ESET revela as atualizações do grupo GreyEnergy de cyberespionagem

Investigação revela que o grupo tem um novo arsenal de ferramentas e pode estar preparando novos ataques

Compartilhar:

A ESET descobriu os detalhes de um sucessor do grupo BlackEnergy APT, chamado GreyEnergy, que se concentra em espionagem e reconhecimento, e possivelmente se prepara para futuros ataques cibernéticos.

 

O BlackEnergy vem ameaçando a Ucrânia há anos, e sua maior investida foi em dezembro de 2015, quando causou o primeiro apagão por ataque cibernético, que deixou 230 mil pessoas sem eletricidade. Desde o incidente, pesquisadores da ESET têm acompanhado atividades maliciosas desse gênero, o que levou a detecção de uma evolução da ameaça, chamada GreyEnergy.

 

“Nos últimos três anos, o GreyEnergy esteve envolvido em ataques na Ucrânia e na Polônia contra empresas de energia e outros alvos”, diz Anton Cherepanov, principal pesquisador de segurança da ESET e líder da investigação. O ataque de 2015 à infraestrutura de energia da Ucrânia foi a operação mais recente conhecida, na qual o kit de ferramentas BlackEnergy foi usado. Posteriormente, os pesquisadores da ESET documentaram um novo subgrupo de APT, o TeleBots.

 

As ameaças cibernéticas relacionadas ao TeleBots são mais notáveis ​​pelo surto mundial do NotPetya, malware de limpeza de disco que interrompeu as operações de negócios globais em 2017 e causou danos no valor de bilhões de dólares, e também pelo caso confirmado recentemente pelos pesquisadores da ESET, do Industroyer, malware moderno e mais poderoso voltado para os sistemas de controle industrial, culpado pela segunda queda de energia na capital da Ucrânia, Kiev, em 2016.

 

“O GreyEnergy surgiu junto com o TeleBots, mas ao contrário de seu primo mais conhecido, as atividades do GreyEnergy não se limitam à Ucrânia e, até agora, não foram prejudiciais. Claramente, eles querem voar sob o radar “, diz Anton Cherepanov.

 

De acordo com a análise da ESET, o malware GreyEnergy está intimamente relacionado aos malwares BlackEnergy e TeleBots. Sua construção é modular, portanto, seu funcionamento depende da combinação particular de módulos que ele carrega nos sistemas da vítima. Os módulos descritos na análise da ESET foram usados ​​para fins de espionagem e reconhecimento, e incluem: acesso remoto a sistemas, extração de arquivos, captura de tela, registro de senhas e roubo de credenciais, etc.

 

“Não observamos nenhum módulo que aborde especificamente o software ou os dispositivos dos Sistemas de Controle Industrial (ICS). No entanto, verificamos que os operadores da GreyEnergy têm visado estrategicamente as estações de trabalho de controle ICS que executam softwares e servidores SCADA”, explica Anton Cherepanov.

 

A análise da ESET sobre o GreyEnergy é importante para uma proteção bem-sucedida contra ameaças específicas. Por esse motivo, a empresa disponibiliza indicadores de comprometimento (IoC) a todos seus os usuários, para que suas infraestruturas continuem protegidas.  Essa é a melhor maneira de entender as táticas, ferramentas e procedimentos dos grupos de cibercriminosos mais avançados.

 

Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...