de distribuição de phishing e malware;
• Otimizar a neutralização de ataques por meio do compartilhamento automatizado e bidirecional dos Indicadores de Comprometimento (IoC), como hashes, IPs, domínios e URLs com terceiros como tecnologias de Endpoint Detection and Response (EDR), e feeds de inteligência sobre ameaças;
• Monitoramento contínuo por meio de um painel específico de proteção contra ameaças capaz de fornecer informações valiosas sobre tráfego malicioso para instâncias de nuvem não corporativas e páginas da web, usuários mais visados e principais aplicações exploradas para fornecer conteúdo malicioso. As equipes de SOC e de proteção contra incidentes podem se beneficiar com essa estratégia de segurança.
