Dezenas de bancos globais sofreram ataques com novos malwares

Ciberataques tentaram atingir mais de 100 organizações em 31 países diferentes utilizando sites comprometidos para infectar alvos pré-selecionados com ameaça desconhecida

Compartilhar:

Organizações em 31 países foram alvo de uma nova onda de ataques que está em andamento desde, pelo menos, outubro de 2016. Os atacantes usaram sites comprometidos ou “watering holes” para infectar alvos pré-selecionados com malware ainda desconhecido. No entanto, não foi encontrada nenhuma evidência de que os bancos infectados tenham sido roubados.

 

Esses ataques vieram à luz quando um banco na Polônia descobriu um malware desconhecido rodando em vários de seus computadores. Em seguida, o banco compartilhou indicadores de compromisso (IOCs) com outras instituições e várias confirmaram que também estavam comprometidas.

 

Conforme relatado, a fonte do ataque parece ter sido o site do regulador financeiro polonês. Os atacantes comprometeram o site para redirecionar os visitantes para um kit de exploração, que tentou instalar malware em alvos selecionados.

 

A Symantec bloqueou tentativas de infecção de clientes na Polônia, no México e no Uruguai pelo mesmo kit de exploração que infectou os bancos poloneses. Desde outubro, foram bloqueados 14 ataques contra computadores no México, 11 contra computadores no Uruguai e dois contra computadores na Polônia.

 

Kit de exploração personalizada

 

Os atacantes parecem estar usando sites comprometidos para redirecionar os visitantes para um kit de exploração personalizado, que é pré-configurado para infectar apenas visitantes de aproximadamente 150 endereços de IP. Esses IPs pertencem a 104 diferentes organizações, localizadas em 31 países, cuja grande maioria é composta por bancos. Um pequeno número de empresas de telecomunicações e internet também estão na lista.

 

Países em que três ou mais organizações foram alvo de ataques (Divulgação)

 

 

Links com Lazarus?

 

O malware utilizado nos ataques (Downloader.Ratankba) anteriormente não era identificado, embora tenha sido detectado pela Symantec sob assinaturas de detecção genérica, que foram criadas para bloquear quaisquer arquivos envolvidos em atividades maliciosas.

 

A análise do malware ainda está em andamento, mas algumas sequências de código nesse malware compartilham pontos comuns com o usado pelo grupo de ameaças conhecido como Lazarus.

 

Esse grupo está associado a uma série de ataques agressivos desde 2009, principalmente nos Estados Unidos EUA e na Coréia do Sul. O Lazarus esteve envolvido em ataques financeiros de alto nível e algumas das ferramentas usadas no assalto ao banco de Bangladesh mostraram semelhanças de código com malware usado em ataques históricos ligados ao grupo.

 

A investigação desses ataques está em andamento, em busca de mais evidências sobre a identidade e os motivos dos atacantes que focam principalmente as instituições financeiras, alvo crescente de ameaças.

 

Conteúdos Relacionados

Security Report | Mercado

Hotéis na mira do vazamento de dados

Pesquisa da Symantec revela que sites podem vazar suas informações de reserva, permitindo que outras pessoas vejam os dados pessoais...
Security Report | Mercado

Tendências de segurança em Sistemas de Controle Industriais

Análise categoriza e classifica os riscos mais recorrentes após observação empírica; menos um terço dos riscos críticos e de alta...
Security Report | Mercado

Minsait amplia oferta de inteligência e segurança de redes com a Allot

Aliança entre as empresas tem como foco suprir a demanda do mercado de telecom brasileiro por dados analíticos com foco...
Security Report | Mercado

Boldon James lança solução de classificação de dados

OWA Classifier estende o suporte de classificação de dados do Outlook para o Microsoft Office 365