ESET revela as atualizações do grupo GreyEnergy de cyberespionagem

Investigação revela que o grupo tem um novo arsenal de ferramentas e pode estar preparando novos ataques

Compartilhar:

A ESET descobriu os detalhes de um sucessor do grupo BlackEnergy APT, chamado GreyEnergy, que se concentra em espionagem e reconhecimento, e possivelmente se prepara para futuros ataques cibernéticos.

 

O BlackEnergy vem ameaçando a Ucrânia há anos, e sua maior investida foi em dezembro de 2015, quando causou o primeiro apagão por ataque cibernético, que deixou 230 mil pessoas sem eletricidade. Desde o incidente, pesquisadores da ESET têm acompanhado atividades maliciosas desse gênero, o que levou a detecção de uma evolução da ameaça, chamada GreyEnergy.

 

“Nos últimos três anos, o GreyEnergy esteve envolvido em ataques na Ucrânia e na Polônia contra empresas de energia e outros alvos”, diz Anton Cherepanov, principal pesquisador de segurança da ESET e líder da investigação. O ataque de 2015 à infraestrutura de energia da Ucrânia foi a operação mais recente conhecida, na qual o kit de ferramentas BlackEnergy foi usado. Posteriormente, os pesquisadores da ESET documentaram um novo subgrupo de APT, o TeleBots.

 

As ameaças cibernéticas relacionadas ao TeleBots são mais notáveis ​​pelo surto mundial do NotPetya, malware de limpeza de disco que interrompeu as operações de negócios globais em 2017 e causou danos no valor de bilhões de dólares, e também pelo caso confirmado recentemente pelos pesquisadores da ESET, do Industroyer, malware moderno e mais poderoso voltado para os sistemas de controle industrial, culpado pela segunda queda de energia na capital da Ucrânia, Kiev, em 2016.

 

“O GreyEnergy surgiu junto com o TeleBots, mas ao contrário de seu primo mais conhecido, as atividades do GreyEnergy não se limitam à Ucrânia e, até agora, não foram prejudiciais. Claramente, eles querem voar sob o radar “, diz Anton Cherepanov.

 

De acordo com a análise da ESET, o malware GreyEnergy está intimamente relacionado aos malwares BlackEnergy e TeleBots. Sua construção é modular, portanto, seu funcionamento depende da combinação particular de módulos que ele carrega nos sistemas da vítima. Os módulos descritos na análise da ESET foram usados ​​para fins de espionagem e reconhecimento, e incluem: acesso remoto a sistemas, extração de arquivos, captura de tela, registro de senhas e roubo de credenciais, etc.

 

“Não observamos nenhum módulo que aborde especificamente o software ou os dispositivos dos Sistemas de Controle Industrial (ICS). No entanto, verificamos que os operadores da GreyEnergy têm visado estrategicamente as estações de trabalho de controle ICS que executam softwares e servidores SCADA”, explica Anton Cherepanov.

 

A análise da ESET sobre o GreyEnergy é importante para uma proteção bem-sucedida contra ameaças específicas. Por esse motivo, a empresa disponibiliza indicadores de comprometimento (IoC) a todos seus os usuários, para que suas infraestruturas continuem protegidas.  Essa é a melhor maneira de entender as táticas, ferramentas e procedimentos dos grupos de cibercriminosos mais avançados.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

IA acelera ataques virtuais e amplia exigência por Segurança preventiva, aponta threat intel

Check Point e OpenAI expandem parceria estratégica para embutir modelos cibernéticos avançados diretamente nas ferramentas de proteção corporativa, combatendo o...
Security Report | Overview

Disparo falso da Defesa Civil: O que incidente representa de risco de credenciais roubadas

Uso de acessos legítimos respondeu por 25% dos vetores de entrada em ataques globais investigados pela empresa; especialistas explicam como...
Security Report | Overview

CNCiber lança modelo para avaliar maturidade de SI nacional 

Desenvolvido pelo Comitê Nacional de Cibersegurança, o modelo CIMBRA medirá a resiliência digital do país nas vertentes nacional e institucional,...
Security Report | Overview

Digitalização e IA tornam a resiliência de dados estratégica para as PMEs

Veeam destaca que pequenas e médias empresas precisam de proteção e recuperação de dados de nível corporativo com simplicidade operacional...