A ISH Tecnologia, referência nacional em cibersegurança, revela por meio de seu boletim informativo de Treath Intelligence, Heimdall, que a Microsoft identificou um grupo norte-coreano por trás do novo ransomware FakePenny. O agente malicioso, denominado Moonstone Sleet, é caracterizado por criar empresas e oportunidades fictícias de emprego para se aproximar de seus alvos e distribuir esse software malicioso inédito, devido às mutações. Os cibercriminosos, que fazem parte dessa organização mal-intencionada, utilizam esse malware para alcançar seus objetivos econômicos e praticar espionagem digital.
Com o desenvolvimento tecnológico nos últimos tempos, a organização cibercriminosa se consolidou no cenário digital como uma das principais ameaças que fazem o uso de ransomware. O Moonstone Sleet utiliza técnicas amplamente testadas por outros grupos norte-americanos, além de metodologias de ataques exclusivas.
Quando a Microsoft identificou as operações maliciosas do Moonstone Sleet, o grupo inicialmente fazia uso de técnicas utilizadas por antigos agentes mal-intencionados de ransomware, como o Diamond Sleet. Posteriormente, os cibercriminosos aprimoram essas táticas de disseminação dos softwares negativos, em busca de objetivos financeiros e ciberespionagem. As operações dos norte-coreanos incluem a criação de jogos fictícios e malwares personalizados, a fim de atrair a atenção de profissionais de TI para um “possível recrutamento”.
A Microsoft identificou que o grupo distribui uma versão trojanizada do PuTTY, um emulador de terminal de código aberto, por meio de aplicativos como LinkedIn, Telegram e plataformas de freelancers. O método usado pelo grupo envolve envios de arquivos .zip para os alvos. Esses fichários contêm dois arquivos: uma versão comprometida do putty.exe e um arquivo url.txt com um endereço IP e uma senha. Quando o usuário inseria o IP e a senha no aplicativo PuTTY, este descriptografava e executava uma carga útil embutida.
No mês de abril de 2024, a Microsoft observou atividades dos cibercriminosos que faziam o uso de uma novo ransomware, o FakePenny. O malware em questão, que é uma nova variante de software malicioso, possui as funções de criptografia e carregador. A empresa de tecnologia acredita que o uso desse software malicioso está voltado tanto para coleta de inteligência quanto para geração de receita.
Os setores alvo até a data incluem indivíduos e organizações de: software e tecnologia da informação, educação e setores de base industrial de defesa. Diante desse cenário, a ISH Tecnologia elencou dicas e recomendações a fim de combater essas práticas cibercriminosas:
Verificar a integridade dos instaladores de software de terceiros e valide a origem dos certificados de assinatura de código. Realizar verificações regulares para garantir que os softwares não foram adulterados com código malicioso.
Realizar treinamentos regulares de conscientização de segurança para todos os funcionários, focando em métodos de entrega comuns como spear phishing e compromissos drive-by, que são frequentemente utilizados por este grupo.
Aplicar regularmente patches de segurança e atualizações de software para corrigir vulnerabilidades conhecidas que podem ser exploradas por atacantes, incluindo aquelas que permitem elevação de privilégio e execução remota de código.
Habilitar a investigação e remediação em modo totalmente automatizado no Microsoft Defender for Endpoint para permitir ações imediatas em alertas e resolver brechas de segurança de forma eficaz.
